Apa artinya memiliki RemoteDesktopUsers tanpa hak istimewa "masuk melalui Layanan Desktop Jarak Jauh"? [Tutup]

Baru-baru ini Microsoft mengubah kebijakan default di OS Windows Azure Guest (Windows 2008, Windows 2008 R2 dan Windows 2012). Salah satu perubahan adalah bahwa sekarang hanya anggota Administratorsgrup yang memiliki "Izinkan masuk melalui Remote Desktop Services" dan anggota yang RemoteDesktopUserstidak lagi memiliki hak istimewa.

Sekarang bagaimana itu masuk akal? RemoteDesktopUsersadalah grup yang dimaksudkan untuk mengizinkan masuk melalui Remote Desktop dan jika hak istimewa ini dicabut, grup tersebut tidak masuk akal.

Apa artinya memiliki RemoteDesktopUsers tanpa hak "masuk melalui Layanan Desktop Jarak Jauh"?

Saya kira idenya adalah untuk menawarkan versi yang lebih terkunci dari kotak.

Grup seperti yang Anda sebutkan tidak masuk akal karena itu adalah satu-satunya tujuan, tetapi Anda akan melihat bahwa inilah yang telah mereka lakukan dalam pembaruan ini pada beberapa kebijakan lain juga.

Sebagai contoh

Izinkan masuk secara lokal: Dari: Administrator, Pengguna, BackupOperators Ke: Administrator

Dan

Perilaku prompt elevasi untuk pengguna standar Dari: Prompt untuk kredensial di desktop yang aman Ke: Prompt untuk kredensial.

Jadi sebagai kebijakan standar, mereka mencoba mendorong ke lingkungan khusus Admin secara default. Mengapa? Karena mereka ingin mengecilkan permukaan serangan dengan membuat eskalasi hak istimewa lebih sulit.

Ada percakapan yang bisa diambil apakah menghilangkan grup / pengguna default benar-benar efektif dan apakah kebijakan keamanan mereka masuk akal.

Alasan lain mungkin tersembunyi di antara garis-garis itu

[..] telah diterapkan untuk memenuhi rekomendasi keamanan dan kepatuhan . di mana kadang-kadang akal sehat dimakan.