sha*_*oth 8 windows-server-2008 remote-desktop group-policy windows-server-2008-r2 windows-server-2012
最近,Microsoft 更改了Windows Azure 来宾操作系统(Windows 2008、Windows 2008 R2 和 Windows 2012)中的默认策略。更改之一是现在只有Administrators组成员具有“允许通过远程桌面服务登录”而RemoteDesktopUsers不再具有该权限。
现在怎么理解?RemoteDesktopUsers是旨在允许通过远程桌面登录的组,如果撤销此权限,则该组将毫无意义。
拥有没有“通过远程桌面服务登录”特权的 RemoteDesktopUsers 有什么意义?
小智 1
我想这个想法是提供一个开箱即用的更加锁定的版本。
您提到的该组织没有意义,因为这是其唯一目的,但您会注意到,这正是他们在其他几项政策的更新中所做的。
举个例子
允许本地登录:从:管理员、用户、BackupOperators到: 管理员
和
标准用户的提升提示行为从: 在安全桌面上提示输入凭据到: 提示输入凭据。
因此,作为默认策略,他们默认尝试推送到仅限管理员的环境。为什么?因为他们希望通过加大权限升级的难度来缩小攻击面。
需要讨论消除默认组/用户是否真的有效以及他们的安全策略是否有意义。
字里行间可能隐藏着另一个原因
[...]已实施以满足安全和合规性建议。有时常识会被吞噬。
| 归档时间: |
|
| 查看次数: |
204 次 |
| 最近记录: |