Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Acest articol descrie o modificare în Politica de securitate care încep cu Windows 10 versiunea 1709 și Windows Server 2016 versiune 1709. Sub noua politică, numai utilizatorii care sunt administratori locali pe un computer la distanță poate porniți sau opriți serviciile pe acel computer.

Acest articol descrie, de asemenea, cum să optați serviciile individuale din această politică nouă.

Mai multe informații

O greşeală comună de securitate este de configurare a serviciilor pentru a utiliza un descriptor de securitate foarte permisive (consultați Service Security și drepturi de acces), și astfel din greșeală acorda acces apelanţilor la distanță mai mult decât destinată. De exemplu, nu este neobişnuit pentru a găsi servicii care acordă SERVICE_START sau SERVICE_STOP permisiuni pentru utilizatori autentificați. Scopul este, de obicei, pentru a acorda aceste drepturi numai pentru utilizatorii care nu este administrator local, Utilizatori autentificați include, de asemenea, fiecare cont de utilizator de computer sau în pădure Active Directory, dacă acel cont este membru al grupului de administratori pe computer local sau la distanță. Aceste permisiuni excesive ar putea fi abuzat și face pagube într-o reţea întreg.

Având în vedere frecvenţa și potențialul gravitatea problemei și practici de securitate moderne de presupunând că orice domeniu suficient de mare conține computere compromise, o setare de securitate nou sistem a fost introdus care necesită ca apelanţii la distanță, de asemenea, să fie administratorii locali de pe computer pentru a putea solicita service următoarele permisiuni:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DELETE WRITE_DAC WRITE_OWNER

Noile setări de securitate, de asemenea, impune la distanță apelanţii local de administratori pe computer pentru a solicita următoareleservice control manager permisiunea:

SC_MANAGER_CREATE_SERVICE

Notă Această verificare de local administrator este în afară de verificarea de acces existente împotriva serviciului sau serviciu controler descriptorul de securitate. Această setare a fost introdus începând cu Windows 10 versiunea 1709 și în Windows Server 2016 versiune 1709. În mod implicit, această setare este activată.

Această verificare nouă poate provoca probleme pentru unele clienții care dețin serviciile care se bazează pe posibilitatea de a non-administratorilor să porniți sau opriți-le la distanţă. Dacă este necesar, puteți opta serviciile individuale din această politică adăugând numele de service la valoarea de registry RemoteAccessCheckExemptionList REG_MULTI_SZ la următoarea locație registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Pentru a face acest lucru, urmați acești pași:

  1. Selectați Start, selectați Executare, tastați regedit în caseta Deschidere , și apoi faceți clic pe OK.

  2. Găsiți, apoi selectați următoarea subcheie din registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Notă Dacă subcheia nu există, trebuie să creați: în meniul Editare , selectați Newși apoi selectați cheia. Tastați numele subcheii nou, apoi apăsați Enter.

  3. În meniul Editare , indicați spre nouși apoi selectați Valoare REG_MULTI_SZ.

  4. Tastați RemoteAccessCheckExemptionList ca nume de valoare REG_MULTI_SZ și apoi apăsați Enter.

  5. Faceți dublu clic pe valoarea RemoteAccessCheckExemptionList , tastați numele a serviciului pentru scutit de noua politică, apoi faceți clic pe OK.

  6. Închideți editorul de registry, apoi reporniți computerul.

Administratorii care doresc să dezactivați global această nouă selectare și restaurarea comportamentul mai vechi, mai puţin securizată, pot seta RemoteAccessExemption REG_DWORD valoarea de registry la o valoare diferită de zero la următoarea locație registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Notă Setarea acestei valori temporar poate fi o modalitate rapidă de a determina dacă acest nou model de permisiuni este cauza probleme de compatibilitate a aplicațiilor.

Pentru a face acest lucru, urmați acești pași:

  1. Selectați Start, selectați Executare, tastați regedit în caseta Deschidere , și apoi faceți clic pe OK.

  2. Găsiți, apoi faceți clic pe următoarea subcheie din registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. În meniul Editare , indicați spre nouși apoi selectați REG_DWORD (32-bit) Value.

  4. Tastați RemoteAccessExemption ca nume de valoare REG_DWORD și apoi apăsați Enter.

  5. Faceți dublu clic pe valoarea RemoteAccessExemption , introduceţi 1 în câmpul Value data , și apoi faceți clic pe OK.

  6. Închideți editorul de registry, apoi reporniți computerul.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×