В последнее время Microsoft изменила политики по умолчанию в гостевых ОС Windows Azure (Windows 2008, Windows 2008 R2 и Windows 2012). Одно из изменений заключается в том, что теперь только участники Administrators группа имеет «Разрешить вход через службы удаленного рабочего стола» и член RemoteDesktopUsers больше не имею привилегии.
Теперь какой в этом смысл? RemoteDesktopUsers это группа, предназначенная для разрешения входа через удаленный рабочий стол, и если эта привилегия отменена, группа не имеет смысла.
Какой смысл иметь RemoteDesktopUsers без привилегии «войти в систему через службы удаленных рабочих столов»?
Думаю, идея состоит в том, чтобы предложить более заблокированную версию из коробки.
Упомянутая вами группа не имеет смысла, поскольку это ее единственная цель, но вы заметите, что это именно то, что они сделали в этом обновлении и для нескольких других политик.
Например
Разрешить локальный вход: Из: Администраторы, пользователи, операторы резервного копирования Кому: Администраторы
И
Поведение запроса на повышение прав для обычных пользователей Из: Запрашивать учетные данные на защищенном рабочем столе Кому: Запросить учетные данные.
Таким образом, в качестве политики по умолчанию они пытаются по умолчанию использовать среду только для администратора. Зачем? Потому что они хотят уменьшить поверхность атаки, усложнив повышение привилегий.
Необходимо обсудить, действительно ли устранение групп / пользователей по умолчанию эффективно и имеют ли смысл их политики безопасности.
Другая причина может быть скрыта между строками
[..] были реализованы для обеспечения безопасности и рекомендации по соблюдению. где иногда пожирают здравый смысл.