Denegar el inicio de sesión a través de los Servicios de Escritorio remoto
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Denegar inicio de sesión a través de Servicios de Escritorio remoto.
Referencia
Esta configuración de directiva determina qué usuarios no pueden iniciar sesión en el dispositivo a través de una Conexión a Escritorio remoto mediante Servicios de Escritorio remoto. Es posible que un usuario establezca una Conexión a Escritorio remoto a un servidor determinado, pero que no pueda iniciar sesión en la consola de ese servidor.
Constante: SeDenyRemoteInteractiveLogonRight
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- Para controlar quién puede abrir una Conexión a Escritorio remoto e iniciar sesión en el dispositivo, agrega las cuentas de usuario al grupo Usuarios de Escritorio remoto o quítalas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
Tipo de servidor o GPO | Valor predeterminado |
---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Sin definir |
Configuración predeterminada eficaz del controlador de dominio |
Sin definir |
Configuración predeterminada eficaz del servidor miembro |
Sin definir |
Configuración predeterminada eficaz del equipo cliente |
Sin definir |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
La propiedad Remote System controla la configuración de los Servicios de Escritorio remoto (Allow or prevent remote connections to the computer) y de Asistencia remota (Permitir conexiones de Asistencia remota a este equipo).
Directiva de grupo
Esta configuración de directiva sustituye la configuración de directiva Permitir inicio de sesión a través de Servicios de Escritorio remoto si una cuenta de usuario está sujeta a ambas directivas.
La configuración de directiva de grupo se aplica en el siguiente orden. Sobrescribe la configuración en el dispositivo local en la siguiente actualización de directiva de grupo.
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de la directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe la manera en que un atacante podría aprovecharse de una característica o de su configuración, la forma de implementar la contramedida y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Cualquier cuenta que tenga el derecho de iniciar sesión a través de Servicios de Escritorio remoto se puede usar para iniciar sesión en la consola remota del dispositivo. Si este derecho de usuario no está restringido a los usuarios legítimos que necesitan iniciar sesión en la consola del equipo, los usuarios malintencionados podrían descargar y ejecutar software que elevara sus derechos de usuario.
Contramedida
Asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a la cuenta Invitado local integrada y a todas las cuentas de servicio. Si has instalado componentes opcionales, como ASP.NET, puede que quieras asignar este derecho de usuario a cuentas adicionales necesarias para estos componentes.
Impacto potencial
Si asignas el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a otros grupos, puede que limites las capacidades de los usuarios asignados a roles administrativos específicos de tu entorno. Las cuentas que tengan este derecho de usuario no se pueden conectar al dispositivo a través de Servicios de Escritorio remoto o Asistencia remota. Debes confirmar que las tareas delegadas no se vean afectadas negativamente.