Запретить вход в систему через службу удаленных рабочих столов
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Запретить вход в систему через службу удаленных рабочих столов.
Справка
Этот параметр политики определяет, каким пользователям запрещено входить в систему на устройстве через подключение к удаленному рабочему столу посредством служб удаленных рабочих столов. Пользователь сможет установить подключение к удаленному рабочему столу на определенном сервере, но не сможет войти в консоль этого сервера.
Константа: SeDenyRemoteInteractiveLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Чтобы контролировать, какие пользователи могут открывать подключение к удаленному рабочему столу и входить в систему на устройстве, добавьте учетные записи пользователей в группу пользователей удаленного рабочего стола или удалите их из нее.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Для управления параметрами для служб удаленных рабочих столов (Разрешить или запретить удаленные подключения к компьютеру), а также параметрами удаленного помощника (Разрешить подключения удаленного помощника к этому компьютеру) используется свойство Remote System.
Групповая политика
Этот параметр политики заменяет параметр политики Разрешить вход в систему через службу удаленных рабочих столов, если к учетной записи пользователя применяются обе политики.
Параметры групповой политики применяются в следующем порядке: Они заменяют параметры на локальном устройстве при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики организационного подразделения
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Учетная запись, которой разрешено входить в систему через службы удаленных рабочих столов, может использоваться для входа в удаленную консоль устройства. Если предоставление этого права не ограничено только законными пользователями, которым это требуется для входа в консоль компьютера, злоумышленники могут скачать и запустить вредоносные программы, которые повышают их права пользователя.
Меры противодействия
Назначьте право Запретить вход в систему через службу удаленных рабочих столов встроенной локальной учетной записи гостя и всем учетным записям служб. После установки дополнительных компонентов, таких как ASP.NET, это право пользователя, возможно, потребуется назначить дополнительным учетным записям, которые требуются для этих компонентов.
Возможные последствия
Если назначить право Запретить вход в систему через службу удаленных рабочих столов другим группам, вы можете ограничить возможности пользователей, которым назначены определенные административные роли в организации. С помощью учетных записей, которым предоставлено это право, не удастся подключиться к устройству через службы удаленных рабочих столов или посредством удаленного помощника. Следует убедиться в отсутствии негативных последствий для делегированных задач.