Une erreur de sécurité courante consiste à configurer les services pour utiliser un descripteur de sécurité trop permissif, et ainsi accorder par inattention l'accès et la gestion des services à plus d'appelants distants que prévu.
Depuis les versions Windows 10 version 1709 et Windows Server 2016 version 1709, Microsoft avait appliqué une nouvelle politique de sécurité. En vertu de cette nouvelle politique, seuls les administrateurs locaux peuvent gérer les services à distance. En effet, un nouveau paramètre de sécurité du système a été introduit qui exige que les appelants distants soient également des administrateurs locaux sur l'ordinateur pour pouvoir demander la liste des autorisation de service suivante :
- SERVICE_CHANGE_CONFIG
- SERVICE_START
- SERVICE_STOP
- SERVICE_PAUSE_CONTINUE
- SUPPRIMER
- WRITE_DAC
- WRITE_OWNER
Le nouveau paramètre de sécurité requiert également que les appelants distants soient des administrateurs locaux sur l'ordinateur pour demander l'autorisation de gestionnaire de contrôle de service suivante :
- SC_MANAGER_CREATE_SERVICE
Ce paramètre a été introduit à partir de Windows 10 version 1709 et de Windows Server 2016 version 1709. Par défaut, le paramètre est activé.
Cette nouvelle vérification peut causer des problèmes à certains clients dont les services reposent sur la possibilité pour les non-administrateurs de les démarrer ou de les arrêter à distance. Si nécessaire, vous pouvez exclure certains services de cette stratégie en ajoutant le nom du service à la valeur de registre RemoteAccessCheckExemptionList REG_MULTI_SZ à l'emplacement de registre suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Pour le faire, veuillez choisir une des deux méthodes suivantes :
Méthode 1 : Par interface graphique
- Dans le menu démarrer , accédez à la console regedit.exe .
- Recherchez et sélectionnez la sous-clé suivante dans le Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Remarque Si la sous-clé n'existe pas, vous devez la créer : Dans le menu Edition , sélectionnez Nouveau , puis sélectionnez Clé . Tapez le nom de la nouvelle sous-clé, puis appuyez sur Entrée.
- Dans le menu Edition , pointez sur Nouveau , puis sélectionnez Valeur REG_MULTI_SZ .
- Tapez RemoteAccessCheckExemptionList pour le nom de la valeur REG_MULTI_SZ, puis appuyez sur ENTRÉE.
- Double-cliquez sur la valeur RemoteAccessCheckExemptionList , saisissez le nom du service à exempter de la nouvelle stratégie, puis cliquez sur OK .
- Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.
Méthode 2 : Par commandes PowerShell
#récuperer le contenu de la clé de registre
$services = (Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM).RemoteAccessCheckExemptionList
#définir la liste des services à exclure de la politique de sécurité
$newservices= 'spooler','LPDSVC'
#ajouter la nouvelle liste de services
foreach ($newsvc in $newservices)
{
$services += $newsvc +" "
}
#reconfigurer la clé de registre
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM -Name RemoteAccessCheckExemptionList -Value $services -Type Multistring