Il gruppo "Utenti" deve essere rimosso dall'impostazione dei GPO di sicurezza "Permetti accesso locale" di Windows Server?

6

So che per impostazione predefinita RDP non consente a nessun utente non amministratore di eseguire il RDP su una macchina, a meno che non lo specifichiamo. Ma un utente non amministratore può accedere alla macchina dalla console.

Stavo osservando l'impostazione di protezione degli oggetti Criteri di gruppo "Consenti accesso locale" del gruppo Impostazioni protezione assegnazione diritti utente e, per impostazione predefinita, è possibile accedere localmente:

  • Su workstation e server: amministratori, operatori di backup, utenti esperti, utenti e ospiti.
  • Sui controller di dominio: operatori di account, amministratori, operatori di backup e operatori di stampa.

Non è un rischio per la sicurezza che consente a chiunque nel gruppo "Utenti" che per impostazione predefinita "Utenti dominio" è un membro dell'accesso console ai server? Ero sempre curioso del motivo per cui Microsoft consentiva agli utenti e al gruppo Guest di accedere ai server.

Ritengo che la rimozione di Guest e utenti da questa politica di sicurezza sarebbe la soluzione migliore per i server.

    
posta cflyer 10.09.2015 - 20:05
fonte

1 risposta

5

Credo che tu abbia risposto correttamente alla tua domanda. Gli utenti e gli account Guest non devono avere i diritti di "Consenti accesso locale" sui server , solo amministratori (e operatori di backup se necessario).

Ecco un MS KBA in cui sono descritte le contromisure di sicurezza:

link

Citazione:

"For domain controllers, assign the Allow log on locally user right only to the Administrators group. For other server roles, you may choose to add Backup Operators in addition to Administrators. For end-user computers, you should also assign this right to the Users group.

Alternatively, you can assign groups such as Account Operators, Server Operators, and Guests to the Deny log on locally user right."

    
risposta data 11.09.2015 - 14:59
fonte

Leggi altre domande sui tag