บล็อกผู้เรียกระยะไกลที่ไม่ได้เป็นผู้ดูแลท้องถิ่นจากบริการเริ่มต้น/หยุดทำงาน

สรุป

บทความนี้อธิบายถึงการเปลี่ยนแปลงในนโยบายความปลอดภัยที่ขึ้นต้นด้วย Windows 10 รุ่น 1709 และ 2016 เซิร์ฟเวอร์ Windows รุ่น 1709 ภายใต้นโยบายใหม่ เฉพาะผู้ใช้ที่เป็นผู้ดูแลท้องถิ่นบนคอมพิวเตอร์ระยะไกลสามารถเริ่ม หรือหยุดบริการบนคอมพิวเตอร์เครื่องนั้น

บทความนี้ยังอธิบายวิธีการเลือกแต่ละบริการไม่มีนโยบายใหม่นี้ด้วย

ข้อมูลเพิ่มเติม

ข้อผิดพลาดด้านความปลอดภัยทั่วไปคือการ กำหนดค่าบริการที่จะใช้เป็นตัวบอกเกี่ยวกับความปลอดภัยอ่านเกินไป (ดูที่ความปลอดภัยการบริการและสิทธิการเข้าถึง), และดังนั้นจึงไม่ได้ตั้งใจให้เข้าถึงผู้เรียกระยะไกลมากขึ้นกว่าวัตถุประสงค์ ตัวอย่างเช่น จะไม่สามารถค้นหาบริการที่ให้สิทธิ์ที่ SERVICE_START หรือ SERVICE_STOP เพื่อพิสูจน์ตัวจริงของผู้ใช้ ในขณะที่การปรับค่าสีโดยปกติจะเป็นการ ให้สิทธิเหล่านั้นกับผู้ใช้ nonadministrative ท้องถิ่นเท่านั้นผู้ใช้การรับรองความถูกต้องรวมถึงทุกบัญชีผู้ใช้หรือคอมพิวเตอร์ในฟอเรสต์ Active Directory ว่าบัญชีนั้นเป็นสมาชิกของกลุ่มผู้ดูแลระบบบน คอมพิวเตอร์ระยะไกล หรือภายในเครื่อง สิทธิ์เหล่านี้มากเกินไปไม่สามารถ abused และ wreak havoc ข้ามเครือข่ายทั้งหมด

รับ pervasiveness และศักยภาพความรุนแรงของปัญหานี้และการรักษาความปลอดภัยสมัยใหม่สมมติว่าโดเมนที่มีขนาดใหญ่เพียงพอประกอบด้วยคอมพิวเตอร์ที่ถูกโจมตี ตั้งค่าระบบความปลอดภัยใหม่ถูกนำมาใช้ที่ต้องการให้ผู้เรียกระยะไกลยังสามารถ ผู้ดูแลท้องถิ่นบนคอมพิวเตอร์เพื่อให้สามารถร้องขอสิทธิ์การบริการต่อไปนี้:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ลบ WRITE_DAC WRITE_OWNER

การตั้งค่าความปลอดภัยใหม่ยังต้องการที่ผู้เรียกระยะไกลเป็นผู้ดูแลท้องถิ่นบนคอมพิวเตอร์เพื่อร้องขอต่อไปนี้สิทธิ์ตัวจัดการควบคุมบริการ:

SC_MANAGER_CREATE_SERVICE

หมายเหตุ  กาเครื่องหมายนี้ผู้ดูแลท้องถิ่นที่อยู่นอกเหนือจากการตรวจสอบที่มีอยู่กับการบริการหรือตัวบอกเกี่ยวกับความปลอดภัยของตัวควบคุมบริการ การตั้งค่าที่ถูกนำมาใช้เริ่มต้น ใน Windows 10 รุ่น 1709 และ ใน 2016 เซิร์ฟเวอร์ Windows รุ่น 1709 โดยค่าเริ่มต้น การตั้งค่าเปิดอยู่

การตรวจสอบใหม่นี้อาจทำให้เกิดปัญหาสำหรับลูกค้าบางรายที่มีบริการที่อาศัยความสามารถที่ไม่ใช่ผู้ดูแลระบบให้เริ่ม หรือหยุดจากระยะไกล ถ้าจำเป็น คุณสามารถเลือกแต่ละบริการไม่มีนโยบายนี้ โดยการเพิ่มชื่อบริการค่ารีจิสทรี REG_MULTI_SZ RemoteAccessCheckExemptionListที่ตำแหน่งที่ตั้งของรีจิสทรีต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

โดยทำตามขั้นตอนต่อไปนี้:

1. เลือกเริ่มต้นเลือกเรียกใช้พิมพ์regeditในกล่องเปิดและจากนั้น คลิกตกลง

2. ค้นหา และจากนั้น เลือกคีย์ย่อยต่อไปนี้ในรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM หมายเหตุถ้าคีย์ย่อยที่มีอยู่ คุณต้องสร้าง: บนเมนูแก้ไขเลือกใหม่และจากนั้น เลือกคีย์ พิมพ์ชื่อของคีย์ย่อยใหม่ และจากนั้น กด Enter

3. บนเมนูแก้ไขชี้ไปที่สร้างและจากนั้น เลือกค่า REG_MULTI_SZ

4. พิมพ์RemoteAccessCheckExemptionListสำหรับชื่อของค่า REG_MULTI_SZ และจากนั้น กด Enter

5. คลิกสองครั้งที่ค่าRemoteAccessCheckExemptionListพิมพ์ชื่อของการบริการยกเว้นจากนโยบายใหม่ แล้วคลิกตกลง

6. ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์

ผู้ดูแลที่ต้องการปิดใช้งานส่วนกลางเช็คใหม่และคืนค่านี้ เก่ากว่า ปลอดภัยน้อยลักษณะการทำงาน สามารถตั้งค่ารีจิสทรี REG_DWORD RemoteAccessExemptionเป็นค่าศูนย์ที่ตำแหน่งที่ตั้งของรีจิสทรีต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

หมายเหตุ การตั้งค่านี้เป็นการชั่วคราวอาจเป็นวิธีรวดเร็วในการกำหนดว่า แบบจำลองนี้สิทธิ์ใหม่เป็นสาเหตุของปัญหาความเข้ากันได้ของโปรแกรมประยุกต์

โดยทำตามขั้นตอนต่อไปนี้:

1. เลือกเริ่มต้นเลือกเรียกใช้พิมพ์regeditในกล่องเปิดและจากนั้น คลิกตกลง

2. ค้นหา และคลิกคีย์ย่อยที่ต่อไปนี้ในรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. บนเมนูแก้ไขชี้ไปที่สร้างและจากนั้น เลือกREG_DWORD (32 บิต) ค่า

4. พิมพ์RemoteAccessExemptionสำหรับชื่อของค่า REG_DWORD และจากนั้น กด Enter

5. คลิกสองครั้งที่ค่าRemoteAccessExemptionป้อน1ในฟิลด์ค่าข้อมูลและจากนั้น คลิกตกลง

6. ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์