À quoi bon avoir RemoteDesktopUsers sans le privilège «se connecter via les services Bureau à distance»? [fermé]

Récemment, Microsoft a modifié les stratégies par défaut dans les systèmes d'exploitation invités Windows Azure (Windows 2008, Windows 2008 R2 et Windows 2012). L'une des modifications est que seuls les membres du Administratorsgroupe ont désormais «Autoriser la connexion via les services Bureau à distance» et les membres de RemoteDesktopUsersn'ont plus le privilège.

Maintenant, comment cela a-t-il un sens? RemoteDesktopUsersest le groupe destiné à autoriser la connexion via Remote Desktop et si ce privilège est révoqué, le groupe n'a aucun sens.

À quoi bon avoir RemoteDesktopUsers sans le privilège «se connecter via les services Bureau à distance»?

Je suppose que l'idée est de proposer une version plus verrouillée hors de la boîte.

Le groupe comme vous le mentionnez n'a pas de sens car c'est son seul objectif, mais vous remarquerez que c'est exactement ce qu'ils ont fait dans cette mise à jour sur plusieurs autres politiques.

Par exemple

Autoriser la connexion locale: De: Administrateurs, Utilisateurs, BackupOperators À: Administrateurs

Et

Comportement de l'invite d'élévation pour les utilisateurs standard De: Demander les informations d'identification sur le bureau sécurisé À: Demander les informations d'identification.

Par conséquent, en tant que stratégie par défaut, ils essaient de pousser vers un environnement réservé aux administrateurs par défaut. Pourquoi? Parce qu'ils veulent réduire la surface d'attaque en rendant plus difficile l'escalade de privilèges.

Il y a une conversation à avoir pour savoir si l'élimination des groupes / utilisateurs par défaut est réellement efficace et si leurs politiques de sécurité ont du sens.

Une autre raison pourrait être cachée entre les lignes

[..] ont été mis en œuvre pour répondre aux recommandations de sécurité et de conformité . où parfois le bon sens est dévoré.