Có ý nghĩa gì khi có RemoteDesktopUsers mà không cần đăng nhập thông qua đặc quyền của Remote Desktop Services? [đóng cửa]

Gần đây, Microsoft đã thay đổi các chính sách mặc định trong Windows Azure Guest OS (Windows 2008, Windows 2008 R2 và Windows 2012). Một trong những thay đổi là bây giờ chỉ có các thành viên của Administratorsnhóm có "Cho phép đăng nhập thông qua Dịch vụ Máy tính Từ xa" và thành viên RemoteDesktopUserskhông còn có đặc quyền.

Bây giờ nó có ý nghĩa như thế nào? RemoteDesktopUserslà nhóm dự định cho phép đăng nhập thông qua Remote Desktop và nếu đặc quyền này bị thu hồi thì nhóm sẽ vô nghĩa.

Có ý nghĩa gì khi có RemoteDesktopUsers mà không có đặc quyền "đăng nhập thông qua Remote Desktop Services"?

Tôi đoán ý tưởng là cung cấp một phiên bản khóa chặt hơn ra khỏi hộp.

Nhóm mà bạn đề cập không có ý nghĩa vì đó là mục đích duy nhất của nó, nhưng bạn sẽ nhận thấy rằng đây chính xác là những gì họ đã làm trong bản cập nhật này trên một số chính sách khác.

Làm ví dụ

Cho phép đăng nhập cục bộ: Từ: Quản trị viên, Người dùng, BackupOperators Đến: Quản trị viên

Và

Hành vi của lời nhắc độ cao cho người dùng chuẩn Từ: Nhắc thông tin đăng nhập trên màn hình an toàn Đến: Nhắc thông tin đăng nhập.

Vì vậy, như một chính sách mặc định, họ đang cố gắng đẩy sang môi trường chỉ dành cho Quản trị viên theo mặc định. Tại sao? Bởi vì họ muốn thu nhỏ bề mặt tấn công bằng cách làm cho việc leo thang đặc quyền trở nên khó khăn hơn.

Có một cuộc trò chuyện để có loại bỏ các nhóm / người dùng mặc định có thực sự hiệu quả hay không và liệu các chính sách bảo mật của họ có hợp lý hay không.

Một lý do khác có thể được ẩn giữa các dòng

[..] đã được thực hiện để đáp ứng các khuyến nghị về bảo mật và tuân thủ . nơi đôi khi ý thức chung bị nuốt chửng.