Blokira daljinsku pozivaoci koji nisu lokalni administratori iz pokretanje/zaustavljanje usluge

Rezime

Ovaj članak opisuje promene u sigurnost politika koji počinje sa Windows 10 verzija 1709 i Windows Server 2016 verzija 1709. Pod novom politikom, samo korisnici koji su lokalnih administratora na udaljenom računalu možete da pokrenete ili zaustavite usluge na kompjuteru.

Ovaj članak opisuje kako da odlučuju pojedinačne usluge iz ove nove politike.

Više informacija

Klasična pogreška bezbednosti je konfigurirati usluge koristiti za preterano popustljivog Sigurnosni deskriptor (pogledajte servis bezbednost i prava pristupa), i pritom nehotice odobrite pristup više udaljenih pozivaocima nego što je predviđeno. Na primer, nije neobično da pronaći usluge koje dodelite dozvole za SERVICE_START ili SERVICE_STOP za Authenticated Users. Dok je namera je obično da se odobri ta prava samo na lokalnom nonadministrative korisnike, Authenticated Users takođe uključuje svaki račun korisnika ili računara u šumi Active Directory, da li taj račun je član grupe administratora na na udaljeni ili lokalni računar. Ove prekomerne dozvole mogao biti zlostavljana i sejati preko celog mreže.

S obzirom na ozbiljnost ovog problema pervasiveness i potencijala i modernim sigurnosnim prakse pod pretpostavkom da je bilo dovoljno široka domena sadrži kompromitovane računare, nove sistemske postavke bezbednosti uveden koji zahteva da udaljeni pozivaoci takođe biti lokalnih administratora na računaru moći zatražite sledeće dozvole za servis:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE IZBRIŠI WRITE_DAC WRITE_OWNER

Nove postavke bezbednosti takođe zahteva da udaljeni pozivaoci biti lokalnih administratora na računaru da biste zatražili na sledeći načinusluga kontrole Menadžera za dozvolu:

SC_MANAGER_CREATE_SERVICE

Napomena Potvrdu ovog lokalnog administratora je pored postojećih provera pristupa protiv usluge ili usluge kontroler Sigurnosni deskriptor. Ta postavka je uvedeni u Windows 10 verzija 1709 i u Windows Server 2016 verzija 1709. Po podrazumevanoj vrednosti, postavka uključena.

Ovaj novi ček mogu da prouzrokuju probleme za neke kupce koji imaju usluge koje se oslanjaju na sposobnost za koje nisu administratori da započne ili prekine ih daljinski. Ako je potrebno, možete da izaberete pojedinačne usluge iz ove politike tako što ćete dodati ime usluge vrijednost registra REG_MULTI_SZ RemoteAccessCheckExemptionList na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Da biste to uradili, sledite ove korake:

  1. Izaberite Start, izaberite stavku Pokreni, upišite regedit u okvir , a zatim kliknite na dugme u redu.

  2. Pronađite i izaberite sledeći potključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Napomena ako potključ ne postoji, morate ga kreirati: u meniju Uređivanje izaberite stavku novo, a zatim izaberite ključ. Otkucajte ime za novi potključ, a zatim pritisnite taster Enter.

  3. U meniju Uređivanje postavite pokazivač na nju, a zatim izaberite REG_MULTI_SZ vrednost.

  4. Otkucajte RemoteAccessCheckExemptionList za ime REG_MULTI_SZ vrednosti, a zatim pritisnite taster Enter.

  5. Dvaput kliknite na RemoteAccessCheckExemptionList vrednost, upišite ime usluge da izuzmete od novu politiku, a onda kliknite na OK.

  6. Izađite iz uređivača registratora i ponovo pokrenite računar.

Administratori koji žele globalno onemogućavanje ovu novu potvrdu i vraćanje u prethodno stanje starije, osigurajte manje ponašanje, možete da postavite vrijednost registra REG_DWORD RemoteAccessExemption na vrednost različita od nule na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Napomena Postavljanja ove vrednosti privremeno može biti brz način da utvrdite da li je ovaj novi model dozvola je uzrok problema sa kompatibilnošću aplikacija.

Da biste to uradili, sledite ove korake:

  1. Izaberite Start, izaberite stavku Pokreni, upišite regedit u okvir , a zatim kliknite na dugme u redu.

  2. Pronađite i kliknite sljedeći podključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. U meniju Uređivanje postavite pokazivač na nju, a zatim izaberite vrednost REG_DWORD (32-bitni).

  4. Otkucajte RemoteAccessExemption za ime REG_DWORD vrednost, a zatim pritisnite taster Enter.

  5. Dvaput kliknite na RemoteAccessExemption vrednost, unesite 1 u polju vrednost podataka i zatim kliknite na dugme u redu.

  6. Izađite iz uređivača registratora i ponovo pokrenite računar.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×