Consenti accesso tramite Servizi Desktop remoto

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione dei criteri di sicurezza Consenti accesso tramite Servizi Desktop remoto.

Riferimento

Questa impostazione di criteri determina quali utenti o gruppi possono accedere alla schermata di accesso di un dispositivo remoto tramite una connessione a Servizi Desktop remoto. È possibile per un utente stabilire una connessione di Servizi Desktop remoto a un server specifico, ma non essere in grado di accedere alla console dello stesso server.

Costante: SeRemoteInteractiveLogonRight

Valori possibili

  • Elenco di account definito dall'utente
  • Non definito

Procedure consigliate

  • Per controllare chi può aprire una connessione a Servizi Desktop remoto e accedere al dispositivo, aggiungere o rimuovere utenti dal gruppo Utenti Desktop remoto.

Posizione

Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente

Valori predefiniti

Per impostazione predefinita, i membri del gruppo Administrators dispongono di questo diritto nei controller di dominio, nelle workstation e nei server. Il gruppo Utenti desktop remoto dispone inoltre di questo diritto nelle workstation e nei server. Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o oggetto Criteri di gruppo Valore predefinito
Criteri di dominio predefiniti Non definito
Criterio controller di dominio predefinito Non definito
Criteri di protezione locali del controller di dominio Administrators
Stand-Alone impostazioni predefinite di Stand-Alone Server Administrators
Utenti desktop remoto
Impostazioni predefinite effettive del controller di dominio Administrators
Impostazioni predefinite effettive del server membro Administrators
Utenti desktop remoto
Impostazioni predefinite effettive del computer client Administrators
Utenti desktop remoto

Gestione dei criteri

In questa sezione vengono descritte le diverse funzionalità e gli strumenti disponibili per gestire questo criterio.

Criteri di gruppo

Per utilizzare Servizi Desktop remoto per accedere a un dispositivo remoto, l'utente o il gruppo deve essere membro del gruppo Utenti desktop remoto o Amministratori e disporre del diritto Consenti accesso tramite Servizi Desktop remoto. Un utente può stabilire una sessione di Servizi Desktop remoto a un server specifico, ma non può accedere alla console dello stesso server.

Per escludere utenti o gruppi, è possibile assegnare il diritto utente Nega accesso tramite Servizi Desktop remoto a tali utenti o gruppi. Tuttavia, prestare attenzione quando si utilizza questo metodo perché è possibile creare conflitti per utenti o gruppi legittimi a cui è stato consentito l'accesso tramite il diritto utente Consenti accesso tramite Servizi Desktop remoto.

Per ulteriori informazioni, vedere Deny log on through Remote Desktop Services.

Per l'efficacia di questa impostazione dei criteri, non è necessario riavviare il dispositivo.

Qualsiasi modifica all'assegnazione dei diritti utente per un account diventa effettiva al successivo accesso del proprietario dell'account.

Le impostazioni di Criteri di gruppo vengono applicate tramite oggetti Criteri di gruppo nell'ordine seguente, che sovrascriverà le impostazioni nel computer locale al successivo aggiornamento di Criteri di gruppo:

  1. Impostazioni dei criteri locali
  2. Impostazioni dei criteri sito
  3. Impostazioni dei criteri di dominio
  4. Impostazioni dei criteri per le unità organizzative

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Qualsiasi account con il diritto utente Consenti accesso tramite Servizi Desktop remoto può accedere alla console remota del dispositivo. Se non si limita questo diritto utente agli utenti legittimi che devono accedere alla console del computer, gli utenti non autorizzati potrebbero scaricare ed eseguire software dannoso per elevare i propri privilegi.

Contromisura

Per i controller di dominio, assegnare il diritto utente Consenti accesso tramite Servizi Desktop remoto solo al gruppo Administrators. Per altri ruoli e dispositivi del server, aggiungere il gruppo Utenti desktop remoto. Per i server in cui è abilitato il servizio ruolo Host sessione Desktop remoto e che non vengono eseguiti in modalità server applicazioni, assicurarsi che solo il personale IT autorizzato che deve gestire i computer in remoto appartenga a questi gruppi.

Attenzione: Per i server Host sessione Desktop remoto eseguiti in modalità Server applicazioni, assicurarsi che solo gli utenti che richiedono l'accesso al server siano in grado di disporre di account appartenenti al gruppo Utenti Desktop remoto perché questo gruppo predefinito dispone di questo diritto di accesso per impostazione predefinita.

In alternativa, è possibile assegnare il diritto utente Nega accesso tramite Servizi Desktop remoto a gruppi quali Account Operators, Server Operators e Guests. Tuttavia, prestare attenzione quando si utilizza questo metodo perché è possibile bloccare l'accesso agli amministratori legittimi che appartengono anche a un gruppo che dispone del diritto utente Nega accesso tramite Servizi Desktop remoto.

Impatto potenziale

La rimozione del diritto utente Consenti accesso tramite Servizi Desktop remoto da altri gruppi (o modifiche all'appartenenza a questi gruppi predefiniti) potrebbe limitare le capacità degli utenti che eseguono ruoli amministrativi specifici nell'ambiente. È consigliabile verificare che le attività delegate non siano influenzate negativamente.

Argomenti correlati