Cách vô hiệu hóa quyền truy cập registry năm 2024
|
Bài viết này mô tả các thay đổi chính sách bảo mật bắt đầu với Windows 10 phiên bản 1709 và Windows Server 2016 Phiên bản 1709. Chính sách mới, chỉ người quản trị viên cục bộ trên máy tính từ xa có thể khởi động hoặc ngừng dịch vụ trên máy tính. Bài viết này cũng mô tả làm thế nào để chọn các dịch vụ riêng lẻ trong chính sách mới này. Thông tin Bổ sungLỗi bảo mật phổ biến là cấu hình dịch vụ sử dụng một mô tả quá permissive bảo mật (xem dịch vụ bảo mật và quyền truy cập), và do đó vô tình cấp truy cập từ xa hơn gọi là dành. Ví dụ: không bất thường để tìm dịch vụ cấp quyền truy cập SERVICE_START hoặc SERVICE_STOP để xác thực người dùng. Trong khi mục đích thường để cấp quyền chỉ cho người dùng quản trị địa phương, Xác thực người dùng cũng bao gồm tất cả tài khoản người dùng hoặc máy tính trong nhóm Active Directory, cho dù tài khoản đó là thành viên của nhóm quản trị viên trên máy máy tính từ xa hoặc địa phương. Các quyền quá nhiều có thể bị lạm dụng và tiêu phá trên toàn mạng. Cung cấp pervasiveness và tiềm năng nghiêm trọng của vấn đề này và việc bảo mật hiện đại của giả định rằng bất kỳ tên miền đủ lớn bao gồm máy tính bị xâm phạm, một thiết đặt bảo mật hệ thống mới được giới thiệu có yêu cầu gọi từ xa cũng quản trị viên cục bộ trên máy tính có thể yêu cầu quyền truy cập Dịch vụ sau: SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE XOÁ WRITE_DAC WRITE_OWNER Thiết đặt bảo mật mới cũng yêu cầu gọi từ xa quản trị viên cục bộ trên máy tính yêu cầu saudịch vụ quản lý quyền kiểm soát: SC_MANAGER_CREATE_SERVICE Lưu ý Kiểm tra quản trị viên cục bộ này là ngoài kiểm tra truy cập sẵn có đối với các dịch vụ hoặc dịch vụ điều khiển mô tả bảo mật. Cài đặt đó được giới thiệu trong Windows 10 phiên bản 1709 và trong Windows Server 2016 Phiên bản 1709. Theo mặc định, cài đặt được bật. Kiểm tra mới này có thể gây ra vấn đề cho một số khách hàng dịch vụ dựa trên khả năng không quản trị bắt đầu hoặc dừng chúng từ xa. Nếu cần thiết, bạn có thể chọn từng dịch vụ trong chính sách này bằng cách thêm tên dịch vụ giá trị đăng ký REG_MULTI_SZ RemoteAccessCheckExemptionList ở vị trí đăng ký sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Để thực hiện việc này, hãy làm theo các bước sau:
Quản trị viên muốn vô hiệu hoá toàn cầu này mới kiểm tra và khôi phục chế độ cũ hơn, ít an toàn, có thể đặt giá trị đăng ký REG_DWORD RemoteAccessExemption giá trị khác không ở vị trí đăng ký sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control Lưu ý Đặt giá trị này tạm thời có thể là một cách nhanh chóng xác định xem mô hình cấp phép mới là nguyên nhân gây ra vấn đề tương thích ứng dụng. Để thực hiện việc này, hãy làm theo các bước sau:
Bạn cần thêm trợ giúp?Bạn muốn xem các tùy chọn khác?Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa. Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú. |
