Permitir inicio de sesión a través de Servicios de Escritorio remoto

Se aplica a

  • Windows 10

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Permitir el inicio de sesión a través de Servicios de Escritorio remoto. ****

Referencia

Esta configuración de directiva determina qué usuarios o grupos pueden acceder a la pantalla de inicio de sesión de un dispositivo remoto a través de una conexión de Servicios de Escritorio remoto. Es posible que un usuario establezca una conexión de Servicios de Escritorio remoto a un servidor determinado, pero no pueda iniciar sesión en la consola de ese mismo servidor.

Constante: SeRemoteInteractiveLogonRight

Posibles valores

  • Lista de cuentas definida por el usuario
  • No definido

Procedimientos recomendados

  • Para controlar quién puede abrir una conexión de Servicios de Escritorio remoto e iniciar sesión en el dispositivo, agregue usuarios o quite usuarios del grupo Usuarios de Escritorio remoto.

Ubicación

Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de derechos de usuario

Valores predeterminados

De forma predeterminada, los miembros del grupo Administradores tienen este derecho en controladores de dominio, estaciones de trabajo y servidores. El grupo Usuarios de Escritorio remoto también tiene este derecho en las estaciones de trabajo y los servidores. En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada No definido
Directiva de controlador de dominio predeterminada No definido
Directiva de seguridad local del controlador de dominio Administradores
Stand-Alone servidor predeterminado Configuración Administradores
Usuarios de Escritorio remoto
Controlador de dominio efectivo Configuración Administradores
Member Server Effective Default Configuración Administradores
Usuarios de Escritorio remoto
Equipo cliente efectivo predeterminado Configuración Administradores
Usuarios de Escritorio remoto

Administración de directivas

En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar esta directiva.

Directiva de grupo

Para usar Servicios de Escritorio remoto para iniciar sesión correctamente en un dispositivo remoto, el usuario o **** grupo debe ser miembro del grupo Usuarios o administradores de Escritorio remoto y se le concederá el derecho Permitir iniciar sesión a través de servicios de Escritorio remoto. Es posible que un usuario establezca una sesión de Servicios de Escritorio remoto en un servidor determinado, pero no pueda iniciar sesión en la consola de ese mismo servidor.

Para excluir usuarios o grupos, **** puede asignar el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a esos usuarios o grupos. Sin embargo, tenga cuidado al usar este método porque podría crear conflictos para usuarios legítimos o grupos a los que se les ha permitido el acceso mediante el derecho de usuario Permitir iniciar sesión a través de Servicios de Escritorio remoto.

Para obtener más información, vea Denegar el inicio de sesión a través de Servicios de Escritorio remoto.

No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.

Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el propietario de la cuenta inicie sesión.

La configuración de directiva de grupo se aplica a través de GPO en el orden siguiente, que sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:

  1. Configuración de directiva local
  2. Configuración de directiva de sitio
  3. Configuración de directiva de dominio
  4. Configuración de la directiva ou

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

Cualquier cuenta con el derecho Permitir iniciar sesión a través de Servicios de Escritorio remoto puede iniciar sesión en la consola remota del dispositivo. Si no restringe este derecho de usuario a usuarios legítimos que deben iniciar sesión en la consola del equipo, los usuarios no autorizados podrían descargar y ejecutar software malintencionado para elevar sus privilegios.

Contramedida

Para los controladores de dominio, asigne el derecho de usuario Permitir iniciar sesión a través de Servicios de Escritorio remoto solo al grupo Administradores. Para otros dispositivos y roles de servidor, agregue el grupo Usuarios de Escritorio remoto. Para los servidores que tienen habilitado el servicio de rol Host de sesión de Escritorio remoto (RD) y no se ejecutan en modo servidor de aplicaciones, asegúrese de que solo el personal de TI autorizado que debe administrar los equipos pertenece de forma remota a estos grupos.

Precaución: Para los servidores host de sesión de Escritorio remoto que se ejecutan en modo servidor de aplicaciones, asegúrese de que solo los usuarios que requieren acceso al servidor tengan cuentas que pertenezcan al grupo Usuarios de Escritorio remoto porque este grupo integrado tiene este derecho de inicio de sesión de forma predeterminada.

Como alternativa, puede asignar el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a grupos como operadores de cuentas, operadores de servidor e invitados. Sin embargo, tenga cuidado al usar este método porque podría bloquear el acceso a administradores legítimos que también pertenecen a un grupo que tiene el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto.

Posible efecto

La eliminación del derecho de usuario Permitir iniciar sesión a través de Servicios de Escritorio remoto desde otros grupos (o cambios de pertenencia en estos grupos predeterminados) podría limitar las capacidades de los usuarios que realizan roles administrativos específicos en su entorno. **** Debe confirmar que las actividades delegadas no se ven afectadas negativamente.

Temas relacionados