Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Dit artikel bevat een wijziging in de beveiliging beleid begint met Windows 10 versie 1709 en Windows Server 2016 versie 1709. Onder het nieuwe beleid alleen gebruikers met lokale beheerders op een externe computer starten of stoppen van services op die computer.

In dit artikel wordt ook beschreven hoe afzonderlijke services uit dit nieuwe beleid te kiezen.

Meer informatie

Een veelvoorkomende fout van beveiliging is het configureren van services voor het gebruik van een beveiligingsdescriptor te soepele (Zie Servicebeveiliging en toegangsrechten) en daardoor per ongeluk toegang verlenen tot meer externe bellers dan bedoeld. Bijvoorbeeld, is het niet ongebruikelijk om te zoeken naar services die SERVICE_START of SERVICE_STOP voor geverifieerde gebruikers machtigingen. De bedoeling is meestal alleen aan lokale niet-leidinggevende gebruikers verlenen, Geverifieerde gebruikers bevat ook aan elke gebruiker of computer account in de Active Directory-forest of account is lid van de groep Administrators op de externe of lokale computer. Deze buitensporige machtigingen kunnen worden misbruikt en verwoesting aanrichten in een heel netwerk.

Gezien de ernst van het pervasiveness en het potentieel van dit probleem en de beveiliging van moderne praktijk ervan uitgaande dat een voldoende groot domein computers is ingebroken bevat, werd een nieuwe beveiligingsinstelling voor het systeem geïntroduceerd die vereist dat externe bellers ook lokale beheerders op de computer kunnen aanvragen de volgende machtigingen:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE VERWIJDEREN WRITE_DAC WRITE_OWNER

De nieuwe instelling ook vereist dat externe bellers lokale beheerders op de computer de volgende aanvragenservice control manager machtiging:

SC_MANAGER_CREATE_SERVICE

Opmerking  Deze controle van lokale beheerder is een aanvulling op de bestaande toegangscontrole ten opzichte van de service of de security descriptor van service-controller. Deze instelling werd geïntroduceerd in Windows 10 versie 1709 en in Windows Server 2016 versie 1709. De instelling is standaard ingeschakeld.

Deze nieuwe controle kan problemen veroorzaken voor sommige klanten met services die afhankelijk zijn van de mogelijkheid voor beheerders om te starten of stoppen ze op afstand. Als het nodig is, kunt u afzonderlijke services uit dit beleid ervoor kiezen door de servicenaam van de toe te voegen aan de registerwaarde RemoteAccessCheckExemptionList -REG_MULTI_SZ in de volgende registerlocatie:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Ga hiervoor als volgt te werk:

  1. Klik op Start, selecteer uitvoeren, typ regedit in het vak openen en klik op OK.

  2. Zoek en selecteer de volgende subsleutel in het register: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Opmerking als de subsleutel niet bestaat, moet u deze maken: in het menu bewerken , selecteer Nieuwen selecteer vervolgens de sleutel. Typ de naam van de nieuwe subsleutel en druk op Enter.

  3. Wijs Nieuwaan in het menu bewerken en selecteer REG_MULTI_SZ-waarde.

  4. Typ RemoteAccessCheckExemptionList voor de naam van de REG_MULTI_SZ-waarde en druk op Enter.

  5. Dubbelklik op de waarde RemoteAccessCheckExemptionList , typt u de naam van de service wordt vrijgesteld van het nieuwe beleid en klik op OK.

  6. Sluit de Register-editor af en start de computer opnieuw op.

Beheerders die globaal uitschakelen van deze nieuwe controle maken en terugzetten de oudere, minder veilige gedrag kunt instellen de registerwaarde RemoteAccessExemption REG_DWORD op een andere waarde op de volgende registerlocatie:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Opmerking Als u deze waarde tijdelijk is een snelle manier om te bepalen of dit nieuwe model van de machtiging de oorzaak van problemen met de compatibiliteit is.

Ga hiervoor als volgt te werk:

  1. Klik op Start, selecteer uitvoeren, typ regedit in het vak openen en klik op OK.

  2. Zoek en klik op de volgende subsleutel in het register: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Wijs Nieuwaan in het menu bewerken en selecteer vervolgens de waarde van REG_DWORD (32-bits).

  4. Typ RemoteAccessExemption voor de naam van de REG_DWORD-waarde en druk op Enter.

  5. Dubbelklik op de waarde RemoteAccessExemption , geef 1 op in het veld Waardegegevens en klik vervolgens op OK.

  6. Sluit de Register-editor af en start de computer opnieuw op.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×