Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

Este artigo descreve uma alteração na política de segurança com o Windows 10 versão 1709 e o Windows Server 2016 versão 1709. De acordo com a nova política, apenas os usuários que são administradores locais em um computador remoto podem iniciar ou interromper serviços nesse computador.

Este artigo também descreve como optar por serviços individuais com base nessa nova política.

Mais informações

Um erro de segurança comum é configurar serviços para usar um descritor de segurança excessivamente permissivo (consulte Segurança de serviço e direitos de acesso) e, portanto, conceder acesso inadvertidamente para mais chamadores do que o pretendido. Por exemplo, não é incomum encontrar serviços que concedem permissões SERVICE_START ou SERVICE_STOP para Usuários Autenticados. Embora a intenção seja geralmente conceder esses direitos apenas a usuários não administrativos locais, Usuários Autenticados também inclui todas as contas de usuário ou computador na floresta do Active Directory, independentemente de essa conta ser membro do grupo Administradores no computador remoto ou local. Esse excesso de permissões pode ser aproveitado e devastar uma rede inteira.

Dada a abrangência e a possível gravidade desse problema, bem como a moderna prática de segurança de assumir que qualquer domínio suficientemente grande contenha computadores comprometidos, foi introduzida uma nova configuração de segurança do sistema que requer que os chamadores remotos também sejam administradores locais no computador para  solicitar as seguintes permissões de serviço:

SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER

A nova configuração de segurança também requer que os chamadores remotos sejam Administradores local no computador para solicitar a  seguinte permissão do gerente de controle de serviço:

SC_MANAGER_CREATE_SERVICE

Observação Essa verificação de administrador local vai além da verificação de acesso existente contra o serviço ou o descritor de segurança do controlador de serviço. Essa configuração foi introduzida com o Windows 10 versão 1709 e o Windows Server 2016 versão 1709. Por padrão, a configuração está ativada.

Essa nova verificação pode causar problemas para alguns clientes com serviços que dependem da capacidade de não administradores iniciá-los ou interrompê-los remotamente. Se ela for necessária, você poderá optar por serviços individuais fora dessa política, adicionando o nome do serviço ao valor de registro REG_MULTI_SZ RemoteAccessCheckExemptionList no seguinte local do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Para fazer isso, siga estas etapas:

  1. Selecione Iniciar, selecione  Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize e selecione a seguinte subchave no Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

    Observação     Se a subchave não existir, você deverá criá-lo: No menu Editar, selecione Novo e depois Chave. Digite o nome da nova subchave e pressione Enter.

  3. No menu Editar, aponte para Novo e selecione REG_MULTI_SZ Value.

  4. Digite RemoteAccessCheckExemptionList para o nome do valor REG_MULTI_SZ e pressione Enter.

  5. Clique duas vezes no valor RemoteAccessCheckExemptionList, digite o nome do serviço a ser isento da nova política e clique em OK.

  6. Saia do Editor do Registro e reinicie o computador.

Os administradores que desejam desabilitar globalmente essa nova verificação e restaurar o comportamento antigo e menos seguro podem definir o valor do Registro REG_DWORD RemoteAccessExemption como diferente de zero no seguinte local do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Observação Definir esse valor temporariamente pode ser uma maneira rápida de determinar se esse novo modelo de permissão é a causa dos problemas de compatibilidade de aplicativos.

Para fazer isso, siga estas etapas:

  1. Selecione Iniciar, selecione  Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize a seguinte subchave do Registro e clique nela:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. No menu Editar, aponte para Novo e selecione Valor REG_DWORD  (32-bits) .

  4. Digite RemoteAccessExemption para o nome do valor REG_DWORD e pressione Enter.

  5. Clique duas vezes no valor RemoteAccessExemption, insira 1 no campo Dados do valor e clique em OK.

  6. Saia do Editor do Registro e reinicie o computador.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×