Запретить вход в систему через службу удаленных рабочих столов

Область применения

  • Windows 10

Описание рекомендаций, расположения, значений, управления политиками и безопасности для запрета входа в систему с помощью параметра политики безопасности служб удаленных рабочих столов.

Справочные материалы

Этот параметр политики определяет, какие пользователи не могут войти на устройство через подключение к удаленному рабочему столу через службы удаленных рабочих столов. Пользователь может установить подключение к удаленному рабочему столу с определенным сервером, но не сможет войти в консоль этого сервера.

Константа: SeDenyRemoteInteractiveLogonRight

Возможные значения

  • Определяемый пользователей список учетных записей
  • Не определено

Рекомендации

  • Чтобы контролировать, кто может открывать подключение к удаленному рабочему столу и входить на устройство, добавьте учетную запись пользователя в группу пользователей удаленного рабочего стола или удалите их из группы "Пользователи удаленного рабочего стола".

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Не определено
Действующие параметры по умолчанию для контроллера домена Не определено
Действующие параметры по умолчанию для рядового сервера Не определено
Действующие параметры по умолчанию для клиентского компьютера Не определено

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Для активации этого параметра политики не требуется перезагрузка компьютера.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Свойство удаленной системы управляет параметрами для служб удаленных рабочих столов (разрешить или запретить удаленные подключения к компьютеру) и для удаленного помощника (разрешить подключения удаленной помощи к этому компьютеру).

Групповая политика

Этот параметр политики заменяет параметр "Разрешить вход в систему с помощью политики служб удаленных рабочих столов", если на учетную запись пользователя распространяются обе политики.

групповая политика параметры применяются в следующем порядке. Они перезапишют параметры на локальном устройстве на следующем групповая политика обновления.

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Если локальный параметр неактивен, он указывает, что этот параметр в настоящее время контролируется объектом групповой политики.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Для входа в удаленную консоль устройства можно использовать любую учетную запись с правом входа через службы удаленных рабочих столов. Если это право пользователя не ограничено допустимыми пользователями, которым необходимо войти в консоль компьютера, злоумышленники могут скачать и запустить программное обеспечение, которое повышает их права пользователя.

Противодействие

Назначьте пользователю служб удаленных рабочих столов право на запрет входа во встроенную локальную гостевую учетную запись и все учетные записи служб. Если вы установили дополнительные компоненты, например ASP.NET, может потребоваться назначить это право пользователю другим учетным записям, которые необходимы этим компонентам.

Возможное влияние

Если пользователю служб **** удаленных рабочих столов назначено право на вход в систему через службы удаленных рабочих столов, можно ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Учетные записи, которые имеют это право пользователя, не могут подключаться к устройству через службы удаленных рабочих столов или службу удаленной помощи. Убедитесь, что делегированные задачи не затрагиваются отрицательно.

Статьи по теме