Súhrn
Tento článok popisuje zmenu politiky zabezpečenia začiatku Windows 10 verzia 1709 a Windows Server 2016 verzia 1709. Nové politiky, iba používateľov lokálnych správcov vo vzdialenom počítači môžete spustenie alebo zastavenie služby v počítači.
Tento článok tiež popisuje, ako jednotlivé služby z tejto politiky.
Ďalšie informácie
Bežné chyby zabezpečenia je nastavenie používať príliš tolerantní zabezpečenia popisovača (pozri služby zabezpečenia a prístupových práv), a tým nechtiac poskytla prístup na vzdialené volajúci ako určené. Napríklad nie je nezvyčajné nájsť služby prideľte SERVICE_START alebo SERVICE_STOP Authenticated Users. Zámerom je zvyčajne prideliť práva len miestnych iné než správcovské používateľov Authenticated Users aj každé konto používateľa alebo počítač v lese služby Active Directory, či toto konto je členom skupiny Administrators na vzdialeného alebo lokálneho počítača. Tieto nadmerné povolenia zneužitia a rozpútať v celej sieti.
Vzhľadom na všadeprítomnú a potenciálne závažnosti tohto problému a moderné zabezpečenie praxe, za predpokladu, že všetky dostatočne veľká doména obsahuje počítač, nové nastavenie zabezpečenia systému objavil, vyžaduje, aby vzdialené volajúci aj lokálnych správcov počítača môžete požiadať o povolenia pre nasledujúce služby:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ODSTRÁNENIE WRITE_DAC WRITE_OWNER
Nové nastavenie zabezpečenia tiež vyžaduje, aby vzdialené volajúci Lokálni správcovia počítača požiadaťslužby povolenia správcu riadenia:
SC_MANAGER_CREATE_SERVICE
Poznámka: Tento lokálny správca je okrem existujúcich prístup kontrolu služby alebo služby radič popisovač zabezpečenia. Nastavenie bol zavedený v systéme Windows 10 verzia 1709 a Windows Server 2016 verzia 1709. V predvolenom nastavení zapnuté.
Táto nová kontrola môže spôsobiť problémy na niektorých zákazníkov, ktorí majú schopnosť používateľov na spustenie alebo zastavenie ich vzdialene službám. Ak je to potrebné, môžete sa rozhodnúť jednotlivé služby z tejto politiky pridaním názov služby hodnota databázy registry REG_MULTI_SZ RemoteAccessCheckExemptionList v nasledujúcom umiestnení v databáze registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Postupujte podľa nasledujúcich krokov:
-
Vyberte Štart, vyberte Spustiť, do poľa Otvoriť zadajte reťazec regedit a kliknite na tlačidlo OK.
-
Vyhľadajte a vyberte nasledujúci podkľúč databázy registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Poznámka: Ak podkľúč neexistuje, musíte ju vytvoriť: v ponuke úpravyVybertea potom vyberte kľúč. Zadajte názov nový podkľúč a potom stlačte kláves Enter.
-
V ponuke Upraviť ukážte na novéa vyberte REG_MULTI_SZ hodnotou.
-
Typ RemoteAccessCheckExemptionList názov REG_MULTI_SZ hodnotou a stlačte kláves Enter.
-
Dvakrát kliknite na hodnotu RemoteAccessCheckExemptionList , zadajte názov služby oslobodené od politiky, kliknite na tlačidlo OK.
-
Zatvorte Editor databázy Registry a potom reštartujte počítač.
Správcovia, ktorí globálne vypnúť Táto nová kontrola a obnovenie staršie, menej bezpečné správanie, môžete nastaviť hodnotu RemoteAccessExemption REG_DWORD databázy registry na inú hodnotu v nasledujúcom umiestnení v databáze registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Poznámka: Nastavenie tejto hodnoty dočasne môže byť rýchly spôsob, ako zistiť, či tento nový model povolení je príčinou problémov s kompatibilitou aplikácií.
Postupujte podľa nasledujúcich krokov:
-
Vyberte Štart, vyberte Spustiť, do poľa Otvoriť zadajte reťazec regedit a kliknite na tlačidlo OK.
-
Vyhľadajte a potom kliknite na nasledujúci podkľúč databázy registry: Zadajte správu.
-
V ponuke Upraviť ukážte naa vyberte hodnotu REG_DWORD (32-bitová).
-
Zadajte RemoteAccessExemption REG_DWORD hodnoty a potom stlačte kláves Enter.
-
Dvakrát kliknite na hodnotu RemoteAccessExemption , zadajte hodnotu 1 do poľa údaj hodnoty a kliknite na tlačidlo OK.
-
Zatvorte Editor databázy Registry a potom reštartujte počítač.