拒绝通过远程桌面服务登录
04/19/2017
本文内容
适用范围
Windows 10
介绍"拒绝通过远程桌面服务登录"安全策略设置的最佳方案、位置、值、策略 管理和安全注意事项 。
参考
此策略设置确定阻止哪些用户通过远程桌面服务通过远程桌面连接登录到设备。 用户可以建立与特定服务器的远程桌面连接,但无法登录到该服务器的控制台。
常量:SeDenyRemoteInteractiveLogonRight
可能值
用户定义的帐户列表
未定义
最佳做法
要控制谁可以打开远程桌面连接并登录到设备,请向远程桌面用户组添加用户帐户或删除用户帐户。
位置
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
默认值
下表列出了最新受支持的 Windows 版本的实际和有效默认策略值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
未定义
域控制器有效默认设置
未定义
成员服务器有效默认设置
未定义
客户端计算机有效默认设置
未定义
策略管理
本节介绍可帮助您管理此策略的功能、工具和指南。
此策略设置生效不需要重新启动计算机。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
远程 系统 属性控制远程桌面服务 (允许或阻止远程连接到计算机 **) ** 和远程协助 (允许远程协助 连接到此计算机) 。
组策略
如果用户帐户受这两个策略限制,则此策略设置将取代"允许通过远程桌面服务登录"策略设置。
组策略设置按以下顺序应用。 下一次组策略更新时,它们覆盖本地设备的设置。
本地策略设置
站点策略设置
域策略设置
组织单位策略设置
当本地设置显示为灰色时,它表示 GPO 当前控制该设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
任何有权通过远程桌面服务登录的帐户都可用于登录到设备的远程控制台。 如果此用户权限不限于需要登录到计算机控制台的合法用户,恶意用户可能会下载并运行提升其用户权限的软件。
对策
将 "拒绝通过远程桌面服务 登录"用户权限分配给内置本地来宾帐户以及所有服务帐户。 如果已安装可选组件(如 ASP.NET,您可能需要向这些组件所需的其他帐户分配此用户权限。
潜在影响
如果将"通过远程桌面 服务 用户登录"权限分配给其他组,则可能会限制分配给环境中特定管理角色的用户的能力。 具有此用户权限的帐户无法通过远程桌面服务或远程协助连接到设备。 应确认委派任务没有受到负面影响。
相关主题