สรุป
บทความนี้อธิบายถึงการเปลี่ยนแปลงในนโยบายความปลอดภัยที่ขึ้นต้นด้วย Windows 10 รุ่น 1709 และ 2016 เซิร์ฟเวอร์ Windows รุ่น 1709 ภายใต้นโยบายใหม่ เฉพาะผู้ใช้ที่เป็นผู้ดูแลท้องถิ่นบนคอมพิวเตอร์ระยะไกลสามารถเริ่ม หรือหยุดบริการบนคอมพิวเตอร์เครื่องนั้น
บทความนี้ยังอธิบายวิธีการเลือกแต่ละบริการไม่มีนโยบายใหม่นี้ด้วย
ข้อมูลเพิ่มเติม
ข้อผิดพลาดด้านความปลอดภัยทั่วไปคือการ กำหนดค่าบริการที่จะใช้เป็นตัวบอกเกี่ยวกับความปลอดภัยอ่านเกินไป (ดูที่ความปลอดภัยการบริการและสิทธิการเข้าถึง), และดังนั้นจึงไม่ได้ตั้งใจให้เข้าถึงผู้เรียกระยะไกลมากขึ้นกว่าวัตถุประสงค์ ตัวอย่างเช่น จะไม่สามารถค้นหาบริการที่ให้สิทธิ์ที่ SERVICE_START หรือ SERVICE_STOP เพื่อพิสูจน์ตัวจริงของผู้ใช้ ในขณะที่การปรับค่าสีโดยปกติจะเป็นการ ให้สิทธิเหล่านั้นกับผู้ใช้ nonadministrative ท้องถิ่นเท่านั้นผู้ใช้การรับรองความถูกต้องรวมถึงทุกบัญชีผู้ใช้หรือคอมพิวเตอร์ในฟอเรสต์ Active Directory ว่าบัญชีนั้นเป็นสมาชิกของกลุ่มผู้ดูแลระบบบน คอมพิวเตอร์ระยะไกล หรือภายในเครื่อง สิทธิ์เหล่านี้มากเกินไปไม่สามารถ abused และ wreak havoc ข้ามเครือข่ายทั้งหมด
รับ pervasiveness และศักยภาพความรุนแรงของปัญหานี้และการรักษาความปลอดภัยสมัยใหม่สมมติว่าโดเมนที่มีขนาดใหญ่เพียงพอประกอบด้วยคอมพิวเตอร์ที่ถูกโจมตี ตั้งค่าระบบความปลอดภัยใหม่ถูกนำมาใช้ที่ต้องการให้ผู้เรียกระยะไกลยังสามารถ ผู้ดูแลท้องถิ่นบนคอมพิวเตอร์เพื่อให้สามารถร้องขอสิทธิ์การบริการต่อไปนี้:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ลบ WRITE_DAC WRITE_OWNER
การตั้งค่าความปลอดภัยใหม่ยังต้องการที่ผู้เรียกระยะไกลเป็นผู้ดูแลท้องถิ่นบนคอมพิวเตอร์เพื่อร้องขอต่อไปนี้สิทธิ์ตัวจัดการควบคุมบริการ:
SC_MANAGER_CREATE_SERVICE
หมายเหตุ กาเครื่องหมายนี้ผู้ดูแลท้องถิ่นที่อยู่นอกเหนือจากการตรวจสอบที่มีอยู่กับการบริการหรือตัวบอกเกี่ยวกับความปลอดภัยของตัวควบคุมบริการ การตั้งค่าที่ถูกนำมาใช้เริ่มต้น ใน Windows 10 รุ่น 1709 และ ใน 2016 เซิร์ฟเวอร์ Windows รุ่น 1709 โดยค่าเริ่มต้น การตั้งค่าเปิดอยู่
การตรวจสอบใหม่นี้อาจทำให้เกิดปัญหาสำหรับลูกค้าบางรายที่มีบริการที่อาศัยความสามารถที่ไม่ใช่ผู้ดูแลระบบให้เริ่ม หรือหยุดจากระยะไกล ถ้าจำเป็น คุณสามารถเลือกแต่ละบริการไม่มีนโยบายนี้ โดยการเพิ่มชื่อบริการค่ารีจิสทรี REG_MULTI_SZ RemoteAccessCheckExemptionListที่ตำแหน่งที่ตั้งของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
โดยทำตามขั้นตอนต่อไปนี้:
-
เลือกเริ่มต้นเลือกเรียกใช้พิมพ์regeditในกล่องเปิดและจากนั้น คลิกตกลง
-
ค้นหา และจากนั้น เลือกคีย์ย่อยต่อไปนี้ในรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM หมายเหตุถ้าคีย์ย่อยที่มีอยู่ คุณต้องสร้าง: บนเมนูแก้ไขเลือกใหม่และจากนั้น เลือกคีย์ พิมพ์ชื่อของคีย์ย่อยใหม่ และจากนั้น กด Enter
-
บนเมนูแก้ไขชี้ไปที่สร้างและจากนั้น เลือกค่า REG_MULTI_SZ
-
พิมพ์RemoteAccessCheckExemptionListสำหรับชื่อของค่า REG_MULTI_SZ และจากนั้น กด Enter
-
คลิกสองครั้งที่ค่าRemoteAccessCheckExemptionListพิมพ์ชื่อของการบริการยกเว้นจากนโยบายใหม่ แล้วคลิกตกลง
-
ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์
ผู้ดูแลที่ต้องการปิดใช้งานส่วนกลางเช็คใหม่และคืนค่านี้ เก่ากว่า ปลอดภัยน้อยลักษณะการทำงาน สามารถตั้งค่ารีจิสทรี REG_DWORD RemoteAccessExemptionเป็นค่าศูนย์ที่ตำแหน่งที่ตั้งของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
หมายเหตุ การตั้งค่านี้เป็นการชั่วคราวอาจเป็นวิธีรวดเร็วในการกำหนดว่า แบบจำลองนี้สิทธิ์ใหม่เป็นสาเหตุของปัญหาความเข้ากันได้ของโปรแกรมประยุกต์
โดยทำตามขั้นตอนต่อไปนี้:
-
เลือกเริ่มต้นเลือกเรียกใช้พิมพ์regeditในกล่องเปิดและจากนั้น คลิกตกลง
-
ค้นหา และคลิกคีย์ย่อยที่ต่อไปนี้ในรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
บนเมนูแก้ไขชี้ไปที่สร้างและจากนั้น เลือกREG_DWORD (32 บิต) ค่า
-
พิมพ์RemoteAccessExemptionสำหรับชื่อของค่า REG_DWORD และจากนั้น กด Enter
-
คลิกสองครั้งที่ค่าRemoteAccessExemptionป้อน1ในฟิลด์ค่าข้อมูลและจากนั้น คลิกตกลง
-
ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์