Загальні відомості
У цій статті описано, що зміна безпеки політики, починаючи з версії 10 версії 1709 і Windows Server, 2016 версії 1709. З новими правилами користувачі, які мають локальні адміністратори на віддаленому комп'ютері можна запустити або зупинка служб на цьому комп'ютері.
У цій статті також описується вибрати окремі служби з цієї нової політики.
Додаткова інформація
Загальні помилки безпеки – це настроювання служби для використання на надто стала безпеки дескриптор (див. служба безпеки і прав доступу) і тим самим ненавмисно надати доступ до віддалених виклики, ніж передбачалося. Наприклад, це не важко знайти служб, які надаються дозволи SERVICE_START або SERVICE_STOP автентифіковані користувачі. Хоча мета зазвичай ці права лише для локальних користувачів без надання, Автентифіковані користувачі також кожного облікового запису користувача або комп'ютера в лісі Active Directory, чи обліковий запис є членом групи адміністраторів на в віддалений або локального комп'ютера. Ці дозволи, надмірне може бути використано і зводять через мережу всього.
Огляду поширення та можливості складності цієї проблеми та практиці сучасних безпеки, якщо припустити, що будь-який достатньо великий домен, містить вразливим комп'ютерів, нові настройки системи безпеки присутній, вимагає, що віддалений виклики також бути Локальні адміністратори комп'ютера, для того, запит на обслуговування такі дозволи:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DELETE WRITE_DAC WRITE_OWNER
Нові настройки безпеки також вимагає, що віддалений виклики, буде локальні адміністратори, на комп'ютері, щоб надіслати запит на такіслужби диспетчера-права доступу:
SC_MANAGER_CREATE_SERVICE
Примітка. Цю перевірку, локального адміністратора, це на додаток до існуючих доступ перевірку служби або дескриптор безпеки контролера для служби. Цей параметр присутній, починаючи з Windows 10 версії 1709 і Windows Server, 2016 версії 1709. За промовчанням параметр увімкнуто.
Цю нову перевірку, може спричинити неполадки, для деяких клієнтів, які служб, які залежать від можливість іншим користувачам, або запустити їх зупинити віддалено. Якщо необхідно, ви можете вибрати окремі служби з цієї політики, додавши ім'я служби RemoteAccessCheckExemptionList REG_MULTI_SZ значення в такий розділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Для цього виконайте описані нижче дії.
-
Виберіть, Пуск, виберіть Запуск, введіть regedit у полі " Відкрити " і натисніть кнопку OK.
-
Знайдіть і виберіть такий підрозділ реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Примітка Якщо підрозділ не існує, його потрібно створити: У меню Edit виберіть створитиі виберіть розділ. Введіть ім'я нового підрозділу і натисніть клавішу Enter.
-
У меню Editстворитиі виберіть Тип Reg_multi_sz.
-
Введіть ім'я значення REG_MULTI_SZ RemoteAccessCheckExemptionList і натисніть клавішу Enter.
-
Двічі клацніть параметр RemoteAccessCheckExemptionList , введіть ім'я служби, звільняються як від нової політики, а потім натисніть кнопку OK.
-
Закрийте редактор реєстру й перезавантажте комп’ютер.
Адміністратори, які глобальний, вимкнути цю нову перевірку та відновлення старих, менш безпечним поведінку, можна встановити значення REG_DWORD RemoteAccessExemption має ненульове значення в такий розділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Примітка. Якщо вказати значення тимчасово можна швидко, щоб визначити, чи цей новий дозвільна модель причини проблем сумісності застосунків.
Для цього виконайте описані нижче дії.
-
Виберіть, Пуск, виберіть Запуск, введіть regedit у полі " Відкрити " і натисніть кнопку OK.
-
Знайдіть і клацніть такий підрозділ реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
У меню Editстворитиі виберіть REG_DWORD (32-розрядна версія) значення.
-
Введіть ім'я значення REG_DWORD RemoteAccessExemption і натисніть клавішу Enter.
-
Двічі клацніть параметр RemoteAccessExemption , введіть 1 у полі " значення " і натисніть кнопку OK.
-
Закрийте редактор реєстру й перезавантажте комп’ютер.
