Sammanfattning
Den här artikeln beskrivs en förändring i security policy som börjar med Windows 10 version 1709 och Windows Server 2016 version 1709. Enligt den nya principen kan endast användare som är lokala administratörer på en fjärrdator starta eller stoppa tjänster på datorn.
Den här artikeln beskrivs också hur du väljer enskilda tjänster av denna nya politik.
Mer information
Säkerhet vanliga fel är att konfigurera tjänster om du vill använda en alltför tillåtna säkerhetsbeskrivare (se tjänsten Security and Access Rights), och därigenom oavsiktligt ger tillgång till fler remote anropare än avsett. Det är till exempel inte ovanligt att hitta tjänster som ger SERVICE_START eller SERVICE_STOP behörigheter för autentiserade användare. Syftet är oftast att bevilja de rättigheterna till lokala administrativa användare, Autentiserade användare omfattar även alla användar- eller datorkonto i Active Directory-skogen om kontot är medlem i gruppen Administratörer på den fjärrdator eller lokal dator. Behörigheterna överdriven kan missbrukas och orsaka havoc i hela nätverket.
Ges genomträngning och potentiella allvarlighet problemet och moderna säkerheten på antagandet att en tillräckligt stor domänen innehåller datorer som avslöjade infördes en ny säkerhetsinställning systemet som kräver att det också är remote anropare lokala administratörer på datorn ska kunna begära service följande behörigheter:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DELETE WRITE_DAC WRITE_OWNER
Den nya säkerhetsinställningen kräver också att remote anropare vara lokala administratörer på datorn att begära följandeservice manager behörighet:
SC_MANAGER_CREATE_SERVICE
Obs! Denna lokal administratör är förutom befintliga åtkomstkontrollen mot tjänst eller service controller säkerhetsbeskrivning. Som introducerades i Windows 10 version 1709 och i Windows Server 2016 version 1709. Inställningen är aktiverad som standard.
Den här nya kontrollen kan orsaka problem för vissa kunder med tjänster som är beroende av möjligheten för administratörer att starta eller stoppa dem från en annan dator. Om det är nödvändigt, kan du välja enskilda tjänster av den här principen genom att lägga till namnet på tjänsten RemoteAccessCheckExemptionList REG_MULTI_SZ-registervärde på följande plats i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Gör så här:
-
Välj Startoch välj Kör, Skriv regedit i rutan Öppna .
-
Leta upp och markera följande undernyckel i registret: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Observera om undernyckeln inte finns måste du skapa den: Välj Nyttpå Redigera -menyn och markera nyckeln. Skriv namnet på den nya undernyckeln och tryck på RETUR.
-
Peka på Nyttpå Redigera -menyn och välj REG_MULTI_SZ-värde.
-
Skriv RemoteAccessCheckExemptionList namn för REG_MULTI_SZ-värdet och tryck sedan på RETUR.
-
Dubbelklicka på värdet RemoteAccessCheckExemptionList , skriver du namnet på tjänsten som ska undantas från den nya principen och klicka sedan på OK.
-
Avsluta Registereditorn och starta sedan om datorn.
Administratörer som vill inaktivera den här ny kontroll och återställa globalt beteendet äldre, mindre säkra kan ange registervärdet RemoteAccessExemption REG_DWORD till ett annat värde på följande plats i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Obs! Ange det här värdet tillfälligt kan vara ett snabbt sätt att ta reda på om den här nya behörighetsmodellen orsakas av problem med programkompatibilitet.
Gör så här:
-
Välj Startoch välj Kör, Skriv regedit i rutan Öppna .
-
Leta upp och klicka på följande undernyckel i registret: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
Peka på Nyttpå Redigera -menyn och sedan markera REG_DWORD (32-bitars) värde.
-
Skriv RemoteAccessExemption för namnet på värdet REG_DWORD och tryck sedan på RETUR.
-
Dubbelklicka på värdet RemoteAccessExemption och anger 1 i fältet data .
-
Avsluta Registereditorn och starta sedan om datorn.
