Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Šajā rakstā ir aprakstīts drošības politika, kas sākas ar 10 Windows versijas 1709 izmaiņas un Windows Server 2016 1709 versiju. Saskaņā ar jauno politiku tikai lietotājiem, kuri lokālo administratoru attālajā datorā var sākt vai pārtraukt pakalpojumu šajā datorā.

Rakstā arī aprakstīts, kā izvēlēties atsevišķus pakalpojumus no šī jaunā politika.

Papildinformācija

Kopējā drošības kļūda ir konfigurēt pakalpojumus, lai izmantotu pārāk visatļautības drošības deskriptors (skatīt pakalpojuma drošības un piekļuves tiesībām), un tādējādi nejauši piešķirt piekļuvi vairāk attālos zvanītājs, nekā paredzēts. Piemēram, nav neparasta atrast pakalpojumus, kas SERVICE_START vai SERVICE_STOP atļaujas piešķirt autentificētie lietotāji. Kamēr metode parasti piešķirt šīs tiesības tikai lokālajiem lietotājiem nav administratora, Autentificētie lietotāji arī katra lietotāja vai datora kontu pakalpojuma Active Directory mežā, vai šim kontam ir administratoru grupas dalībnieks vietējā vai attālā datorā. Pārmērīga šīs atļaujas var ļaunprātīgi un nodarīt kaitējumu visā tīklā.

Ņemot vērā pervasiveness un iespējamo šīs problēmas nozīmīgumu un mūsdienu drošības praksi, pieņemot, ka visas pietiekami lielam domēnā ir iekļauti datori inficētu, jaunu sistēmas drošības iestatījumu tika ieviesta, kas nosaka, ka attālā zvanītājs ir lokālā datora administratori varētu pieprasīt šo pakalpojumu atļaujas:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DZĒST WRITE_DAC WRITE_OWNER

Jaunais drošības iestatījums arī paredz, ka attālā zvanītājs lokālo administratoru datorā pēc pieprasījumapakalpojumu vadības pārvaldnieka atļauju:

SC_MANAGER_CREATE_SERVICE

Piezīme. Šī pārbaude lokālā administratora papildina esošo piekļuves pārbaude pret pakalpojuma vai pakalpojumu vadības drošības deskriptors. Šis iestatījums tika ieviesta startēt Windows versijas 1709 10 un Windows Server 2016 1709 versija. Pēc noklusējuma iestatījums ir ieslēgts.

Šī jaunā izvēles dažiem klientiem, kuri ir pakalpojumi, kas paļaujas uz iespēju administratoriem, lai ieslēgtu vai izslēgtu tos attāli var radīt problēmas. Ja nepieciešams, jūs varat izvēlēties atsevišķus pakalpojumus no šī politika RemoteAccessCheckExemptionList REG_MULTI_SZ reģistra vērtību šajā reģistra vietā, pievienojot pakalpojuma nosaukums:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Lai to paveiktu, izpildiet tālāk aprakstītās darbības.

  1. Atlasiet Sākt, atlasiet izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un atlasiet reģistrā šādā apakšatslēgā: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Piezīme ja apakšatslēga nepastāv, tā ir jāizveido: izvēlnē Rediģēt atlasiet Jauns,un pēc tam atlasiet taustiņu. Ierakstiet jauno apakšatslēgas nosaukumu un pēc tam nospiediet taustiņu Enter.

  3. Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam atlasiet REG_MULTI_SZ vērtība.

  4. Ievadiet RemoteAccessCheckExemptionList REG_MULTI_SZ vērtība nosaukumu un pēc tam nospiediet taustiņu Enter.

  5. Veiciet dubultklikšķi uz RemoteAccessCheckExemptionList vērtību, ievadiet nosaukumu pakalpojums izņemt no jauna politika un pēc tam noklikšķiniet uz Labi.

  6. Aizveriet reģistra redaktoru un pēc tam restartējiet datoru.

Administratori, kuri globāli atspējot šo jauno pārbaudes un atjaunošanas vecāka, mazāk droša darbība var iestatīt RemoteAccessExemption REG_DWORD reģistra vērtību vērtība, kas nav nulle reģistrā šādā atrašanās vietā:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Piezīme. Iestatot šo vērtību uz laiku var ātri noteikt, vai šis jaunais atļauju modelis ir lietojumprogrammu saderības problēmas cēloni.

Lai to paveiktu, izpildiet tālāk aprakstītās darbības.

  1. Atlasiet Sākt, atlasiet izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādu reģistra apakšatslēgu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam atlasiet REG_DWORD (32 bitu) vērtība.

  4. Ievadiet RemoteAccessExemption REG_DWORD vērtības nosaukumu un pēc tam nospiediet taustiņu Enter.

  5. Veiciet dubultklikšķi uz RemoteAccessExemption vērtības, vērtību datu laukā ievadiet 1 un pēc tam noklikšķiniet uz Labi.

  6. Aizveriet reģistra redaktoru un pēc tam restartējiet datoru.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×