Какой смысл иметь RemoteDesktopUsers без привилегии «входить через службы удаленных рабочих столов»? [закрыто]

8

Недавно Microsoft изменила политики по умолчанию в гостевых ОС Windows Azure (Windows 2008, Windows 2008 R2 и Windows 2012). Одним из изменений является то, что теперь только члены Administratorsгруппы имеют «Разрешить вход в систему через службы удаленных рабочих столов», а участники RemoteDesktopUsersбольше не имеют привилегий.

Теперь, как это имеет смысл? RemoteDesktopUsersэто группа, предназначенная для разрешения входа через удаленный рабочий стол, и если эта привилегия отозвана, группа не имеет смысла.

Какой смысл иметь RemoteDesktopUsers без привилегии «входить через службы удаленных рабочих столов»?

Sharptooth
источник
Сможете ли вы переназначить привилегию «Вход через службы удаленного рабочего стола» RemoteDesktopUsersгруппе?
Бреннан Нео
@BrennanNeoh: Возможно, но это действительно не делает изменение более значимым.
sharptooth
Единственное, о чем я могу думать, так это то, что администраторы, как правило, единственные в группе RemoteDesktopUsers в Azure, эта группа является избыточной.
Натан С

Ответы:

1

Я предполагаю, что идея состоит в том, чтобы предложить более закрытую версию из коробки.

Упомянутая вами группа не имеет смысла, так как это ее единственная цель, но вы заметите, что именно это они и сделали в этом обновлении и для некоторых других политик.

Например

Разрешить вход в систему локально: От: Администраторы, Пользователи, BackupOperators Кому: Администраторы

А также

Поведение запроса на повышение прав для обычных пользователей. От: Запрос учетных данных на защищенном рабочем столе. Кому: Запрос учетных данных.

Таким образом, в качестве политики по умолчанию они пытаются использовать только среду администратора. Почему? Потому что они хотят уменьшить поверхность атаки, усложнив повышение привилегий.

Необходимо обсудить, действительно ли эффективно удаление групп / пользователей по умолчанию и имеют ли смысл их политики безопасности.

Другая причина может быть скрыта между строк

[..] были реализованы в соответствии с рекомендациями безопасности и соответствия . где иногда здравый смысл пожирается.

пользователь
источник