Qual é o sentido de ter RemoteDesktopUsers sem privilégios de "fazer logon através dos Serviços de Área de Trabalho Remota"? [fechadas]

Recentemente, a Microsoft alterou as políticas padrão nos SOs Windows Azure Guest (Windows 2008, Windows 2008 R2 e Windows 2012). Uma das alterações é que agora apenas os membros do Administratorsgrupo têm "Permitir logon através dos Serviços de Área de Trabalho Remota" e os membros RemoteDesktopUsersnão têm mais o privilégio.

Agora, como isso faz sentido? RemoteDesktopUsersé o grupo destinado a permitir o logon via Área de Trabalho Remota e, se esse privilégio for revogado, o grupo não fará sentido.

Qual é o sentido de ter RemoteDesktopUsers sem privilégios de "fazer logon através dos Serviços de Área de Trabalho Remota"?

Eu acho que a idéia é oferecer uma versão mais bloqueada fora da caixa.

O grupo, como você mencionou, não faz sentido, pois esse é seu único objetivo, mas você notará que foi exatamente isso que eles fizeram nesta atualização em várias outras políticas.

Como um exemplo

Permitir logon local: De: Administradores, Usuários, BackupOperators Para: Administradores

E

Comportamento do prompt de elevação para usuários padrão De: Solicitar credenciais na área de trabalho segura Para: Solicitar credenciais.

Portanto, como política padrão, eles estão tentando enviar para um ambiente somente de administrador por padrão. Por quê? Porque eles querem diminuir a superfície de ataque, dificultando a escalada de privilégios.

Há uma conversa sobre se a eliminação de grupos / usuários padrão é realmente eficaz e se suas políticas de segurança fazem sentido.

Outro motivo pode estar oculto nas entrelinhas

[..] foram implementados para atender às recomendações de segurança e conformidade . onde às vezes o senso comum é devorado.