최근 Microsoft 는 Windows Azure 게스트 OS (Windows 2008, Windows 2008 R2 및 Windows 2012) 의 기본 정책 을 변경했습니다 . 변경 사항 중 하나는 이제 Administrators그룹 구성원 만 “원격 데스크톱 서비스를 통한 로그온 허용”을 가지며 RemoteDesktopUsers더 이상 구성원 에게 권한 이 없다는 것입니다.
이제 어떻게 이해가 되나요? RemoteDesktopUsers원격 데스크톱을 통한 로그온을 허용하는 그룹이며이 권한이 취소되면 그룹이 의미가 없습니다.
“원격 데스크톱 서비스를 통해 로그온”권한이없는 원격 데스크톱 사용자에게는 어떤 의미가 있습니까?
답변
아이디어는 상자에서보다 잠긴 버전을 제공하는 것입니다.
언급 한 그룹은 유일한 목적이므로 이해가되지 않지만 여러 다른 정책에 대해서도이 업데이트에서 수행 한 것과 정확히 일치합니다.
예로서
로컬로 로그온 허용 : 보낸 사람 : 관리자, 사용자, 백업 작업받는 사람 : 관리자
과
표준 사용자를위한 프롬프트 고도의 행동 :에서 보안 된 데스크톱에서 자격 증명 확인 :하려면 자격 증명 확인.
따라서 기본 정책으로 기본적으로 관리자 전용 환경으로 푸시하려고합니다. 왜? 권한 상승을 더욱 어렵게하여 공격 영역을 축소하고 싶기 때문입니다.
기본 그룹 / 사용자를 제거하는 것이 실제로 효과적인지 여부와 보안 정책이 적합한 지에 대한 대화가 있습니다.
다른 이유는 줄 사이에 숨겨져있을 수 있습니다
[..]는 보안 및 규정 준수 권장 사항 을 충족하도록 구현되었습니다 . 때때로 상식이 삼켜지는 곳.