Özet
Bu makalede, güvenlik ilkesi Windows 10 sürüm 1709 başlayarak değişikliği ve Windows Server 2016 1709 sürümü açıklanır. Yeni ilke altında uzak bir bilgisayardaki yerel Yöneticiler yalnızca kullanıcılar başlatabilir veya o bilgisayardaki hizmetleri durdurun.
Bu makalede ayrıca bu yeni ilke dışında tek tek Hizmetleri kabul etmek nasıl açıklanır.
Daha fazla bilgi
Aşırı izin veren güvenlik tanımlayıcısı kullanılacağını hizmetleri yapılandırmak için ortak bir güvenlik hata mı (bkz. Hizmet güvenliği ve erişim hakları) ve böylece yanlışlıkla istenenden daha uzak arayanlara erişim vermek. Örneğin, SERVICE_START veya SERVICE_STOP izinleri, kimliği doğrulanmış kullanıcılar için hizmetleri bulmak olağandışı değil. Yalnızca yerel yönetici olmayan kullanıcılar için bu hakları vermek için genellikle hedefi olmakla birlikte, üzerinde bu hesap Yöneticiler grubunun bir üyesi olup olmadığını Authenticated Users de her kullanıcı veya bilgisayar hesabının Active Directory ormanında içerir Uzak veya yerel bilgisayar. Bu aşırı izinleri kötüye ve tüm bir ağ üzerinde bulaştırabilir benzer zararlar verecektir.
Yeterince büyük bir etki alanı güvenliği aşılan bilgisayarları içeren varsayarak bu sorunu pervasiveness ve potansiyel önemi ve modern güvenlik uygulaması verildiğinde, yeni bir sistem güvenlik ayarı gerektiren uzak arayanlar de kullanılmaya başlandı Aşağıdaki hizmet izinlerini kullanabilmek için yerel Yöneticiler bilgisayardaki isteği:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE SİL WRITE_DAC WRITE_OWNER
Yeni güvenlik ayarını da uzak arayanlar şu istemek için bilgisayardaki yerel Yöneticiler olması gerekirHizmet Denetim Yöneticisi izni:
SC_MANAGER_CREATE_SERVICE
Not: Varolan erişim denetimi hizmeti veya hizmet denetleyicisi güvenlik tanımlayıcısı karşı yanı sıra bu yerel yönetici denetimi olur. Bu ayar Windows 10 1709 sürümü ve Windows Server 2016 1709 sürüm itibaren kullanılmaya başlandı. Bu ayar varsayılan olarak açıktır.
Bu yeni denetim özelliği Yönetici olmayanlar uzaktan durdurmak veya başlatmak için kullanan hizmetler bazı müşteriler için sorunlara neden olabilir. Gerekirse, bu ilkenin dışında tek tek Hizmetleri hizmet adı RemoteAccessCheckExemptionList REG_MULTI_SZ kayıt defteri değerini aşağıdaki kayıt defteri konumunda ekleyerek seçebilirsiniz:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Bunu yapmak için şu adımları izleyin:
-
Başlat, Çalıştır' ı tıklatın, Aç kutusuna regedit yazın ve Tamam' ı tıklatın.
-
Bulun ve sonra da kayıt defterinde aşağıdaki alt anahtarı seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Not alt anahtarı yoksa oluşturmanız gerekir: Düzen menüsünden Yeni' yi seçin ve sonra anahtarıseçin. Yeni alt anahtarın adını yazın ve Enter tuşuna basın.
-
Düzen menüsünden Yeni' nin üzerine ve REG_MULTI_SZ değeriniseçin.
-
RemoteAccessCheckExemptionList için REG_MULTI_SZ değerini adını yazın ve Enter tuşuna basın.
-
RemoteAccessCheckExemptionList değerini çift tıklatın, yeni ilke dışında tutulacak hizmetin adını yazın ve sonra Tamam' ı tıklatın.
-
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
Genel olarak bu yeni denetim ve geri yükleme devre dışı bırakmak istediğiniz yöneticileri daha eski, daha az güvenli davranış ayarlayabilirsiniz RemoteAccessExemption REG_DWORD kayıt defteri değerini sıfır olmayan bir değer için aşağıdaki kayıt defteri konumunda:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Not: Bu değer ayarı bu yeni izin modelinin uygulama uyumluluğu sorunlarına neden olup olmadığını belirlemek için hızlı bir yol olabilir.
Bunu yapmak için şu adımları izleyin:
-
Başlat, Çalıştır' ı tıklatın, Aç kutusuna regedit yazın ve Tamam' ı tıklatın.
-
Bulun ve kayıt defterinde aşağıdaki alt anahtara tıklayın: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
-
Düzen menüsünden Yeni' nin üzerine ve REG_DWORD (32-bit) değeri' ni seçin.
-
RemoteAccessExemption REG_DWORD değeri adını yazın ve Enter tuşuna basın.
-
RemoteAccessExemption değerini çift tıklatın, Değer verisi alanına 1 yazın ve Tamam' ı tıklatın.
-
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.