Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Bu makalede, güvenlik ilkesi Windows 10 sürüm 1709 başlayarak değişikliği ve Windows Server 2016 1709 sürümü açıklanır. Yeni ilke altında uzak bir bilgisayardaki yerel Yöneticiler yalnızca kullanıcılar başlatabilir veya o bilgisayardaki hizmetleri durdurun.

Bu makalede ayrıca bu yeni ilke dışında tek tek Hizmetleri kabul etmek nasıl açıklanır.

Daha fazla bilgi

Aşırı izin veren güvenlik tanımlayıcısı kullanılacağını hizmetleri yapılandırmak için ortak bir güvenlik hata mı (bkz. Hizmet güvenliği ve erişim hakları) ve böylece yanlışlıkla istenenden daha uzak arayanlara erişim vermek. Örneğin, SERVICE_START veya SERVICE_STOP izinleri, kimliği doğrulanmış kullanıcılar için hizmetleri bulmak olağandışı değil. Yalnızca yerel yönetici olmayan kullanıcılar için bu hakları vermek için genellikle hedefi olmakla birlikte, üzerinde bu hesap Yöneticiler grubunun bir üyesi olup olmadığını Authenticated Users de her kullanıcı veya bilgisayar hesabının Active Directory ormanında içerir Uzak veya yerel bilgisayar. Bu aşırı izinleri kötüye ve tüm bir ağ üzerinde bulaştırabilir benzer zararlar verecektir.

Yeterince büyük bir etki alanı güvenliği aşılan bilgisayarları içeren varsayarak bu sorunu pervasiveness ve potansiyel önemi ve modern güvenlik uygulaması verildiğinde, yeni bir sistem güvenlik ayarı gerektiren uzak arayanlar de kullanılmaya başlandı Aşağıdaki hizmet izinlerini kullanabilmek için yerel Yöneticiler bilgisayardaki isteği:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE SİL WRITE_DAC WRITE_OWNER

Yeni güvenlik ayarını da uzak arayanlar şu istemek için bilgisayardaki yerel Yöneticiler olması gerekirHizmet Denetim Yöneticisi izni:

SC_MANAGER_CREATE_SERVICE

Not: Varolan erişim denetimi hizmeti veya hizmet denetleyicisi güvenlik tanımlayıcısı karşı yanı sıra bu yerel yönetici denetimi olur. Bu ayar Windows 10 1709 sürümü ve Windows Server 2016 1709 sürüm itibaren kullanılmaya başlandı. Bu ayar varsayılan olarak açıktır.

Bu yeni denetim özelliği Yönetici olmayanlar uzaktan durdurmak veya başlatmak için kullanan hizmetler bazı müşteriler için sorunlara neden olabilir. Gerekirse, bu ilkenin dışında tek tek Hizmetleri hizmet adı RemoteAccessCheckExemptionList REG_MULTI_SZ kayıt defteri değerini aşağıdaki kayıt defteri konumunda ekleyerek seçebilirsiniz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Bunu yapmak için şu adımları izleyin:

  1. Başlat, Çalıştır' ı tıklatın, kutusuna regedit yazın ve Tamam' ı tıklatın.

  2. Bulun ve sonra da kayıt defterinde aşağıdaki alt anahtarı seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Not alt anahtarı yoksa oluşturmanız gerekir: Düzen menüsünden Yeni' yi seçin ve sonra anahtarıseçin. Yeni alt anahtarın adını yazın ve Enter tuşuna basın.

  3. Düzen menüsünden Yeni' nin üzerine ve REG_MULTI_SZ değeriniseçin.

  4. RemoteAccessCheckExemptionList için REG_MULTI_SZ değerini adını yazın ve Enter tuşuna basın.

  5. RemoteAccessCheckExemptionList değerini çift tıklatın, yeni ilke dışında tutulacak hizmetin adını yazın ve sonra Tamam' ı tıklatın.

  6. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.

Genel olarak bu yeni denetim ve geri yükleme devre dışı bırakmak istediğiniz yöneticileri daha eski, daha az güvenli davranış ayarlayabilirsiniz RemoteAccessExemption REG_DWORD kayıt defteri değerini sıfır olmayan bir değer için aşağıdaki kayıt defteri konumunda:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Not: Bu değer ayarı bu yeni izin modelinin uygulama uyumluluğu sorunlarına neden olup olmadığını belirlemek için hızlı bir yol olabilir.

Bunu yapmak için şu adımları izleyin:

  1. Başlat, Çalıştır' ı tıklatın, kutusuna regedit yazın ve Tamam' ı tıklatın.

  2. Bulun ve kayıt defterinde aşağıdaki alt anahtara tıklayın: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Düzen menüsünden Yeni' nin üzerine ve REG_DWORD (32-bit) değeri' ni seçin.

  4. RemoteAccessExemption REG_DWORD değeri adını yazın ve Enter tuşuna basın.

  5. RemoteAccessExemption değerini çift tıklatın, Değer verisi alanına 1 yazın ve Tamam' ı tıklatın.

  6. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×