Resumo
Este artigo descreve uma alteração na política de segurança com o Windows 10 versão 1709 e o Windows Server 2016 versão 1709. De acordo com a nova política, apenas os usuários que são administradores locais em um computador remoto podem iniciar ou interromper serviços nesse computador.
Este artigo também descreve como optar por serviços individuais com base nessa nova política.
Mais informações
Um erro de segurança comum é configurar serviços para usar um descritor de segurança excessivamente permissivo (consulte Segurança de serviço e direitos de acesso) e, portanto, conceder acesso inadvertidamente para mais chamadores do que o pretendido. Por exemplo, não é incomum encontrar serviços que concedem permissões SERVICE_START ou SERVICE_STOP para Usuários Autenticados. Embora a intenção seja geralmente conceder esses direitos apenas a usuários não administrativos locais, Usuários Autenticados também inclui todas as contas de usuário ou computador na floresta do Active Directory, independentemente de essa conta ser membro do grupo Administradores no computador remoto ou local. Esse excesso de permissões pode ser aproveitado e devastar uma rede inteira.
Dada a abrangência e a possível gravidade desse problema, bem como a moderna prática de segurança de assumir que qualquer domínio suficientemente grande contenha computadores comprometidos, foi introduzida uma nova configuração de segurança do sistema que requer que os chamadores remotos também sejam administradores locais no computador para solicitar as seguintes permissões de serviço:
SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER
A nova configuração de segurança também requer que os chamadores remotos sejam Administradores local no computador para solicitar a seguinte permissão do gerente de controle de serviço:
SC_MANAGER_CREATE_SERVICE
Observação Essa verificação de administrador local vai além da verificação de acesso existente contra o serviço ou o descritor de segurança do controlador de serviço. Essa configuração foi introduzida com o Windows 10 versão 1709 e o Windows Server 2016 versão 1709. Por padrão, a configuração está ativada.
Essa nova verificação pode causar problemas para alguns clientes com serviços que dependem da capacidade de não administradores iniciá-los ou interrompê-los remotamente. Se ela for necessária, você poderá optar por serviços individuais fora dessa política, adicionando o nome do serviço ao valor de registro REG_MULTI_SZ RemoteAccessCheckExemptionList no seguinte local do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Para fazer isso, siga estas etapas:
-
Selecione Iniciar, selecione Executar, digite regedit na caixa Abrir e clique em OK.
-
Localize e selecione a seguinte subchave no Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Observação Se a subchave não existir, você deverá criá-lo: No menu Editar, selecione Novo e depois Chave. Digite o nome da nova subchave e pressione Enter. -
No menu Editar, aponte para Novo e selecione REG_MULTI_SZ Value.
-
Digite RemoteAccessCheckExemptionList para o nome do valor REG_MULTI_SZ e pressione Enter.
-
Clique duas vezes no valor RemoteAccessCheckExemptionList, digite o nome do serviço a ser isento da nova política e clique em OK.
-
Saia do Editor do Registro e reinicie o computador.
Os administradores que desejam desabilitar globalmente essa nova verificação e restaurar o comportamento antigo e menos seguro podem definir o valor do Registro REG_DWORD RemoteAccessExemption como diferente de zero no seguinte local do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Observação Definir esse valor temporariamente pode ser uma maneira rápida de determinar se esse novo modelo de permissão é a causa dos problemas de compatibilidade de aplicativos.
Para fazer isso, siga estas etapas:
-
Selecione Iniciar, selecione Executar, digite regedit na caixa Abrir e clique em OK.
-
Localize a seguinte subchave do Registro e clique nela:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control -
No menu Editar, aponte para Novo e selecione Valor REG_DWORD (32-bits) .
-
Digite RemoteAccessExemption para o nome do valor REG_DWORD e pressione Enter.
-
Clique duas vezes no valor RemoteAccessExemption, insira 1 no campo Dados do valor e clique em OK.
-
Saia do Editor do Registro e reinicie o computador.