最近, Microsoft更改了 Windows Azure来宾操作系统(Windows 2008,Windows 2008 R2和Windows 2012)中的默认策略 。 其中一个变化是,现在只有Administrators组的成员具有“允许通过远程桌面服务login”,而RemoteDesktopUsers成员不再具有该权限。
现在它是如何有意义的? RemoteDesktopUsers是旨在允许通过远程桌面login的组,如果该权限被撤销,则该组无效。
让RemoteDesktopUser没有“通过远程桌面服务login”权限有什么意义?
我想这个想法是提供一个更加locking的版本。
你提到的这个小组没有意义,因为这是它的唯一目的,但是你会注意到,这也是他们在其他几个策略中所做的。
举个例子
允许本地login: 从:pipe理员,用户,BackupOperators 到:pipe理员
和
标准用户提升提示的行为发件人:提示安全桌面上的凭据要:提示input凭据。
因此,作为默认策略,他们默认尝试将其推送到仅限pipe理员环境。 为什么? 因为他们希望通过使特权升级变得更难而缩小攻击面。
消除默认组/用户是否真正有效,以及他们的安全策略是否有意义,还有一个对话。
另一个原因可能是隐藏在行之间
已经实施,以满足安全和合规build议 。 有时常识被吞噬。