Qual é o sentido de ter RemoteDesktopUsers sem o privilégio de “fazer logon através de serviços de área de trabalho remota”? [fechadas]

8

Recentemente a Microsoft alterou as políticas padrão nos sistemas operacionais Windows Azure Guest (Windows 2008, Windows 2008 R2 e Windows 2012). Uma das alterações é que agora apenas membros do grupo Administrators têm "Permitir logon pelos Serviços de Área de Trabalho Remota" e o membro de RemoteDesktopUsers não tem mais o privilégio.

Agora, como isso faz sentido? RemoteDesktopUsers é o grupo destinado a permitir o logon via Área de Trabalho Remota e, se esse privilégio for revogado, o grupo não faz sentido.

Qual é o sentido de ter o RemoteDesktopUsers sem o privilégio "fazer logon através dos Serviços de Área de Trabalho Remota"?

    
por sharptooth 25.06.2013 / 15:45

1 resposta

1

Acho que a ideia é oferecer uma versão mais bloqueada.

O grupo que você mencionou não faz sentido, já que é seu único objetivo, mas você notará que isso é exatamente o que eles fizeram nesta atualização em várias outras políticas também.

Como exemplo

Allow log on locally: From: Administrators, Users, BackupOperators To: Administrators

e

Behavior of the elevation prompt for standard users From: Prompt for credentials on the secure desktop To: Prompt for credentials.

Assim, como uma política padrão, eles tentam enviar para um ambiente Admin apenas por padrão. Por quê? Porque eles querem diminuir a superfície de ataque, tornando o escalonamento de privilégios mais difícil.

Existe uma conversa para saber se a eliminação de grupos / usuários padrão é efetiva e se suas políticas de segurança fazem sentido.

Outro motivo pode estar escondido entre as linhas

[..]have been implemented to meet security and compliance recommendations. where sometimes common sense is devoured.

    
por 04.07.2013 / 17:25