Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Аннотация

В данной статье описывает изменения в политику безопасности, начиная с 10 Windows версии 1709 и 2016 Windows Server версии 1709. В соответствии с новой политикой только пользователи, являющиеся локальными администраторами на удаленном компьютере можно запустить или остановить службы на этом компьютере.

В этой статье также описывается необязательно отдельных служб из этой новой политики.

Дополнительная информация

Настройка службы для использования дескриптора безопасности либеральная является распространенной ошибкой безопасности (см. службы безопасности и прав доступа) и тем самым случайно предоставить доступ к более удаленные вызывающие операторы, чем планировалось. Например не является необычным найти службы, предоставляющие разрешения SERVICE_START или SERVICE_STOP для прошедших проверку пользователей. Целью обычно является эти права только для локальных пользователей, не являющихся администраторами, Прошедшие также включает для каждой учетной записи пользователя или компьютера в лесу Active Directory, является ли эта учетная запись является членом группы «Администраторы» на удаленного или локального компьютера. Эти разрешения перегрузки может быть использована неправильно использована и нарушить работу всей сети.

Получив полный и возможных серьезность этой проблемы и практика безопасности современных при условии, что все достаточно большой домен содержит компьютеры, подвергшиеся атаке, новая политика системы безопасности была представлена, требует, чтобы удаленные вызывающие операторы также локальных администраторов на компьютере, чтобы можно было запросить разрешения для службы:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DELETE WRITE_DAC WRITE_OWNER

Новая политика безопасности также требует, чтобы удаленные вызывающие операторы локальных администраторов на компьютере, чтобы запросить следующуюслужбы управления диспетчера разрешение:

SC_MANAGER_CREATE_SERVICE

Примечание. Эта проверка локального администратора — в дополнение к существующей проверки доступа от службы или дескриптор безопасности службы контроллера. Этот параметр был появился в 10 Windows версии 1709 и 2016 Windows Server версии 1709. По умолчанию этот параметр включен.

Эта новая проверка может привести к проблемам для некоторых клиентов служб, использующих возможности для администраторов запустить или остановить их удаленно. При необходимости можно выбрать отдельные службы из этой политики, добавив имя службы RemoteAccessCheckExemptionList REG_MULTI_SZ реестра в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Для этого выполните следующие действия:

  1. Выберите Пуск, выберите команду выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

  2. Найдите и выделите следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Примечание Если подраздел не существует, необходимо создать его: В меню Правка выберите пункт Создать, затем выберите ключ. Введите имя нового раздела и нажмите клавишу ВВОД.

  3. В меню Правка выберите пункт Создатьи выберите Значение REG_MULTI_SZ.

  4. Введите RemoteAccessCheckExemptionList в качестве имени значения REG_MULTI_SZ и нажмите клавишу ВВОД.

  5. Дважды щелкните значение RemoteAccessCheckExemptionList , введите имя службы, исключаемых из новой политики, а затем нажмите кнопку ОК.

  6. Закройте редактор реестра и перезагрузите компьютер.

Администраторы, желающие глобально отключить эту новую проверку и восстановление старых, менее безопасного поведения, можно установить значение реестра REG_DWORD RemoteAccessExemption ненулевое значение в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Примечание. Установка этого значения временно можно быстро определить, является ли причиной проблем с совместимостью приложений эта новая модель разрешений.

Для этого выполните следующие действия:

  1. Выберите Пуск, выберите команду выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

  2. Найдите и выделите следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. В меню Правка выберите пункт Создать, затем выберите параметр DWORD (32 бита) значение.

  4. Введите RemoteAccessExemption в поле имя значение REG_DWORD и нажмите клавишу ВВОД.

  5. Дважды щелкните параметр RemoteAccessExemption , в поле значение введите 1 и нажмите кнопку ОК.

  6. Закройте редактор реестра и перезагрузите компьютер.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×