Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

Este artigo descreve uma alteração no início de política de segurança com o Windows 10 versão 1709 e de 2016 de servidor do Windows versão 1709. No âmbito da nova política, apenas os utilizadores que são administradores locais num computador remoto podem iniciar ou parar serviços nesse computador.

Este artigo também descreve como a possibilidade de serviços individuais sem esta nova política.

Mais informações

Um erro de segurança comum consiste em configurar serviços para utilizar um descritor de segurança demasiado permissivos (consulte segurança do serviço e direitos de acesso) e assim inadvertidamente conceder acesso aos chamadores mais remotos que o previsto. Por exemplo, não é invulgar localizar serviços que concedem permissões de SERVICE_START ou SERVICE_STOP a utilizadores autenticados. Enquanto a intenção é normalmente conceder esses direitos apenas para utilizadores não administrativos locais, Utilizadores autenticados também inclui todas as contas de utilizador ou computador na floresta do Active Directory, se essa conta seja membro do grupo administradores do computador remoto ou local. Estas permissões excessivas poderiam ser utilizado abusivamente e causam grandes estragos através de uma rede inteira.

Dada a gravidade de pervasiveness e o potencial deste problema e a prática de segurança modernas de partindo do princípio de que qualquer suficientemente grande domínio contém computadores afectados, uma nova definição de segurança do sistema foi introduzida que requer que seja também aos autores das chamadas remotos Os administradores locais no computador para poder solicitar as seguintes permissões de serviço:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ELIMINAR WRITE_DAC WRITE_OWNER

A nova definição de segurança também requer que os autores das chamadas remotos ser administradores locais no computador para pedir o seguintepermissão de Gestor de controlo de serviço:

SC_MANAGER_CREATE_SERVICE

Nota Esta verificação de administrador local é um complemento a verificação de acesso existentes contra o serviço ou o descritor de segurança do controlador de serviço. Essa definição foi introduzida no Windows 10 versão 1709 e no Windows Server 2016 versão 1709 a iniciar. Por predefinição, a definição está activada.

Esta nova verificação poderá causar problemas para alguns clientes que têm os serviços que dependem da capacidade de não-administradores iniciar ou pará-los remotamente. Se for necessário, pode optar por serviços individuais sem esta política, adicionando o nome do serviço ao valor de registo RemoteAccessCheckExemptionList REG_MULTI_SZ na seguinte localização do registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Para tal, siga estes passos:

  1. Seleccione Iniciar, seleccione Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.

  2. Localize e, em seguida, seleccione a seguinte subchave no registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Nota se a subchave não existir, terá de a criar: no menu Editar , seleccione Novoe, em seguida, seleccione a chave. Escreva o nome da nova subchave e, em seguida, prima Enter.

  3. No menu Editar , aponte para Novoe, em seguida, seleccione Valor REG_MULTI_SZ.

  4. Escreva RemoteAccessCheckExemptionList para o nome do valor REG_MULTI_SZ e, em seguida, prima Enter.

  5. Faça duplo clique sobre o valor de RemoteAccessCheckExemptionList , escreva o nome do serviço a excluir da nova política e, em seguida, clique em OK.

  6. Saia do Editor de registo e, em seguida, reinicie o computador.

Os administradores que pretendam globalmente desactivar este novo verificação e restaurar o comportamento mais antigo e menos seguro, pode definir o valor de registo REG_DWORD RemoteAccessExemption para um valor diferente de zero na seguinte localização do registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Nota Temporariamente a definição deste valor pode ser uma forma rápida para determinar se este novo modelo de permissão é a causa de problemas de compatibilidade de aplicações.

Para tal, siga estes passos:

  1. Seleccione Iniciar, seleccione Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.

  2. Localize e, em seguida, clique na seguinte subchave no registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. No menu Editar , aponte para Novoe, em seguida, seleccione o valor de (32-bit) REG_DWORD.

  4. Escreva RemoteAccessExemption para o nome do valor REG_DWORD e, em seguida, prima Enter.

  5. Faça duplo clique sobre o valor de RemoteAccessExemption , introduza 1 no campo de dados de valor e, em seguida, clique em OK.

  6. Saia do Editor de registo e, em seguida, reinicie o computador.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×