Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie

W tym artykule opisano zmiany początku zasad zabezpieczeń z 10 systemu Windows wersja 1709 i systemu Windows Server 2016 wersja 1709. W ramach nowej polityki tylko użytkownicy, którzy są lokalnymi administratorami na komputerze zdalnym można uruchomić lub zatrzymać usługi na tym komputerze.

W tym artykule opisano również jak zrezygnować poszczególnych usług spośród nowe zasady.

Więcej informacji

Częsty błąd zabezpieczeń jest skonfigurowanie usługi do użycia deskryptora zabezpieczeń zbyt swobodnych (zobacz Zabezpieczenia usługi i prawa dostępu), a tym samym nieświadomie przyznać dostęp do bardziej zdalnego wywoływania niż zamierzano. Na przykład nie jest trudno znaleźć usługi, które SERVICE_START lub SERVICE_STOP uprawnienia dla grupy Użytkownicy uwierzytelnieni. Podczas gdy zamiarem jest zazwyczaj przyznania tych praw tylko do lokalnych użytkownikom niepełniącym funkcji administracyjnych, Użytkownicy uwierzytelnieni obejmuje również każdego konta użytkownika lub komputera w lesie usługi Active Directory, czy to konto jest członkiem grupy Administratorzy na na komputerze lokalnym lub zdalnym. Uprawnienia te nadmierne może być nadużywane i odgrywających w całej sieci.

Biorąc pod uwagę wszechobecność i potencjał wagę tego problemu i praktyki nowoczesnych zabezpieczeń przy założeniu, że wszelkie wystarczająco dużej domeny zawiera zainfekowane komputery, nowe ustawienie zabezpieczeń systemu wprowadzono, która wymaga, aby zdalnego wywoływania również Administratorzy lokalni na komputerze, aby móc żądania uprawnienia następujące usługi:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE USUŃ WRITE_DAC ZAPIS WŁAŚCICIELA

Nowe ustawienie zabezpieczeń również wymaga, aby zdalnego wywoływania administratorów lokalnych na komputerze, aby zażądaćservice control manager uprawnienie:

SC_MANAGER_CREATE_SERVICE

Uwaga Jest to sprawdzanie administratora lokalnego oprócz istniejących sprawdzanie dostępu przed usługi lub deskryptor zabezpieczeń usługi kontrolera. To ustawienie zostało wprowadzone, począwszy od systemu Windows 10 wersja 1709 i w systemie Windows Server 2016 wersja 1709. Ustawienie jest domyślnie włączona.

Ten nowy test może spowodować problemy w przypadku niektórych klientów, którzy mają usług, które opierają się na zdolność innych niż Administratorzy na uruchamianie i zatrzymywanie ich zdalnie. Jeśli to konieczne, możesz zdecydować się poszczególnych usług spośród tej zasady przez dodanie nazwy usługi do wartości rejestru RemoteAccessCheckExemptionList REG_MULTI_SZ w następującym miejscu rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Aby to zrobić, wykonaj następujące czynności:

  1. Wybierz Start, wybierz polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij OK.

  2. Zlokalizuj i zaznacz następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Uwaga Jeśli podklucz nie istnieje, należy go utworzyć: W menu Edycja wybierz polecenie Nowy, a następnie wybierz klucz. Wpisz nazwę nowego podklucza, a następnie naciśnij klawisz Enter.

  3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz Wartość REG_MULTI_SZ.

  4. Wpisz RemoteAccessCheckExemptionList jako nazwę wartości REG_MULTI_SZ, a następnie naciśnij klawisz Enter.

  5. Kliknij dwukrotnie wartość RemoteAccessCheckExemptionList , należy wpisać nazwę usługi do zwolnienia z nowej zasady, a następnie kliknij przycisk OK.

  6. Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.

Administratorzy, którzy chcą globalnie wyłączyć tę nową kontrolę i przywracania starszych, mniej bezpieczne zachowanie, można ustawić wartość rejestru typu REG_DWORD RemoteAccessExemption wartość różną od zera w następującej lokalizacji w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Uwaga Ustawienie tej wartości tymczasowo można szybko ustalić, czy ten nowy model uprawnienie jest przyczyną problemów ze zgodnością aplikacji.

Aby to zrobić, wykonaj następujące czynności:

  1. Wybierz Start, wybierz polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij OK.

  2. Zlokalizuj i kliknij następujący podklucz w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz wartość parametru REG_DWORD (wersja 32-bitowa).

  4. Wpisz RemoteAccessExemption jako nazwę wartości REG_DWORD, a następnie naciśnij klawisz Enter.

  5. Kliknij dwukrotnie wartość RemoteAccessExemption , wprowadź wartość 1 w polu Dane wartości , a następnie kliknij przycisk OK.

  6. Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×