- Văn bản
- Lịch sử
Hi all,A few years ago, when Window
Hi all,
A few years ago, when Windows Server 2008 released, we blogged about some changes made in the operating system to reduce the overall attack surface of installed services on the Server. This was taking changes made in Windows Server Service Pack 1 to the next level.
These changes were called Service Hardening which included changes in the Service Account User and changes to the permissions granted to the user at the registry, file, and network levels. This was done with the intent that these Service account would not be changed from their new users.
Unfortunately over the years, support personnel have at times recommended changing the account that a particular service runs under back to a “more privileged” account to resolve issues caused by other changes. Sometimes a security template will get applied to a system that was not designed for that operating system. Applying a security template designed for Windows 2000 will not take into account the changes made in the operating system in Windows Server 2003 Service Pack 1.
We fielded many cases with customers upgrading to Service Pack 1 or Service Pack 2 from RTM in Windows Server 2003 where it was necessary to reset the file permissions back to defaults defined by the setup process (see KB 873148 and KB 313222).
Unfortunately this has continued over the years, and even continues into Windows Server 2008 R2.
From a support perspective it may seem easy to change the Service account for a system service and feel that “Since the account I am changing it to has more privileges, it must be better overall.”
However there are a few possible problems that can crop up. One problem comes from the fact that the change in service account was a conscious decision by the Windows Product Group. This means that there are likely to be other internal changes which have been made. In some cases the “more privileged” account may actually be specifically denied access to a file, registry, or network resource.
A case which recently came up pinpointed this fallacy and took quite some time to troubleshoot and diagnose since the changes made to the service account were not expected.
The customer had installed the Windows Server 2008 Remote Desktop Session Host role service on his server. After doing his entire configuration he had attempted to connect to the server, only to find that he was getting an “Access Denied” error message. This was unexpected because he was connecting with a Domain Administrator account. Hours were spent by the customer and Microsoft support investigating and troubleshooting the “Access Denied” error message. It was a very intriguing case from the standpoint that all of the services were installed and running. There were no Security event log entries speaking to the “Access Denied” error message. Conventional troubleshooting for this error yielded no discernable cause. Most interesting was that we actually saw the session getting connected, so Remote Desktop Services were up and running. But we were getting the “Access is Denied” message on the logon screen, like so:
A few years ago, when Windows Server 2008 released, we blogged about some changes made in the operating system to reduce the overall attack surface of installed services on the Server. This was taking changes made in Windows Server Service Pack 1 to the next level.
These changes were called Service Hardening which included changes in the Service Account User and changes to the permissions granted to the user at the registry, file, and network levels. This was done with the intent that these Service account would not be changed from their new users.
Unfortunately over the years, support personnel have at times recommended changing the account that a particular service runs under back to a “more privileged” account to resolve issues caused by other changes. Sometimes a security template will get applied to a system that was not designed for that operating system. Applying a security template designed for Windows 2000 will not take into account the changes made in the operating system in Windows Server 2003 Service Pack 1.
We fielded many cases with customers upgrading to Service Pack 1 or Service Pack 2 from RTM in Windows Server 2003 where it was necessary to reset the file permissions back to defaults defined by the setup process (see KB 873148 and KB 313222).
Unfortunately this has continued over the years, and even continues into Windows Server 2008 R2.
From a support perspective it may seem easy to change the Service account for a system service and feel that “Since the account I am changing it to has more privileges, it must be better overall.”
However there are a few possible problems that can crop up. One problem comes from the fact that the change in service account was a conscious decision by the Windows Product Group. This means that there are likely to be other internal changes which have been made. In some cases the “more privileged” account may actually be specifically denied access to a file, registry, or network resource.
A case which recently came up pinpointed this fallacy and took quite some time to troubleshoot and diagnose since the changes made to the service account were not expected.
The customer had installed the Windows Server 2008 Remote Desktop Session Host role service on his server. After doing his entire configuration he had attempted to connect to the server, only to find that he was getting an “Access Denied” error message. This was unexpected because he was connecting with a Domain Administrator account. Hours were spent by the customer and Microsoft support investigating and troubleshooting the “Access Denied” error message. It was a very intriguing case from the standpoint that all of the services were installed and running. There were no Security event log entries speaking to the “Access Denied” error message. Conventional troubleshooting for this error yielded no discernable cause. Most interesting was that we actually saw the session getting connected, so Remote Desktop Services were up and running. But we were getting the “Access is Denied” message on the logon screen, like so:
0/5000
Chào mọi ngườiMột vài năm trước đây, khi phát hành Windows Server 2008, chúng tôi viết blog về một số thay đổi trong hệ điều hành để giảm bề mặt tấn công tổng thể của cài đặt dịch vụ trên máy chủ. Điều này đã dùng thay đổi trong Windows Server Service Pack 1 để cấp độ tiếp theo.Những thay đổi này được gọi là dịch vụ cứng bao gồm thay đổi trong các dịch vụ tài khoản người dùng và thay đổi các quyền được cấp cho người dùng đăng ký, tập tin và mạng lưới cấp. Điều này được thực hiện với mục đích rằng tài khoản Dịch vụ sẽ không được thay đổi từ người dùng mới của họ.Thật không may trong những năm qua, hỗ trợ nhân viên đã vào các thời điểm đề nghị thay đổi tài khoản một dịch vụ cụ thể chạy trở lại vào một tài khoản "nhiều đặc quyền" để giải quyết vấn đề gây ra bởi những thay đổi khác. Đôi khi một mẫu bảo mật sẽ được áp dụng cho một hệ thống mà không được thiết kế cho hệ điều hành đó. Áp dụng một mẫu bảo mật được thiết kế cho Windows 2000 sẽ không đưa vào tài khoản những thay đổi được thực hiện trong hệ điều hành Windows Server 2003 Service Pack 1.Chúng tôi đưa ra nhiều trường hợp với khách hàng nâng cấp lên Service Pack 1 hoặc Service Pack 2 từ RTM trong Windows Server 2003 nơi nó là cần thiết để thiết lập lại các cho phép tập tin trở lại mặc định được xác định bởi trình cài đặt (xem KB 873148 và KB 313222).Thật không may, điều này đã tiếp tục trong những năm qua, và thậm chí tiếp tục vào Windows Server 2008 R2.Từ một quan điểm hỗ trợ nó có vẻ dễ dàng để thay đổi tài khoản Dịch vụ cho một dịch vụ hệ thống và cảm thấy rằng "kể từ tài khoản tôi đang thay đổi nó để có thêm quyền, nó phải được tốt hơn tổng thể."Tuy nhiên, có là một số vấn đề có thể có thể cây trồng lên. Một vấn đề xuất phát từ thực tế rằng sự thay đổi trong tài khoản Dịch vụ là một quyết định ý thức của nhóm sản phẩm Windows. Điều này có nghĩa rằng không có khả năng là các thay đổi nội bộ mà đã được thực hiện. Trong một số trường hợp tài khoản "nhiều đặc quyền" có thể thực sự được cụ thể bị từ chối truy cập vào một tập tin, đăng ký, hoặc tài nguyên mạng.Một trường hợp mà gần đây đã đưa ra sai lầm này xác định chính xác và mất nhiều thời gian để khắc phục sự cố và chẩn đoán vì những thay đổi được thực hiện cho tài khoản Dịch vụ không được dự kiến.Khách hàng đã cài đặt Windows Server 2008 máy tính để bàn từ xa phiên Host vai trò dịch vụ trên máy chủ của mình. Sau khi thực hiện cấu hình toàn bộ của mình, ông đã cố gắng để kết nối với máy chủ, chỉ để thấy rằng ông đã nhận được một thông báo lỗi "Truy cập từ chối". Đây là bất ngờ bởi vì ông kết nối với một tài khoản quản trị viên miền. Giờ đã được chi tiêu của khách hàng và hỗ trợ của Microsoft điều tra và xử lý sự cố thông báo lỗi "Truy cập từ chối". Đó là một trường hợp rất hấp dẫn từ quan điểm rằng tất cả các dịch vụ đã được cài đặt và chạy. Đã có không có bảo mật ghi sự kiện mục nói chuyện với thông báo lỗi "Truy cập từ chối". Giải đáp thắc mắc thông thường cho lỗi này mang lại không có nguyên nhân discernable. Thú vị nhất là rằng chúng tôi thực sự thấy phiên làm việc nhận được kết nối, vì vậy dịch vụ máy tính để bàn từ xa đã lên và chạy. Nhưng chúng tôi đã nhận được tin nhắn "Truy cập từ chối" trên màn hình đăng nhập, như vậy:
đang được dịch, vui lòng đợi..
Hi all, Một vài năm trước đây, khi Windows Server 2008 được phát hành, chúng tôi viết blog về một số thay đổi trong hệ điều hành để giảm bề mặt tấn công của dịch vụ được cài đặt trên máy chủ. Điều này đã được dùng thay đổi được thực hiện trong Windows Server Service Pack 1 đến cấp độ tiếp theo. Các thay đổi đã được gọi là Service Hardening trong đó bao gồm những thay đổi trong các tài khoản người dùng dịch vụ và thay đổi các quyền được cấp cho người sử dụng ở cấp registry, file, và mạng. Điều này đã được thực hiện với mục đích rằng các tài khoản dịch vụ sẽ không được thay đổi từ những người dùng mới của họ. Thật không may trong những năm qua, nhân viên hỗ trợ đã ở lần đề nghị thay đổi tài khoản mà một dịch vụ cụ thể chạy theo lại là một "đặc quyền hơn" tài khoản để giải quyết vấn đề gây ra bởi những thay đổi khác. Đôi khi một mẫu bảo mật sẽ được áp dụng cho một hệ thống không được thiết kế cho các hệ điều hành. Áp dụng một mẫu bảo mật được thiết kế cho Windows 2000 sẽ không đưa vào tài khoản của những thay đổi trong hệ điều hành Windows Server 2003 Service Pack 1. Chúng tôi ra sân nhiều trường hợp với khách hàng nâng cấp lên Service Pack 1 hoặc Service Pack 2 từ RTM trong Windows Server 2003, nơi nó là cần thiết để thiết lập lại quyền truy cập tập tin trở lại mặc định được xác định bởi quá trình thiết lập (xem KB 873.148 và 313.222 KB). Thật không may điều này đã tiếp tục trong những năm qua, và thậm chí còn tiếp tục vào Windows Server 2008 R2. Từ một người hỗ trợ thì có vẻ dễ dàng để thay đổi tài khoản Dịch vụ cho một dịch vụ hệ thống và cảm thấy rằng "Kể từ tài khoản của tôi thay đổi nó để có đặc quyền hơn, nó phải được tổng thể tốt hơn." Tuy nhiên có một vài vấn đề có thể là có thể cắt lên. Một vấn đề xuất phát từ thực tế là sự thay đổi trong tài khoản của dịch vụ là một quyết định có ý thức của Tập đoàn Windows Product. Điều này có nghĩa là có khả năng được thay đổi nội bộ khác đã được thực hiện. Trong một số trường hợp, các tài khoản "đặc quyền hơn" thực sự có thể bị từ chối cụ thể truy cập vào một tập tin, registry, hay tài nguyên mạng. Một trường hợp gần đây đã đưa ra xác định chính xác sai lầm này và mất khá nhiều thời gian để khắc phục và chẩn đoán từ những thay đổi được thực hiện cho các dịch vụ tài khoản không được mong đợi. Các khách hàng đã cài đặt các dịch vụ role Remote Desktop Session Host Windows Server 2008 trên máy chủ của mình. Sau khi thực hiện toàn bộ cấu hình của mình, ông đã cố gắng để kết nối với máy chủ, chỉ để thấy rằng ông đã nhận được một "Access Denied" thông báo lỗi. Đây là bất ngờ vì anh đã được kết nối với một tài khoản quản trị tên miền. Giờ đã được chi tiêu của khách hàng và hỗ trợ Microsoft điều tra và khắc phục sự cố "Access Denied" thông báo lỗi. Đó là một trường hợp rất hấp dẫn theo quan điểm mà tất cả các dịch vụ đã được cài đặt và chạy. Không có sự kiện an ninh các mục nhật ký nói chuyện với "Access Denied" thông báo lỗi. Xử lý sự cố thông thường cho lỗi này mang lại không có nguyên nhân xác đáng. Hầu hết thú vị là chúng tôi thực sự thấy phiên việc kết nối, dịch vụ để Remote Desktop là lên và chạy. Nhưng chúng tôi đã nhận được "Truy cập bị từ chối" tin nhắn trên màn hình đăng nhập, như vậy:
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- 别闹[太阳],练到3015年可如何是好[打哈气]
- đã vắng mặt
- Cảm ơn ba người ba tuyệt vời
- do
- and each should only sê 1 or 2 hours
- do
- Give your baby enough space to stretch a
- Dear Sir,I'm looking for the translater.
- 學會計
- Everyday when you got up to say good mor
- Dear Sir,I'm looking for the translater.
- Re: address correction on commercial inv
- The number of Hobgoblins increased by th
- Của ơn ba người ba tuyệt vời
- Trap
- The number of Hobgoblins increased by th
- Mình khỏe bạn thì sao?
- due to the
- parain was neighboor water the plant
- 連絡先
- Dear Sir,I'm looking for the translater.
- I think about u all day long...and I am
- Dear Sir,I'm looking for the translater.
- nhà cung cấp sử dụng vật liệu A thay cho
