最近微软改变了默认政策在 Windows Azure 客户操作系统 (Windows 2008、Windows 2008 R2 和 Windows 2012) 中。其中一个变化是,现在只有Administrators组的成员才有“允许通过远程桌面服务登录”权限,而成员RemoteDesktopUsers不再具有该权限。
现在这有什么意义呢?RemoteDesktopUsers该组是否旨在允许通过远程桌面登录,如果此权限被撤销,该组就没有意义了。
拥有没有“通过远程桌面服务登录”权限的 RemoteDesktopUsers 有什么意义?
答案1
我猜这个想法是提供一个开箱即用的更加锁定的版本。
正如您所提到的,这个小组没有意义,因为这是它的唯一目的,但您会注意到,这正是他们在这次对其他几项政策的更新中所做的。
举个例子
允许本地登录:从:管理员、用户、备份操作员到: 管理员
和
标准用户的提升权限提示行为从: 在安全桌面上提示输入凭据到: 提示输入凭证。
因此,作为一项默认策略,他们试图默认推送到仅限管理员的环境。为什么?因为他们想通过使特权升级变得更加困难来缩小攻击面。
关于消除默认组/用户是否真正有效以及其安全策略是否合理,还有待讨论。
字里行间或许隐藏着另一个原因
[...] 已经实施以满足安全和合规建议. 有时候,常识会被吞噬。