Povzetek
Članek opisuje spremembe v varnostne politike se začne z Windows 10 prevod 1709 in Windows Server 2016 različico 1709. Pod novo politiko samo uporabniki, ki so lokalnih skrbnikov v oddaljenem računalniku lahko začnete ali ustavite storitev v tem računalniku.
V članku je opisano tudi, kako se odločijo posamezne storitve iz te nove politike.
Več informacij
Pogosta napaka varnosti je, da nastavite storitev za uporabo preveč permisivno varnostnega deskriptorja (glej storitev varnost in pravice dostopa), in s tem nehote odobri dostop do bolj oddaljenih klicateljev, kot je bilo predvideno. Na primer, ni nenavadno najti storitve, ki se odobri SERVICE_START ali SERVICE_STOP dovoljenja za preverjene uporabnike. Medtem ko je namen je ponavadi dodeliti te pravice samo za ne-skrbniška lokalni Uporabniki, Preverjene uporabnike tudi vsak račun uporabnika ali računalnika v gozdu storitve Active Directory, ali ta račun je član skupine skrbnikov na na oddaljenih ali lokalni računalnik. Pretirano dovoljenja lahko zlorabljeni in Iskaliti Pustoš preko celotne mreže.
Zaradi množičnosti in potencial resnost tega vprašanja in sodobnimi varnostnimi prakso, ob predpostavki, da vse dovolj velike domena vsebuje ogroženi računalniki, nova varnostna nastavitev sistema je bila uvedena ki zahteva, da oddaljeni klicateljev tudi lokalni skrbniki računalnika lahko zahteva dovoljenja naslednje storitve:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE IZBRISATI WRITE_DAC WRITE_OWNER
Nova varnostna nastavitev tudi zahteva, da oddaljeni klicateljev lokalnih skrbnikov v računalniku zahtevajo naslednjestoritev dovoljenje vodja nadzor:
SC_MANAGER_CREATE_SERVICE
Opomba To preverjanje lokalnega skrbnika je poleg obstoječih dostop preveri storitev ali storitev upravljavca varnostnega deskriptorja. Ta nastavitev je bila uvedena v Windows 10 prevod 1709 in v Windows Server 2016 različico 1709. Privzeto, nastavitev vklopljena.
Ta nov pregled lahko povzroči težave za nekatere stranke, ki so storitve, ki se zanašajo na sposobnost za skrbnike za vklop / izklop na daljavo. Če je to potrebno, lahko odločijo posamezne storitve iz tega pravilnika, z dodajanjem ime storitve za RemoteAccessCheckExemptionList REG_MULTI_SZ registracija vrednost v sledeč registracija namestitev:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
To naredite tako:
-
Izberite Začni, izberite Zaženi, v polje Odpri vnesite regedit in kliknite v redu.
-
Poiščite in izberite Ta podključ v registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Opomba če podključ ne obstaja, ga ustvarite: v meniju Urejanje izberite novoin izberite ključ. Vnesite ime nove podključa in pritisnite Enter.
-
V meniju Urejanje pokažite na novoin izberite Vrednost REG_MULTI_SZ.
-
Vnesite RemoteAccessCheckExemptionList za ime vrednost REG_MULTI_SZ, in nato pritisnite Enter.
-
Dvokliknite vrednost RemoteAccessCheckExemptionList , vnesite ime storitve oprostiti nove politike, nato pa kliknite v redu.
-
Zaprite urejevalnik registra in znova zaženite računalnik.
Skrbniki, ki želijo kroglast onesposobiti to novo ček ter postaviti v prejšnje stanje starejši, manj varno vedenje, lahko nastavite RemoteAccessExemption REG_DWORD vrednost registra na neničelno vrednost v sledeč registracija namestitev:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Opomba Nastavite to vrednost začasno lahko hiter način, da ugotovi, ali je ta novi model dovoljenje vzrok združljivostnih težav.
To naredite tako:
-
Izberite Začni, izberite Zaženi, v polje Odpri vnesite regedit in kliknite v redu.
-
Poiščite in kliknite ta podključ v registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
V meniju Urejanje pokažite na novoin izberite REG_DWORD (32-košček) vrednost.
-
Za ime REG_DWORD vrednost vnesite RemoteAccessExemption in pritisnite Enter.
-
Dvokliknite vrednost RemoteAccessExemption , v polje Podatki vrednosti vnesite 1 in kliknite v redu.
-
Zaprite urejevalnik registra in znova zaženite računalnik.
