Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Ovaj članak opisuje promene u sigurnost politika koji počinje sa Windows 10 verzija 1709 i Windows Server 2016 verzija 1709. Pod novom politikom, samo korisnici koji su lokalnih administratora na udaljenom računalu možete da pokrenete ili zaustavite usluge na kompjuteru.

Ovaj članak opisuje kako da odlučuju pojedinačne usluge iz ove nove politike.

Više informacija

Klasična pogreška bezbednosti je konfigurirati usluge koristiti za preterano popustljivog Sigurnosni deskriptor (pogledajte servis bezbednost i prava pristupa), i pritom nehotice odobrite pristup više udaljenih pozivaocima nego što je predviđeno. Na primer, nije neobično da pronaći usluge koje dodelite dozvole za SERVICE_START ili SERVICE_STOP za Authenticated Users. Dok je namera je obično da se odobri ta prava samo na lokalnom nonadministrative korisnike, Authenticated Users takođe uključuje svaki račun korisnika ili računara u šumi Active Directory, da li taj račun je član grupe administratora na na udaljeni ili lokalni računar. Ove prekomerne dozvole mogao biti zlostavljana i sejati preko celog mreže.

S obzirom na ozbiljnost ovog problema pervasiveness i potencijala i modernim sigurnosnim prakse pod pretpostavkom da je bilo dovoljno široka domena sadrži kompromitovane računare, nove sistemske postavke bezbednosti uveden koji zahteva da udaljeni pozivaoci takođe biti lokalnih administratora na računaru moći zatražite sledeće dozvole za servis:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE IZBRIŠI WRITE_DAC WRITE_OWNER

Nove postavke bezbednosti takođe zahteva da udaljeni pozivaoci biti lokalnih administratora na računaru da biste zatražili na sledeći načinusluga kontrole Menadžera za dozvolu:

SC_MANAGER_CREATE_SERVICE

Napomena Potvrdu ovog lokalnog administratora je pored postojećih provera pristupa protiv usluge ili usluge kontroler Sigurnosni deskriptor. Ta postavka je uvedeni u Windows 10 verzija 1709 i u Windows Server 2016 verzija 1709. Po podrazumevanoj vrednosti, postavka uključena.

Ovaj novi ček mogu da prouzrokuju probleme za neke kupce koji imaju usluge koje se oslanjaju na sposobnost za koje nisu administratori da započne ili prekine ih daljinski. Ako je potrebno, možete da izaberete pojedinačne usluge iz ove politike tako što ćete dodati ime usluge vrijednost registra REG_MULTI_SZ RemoteAccessCheckExemptionList na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Da biste to uradili, sledite ove korake:

  1. Izaberite Start, izaberite stavku Pokreni, upišite regedit u okvir , a zatim kliknite na dugme u redu.

  2. Pronađite i izaberite sledeći potključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Napomena ako potključ ne postoji, morate ga kreirati: u meniju Uređivanje izaberite stavku novo, a zatim izaberite ključ. Otkucajte ime za novi potključ, a zatim pritisnite taster Enter.

  3. U meniju Uređivanje postavite pokazivač na nju, a zatim izaberite REG_MULTI_SZ vrednost.

  4. Otkucajte RemoteAccessCheckExemptionList za ime REG_MULTI_SZ vrednosti, a zatim pritisnite taster Enter.

  5. Dvaput kliknite na RemoteAccessCheckExemptionList vrednost, upišite ime usluge da izuzmete od novu politiku, a onda kliknite na OK.

  6. Izađite iz uređivača registratora i ponovo pokrenite računar.

Administratori koji žele globalno onemogućavanje ovu novu potvrdu i vraćanje u prethodno stanje starije, osigurajte manje ponašanje, možete da postavite vrijednost registra REG_DWORD RemoteAccessExemption na vrednost različita od nule na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Napomena Postavljanja ove vrednosti privremeno može biti brz način da utvrdite da li je ovaj novi model dozvola je uzrok problema sa kompatibilnošću aplikacija.

Da biste to uradili, sledite ove korake:

  1. Izaberite Start, izaberite stavku Pokreni, upišite regedit u okvir , a zatim kliknite na dugme u redu.

  2. Pronađite i kliknite sljedeći podključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. U meniju Uređivanje postavite pokazivač na nju, a zatim izaberite vrednost REG_DWORD (32-bitni).

  4. Otkucajte RemoteAccessExemption za ime REG_DWORD vrednost, a zatim pritisnite taster Enter.

  5. Dvaput kliknite na RemoteAccessExemption vrednost, unesite 1 u polju vrednost podataka i zatim kliknite na dugme u redu.

  6. Izađite iz uređivača registratora i ponovo pokrenite računar.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×