원격 데스크톱 서비스를 통한 로그온 거부
적용 대상:
- Windows 11
- Windows 10
원격 데스크톱 서비스를 통한 로그온 거부 보안 정책 설정에 대한 모범 사례, 위치, 값, 정책 관리 및 보안 고려 사항을 설명합니다.
참고자료
이 정책 설정은 원격 데스크톱 서비스를 통해 원격 데스크톱 연결을 통해 디바이스에 로그온할 수 없는 사용자를 결정합니다. 사용자가 특정 서버에 대한 원격 데스크톱 연결을 설정할 수 있지만 해당 서버의 콘솔에 로그인할 수는 없습니다.
상수: SeDenyRemoteInteractiveLogonRight
가능한 값
- 사용자 정의 계정 목록
- 정의되지 않음
모범 사례
- 원격 데스크톱 연결을 열고 디바이스에 로그인할 수 있는 사용자를 제어하려면 사용자 계정을 원격 데스크톱 사용자 그룹에 추가하거나 원격 데스크톱 사용자 그룹에서 사용자 계정을 제거합니다.
위치
컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당
기본값
다음 표에서는 지원되는 최신 버전의 Windows에 대한 실제 및 유효 기본 정책 값을 나열합니다. 기본값은 정책의 속성 페이지에도 나열됩니다.
| 서버 유형 또는 GPO | 기본값 |
|---|---|
| 기본 도메인 정책 | 정의되지 않음 |
| 기본 도메인 컨트롤러 정책 | 정의되지 않음 |
| Stand-Alone 서버 기본 설정 | 정의되지 않음 |
| 도메인 컨트롤러 유효 기본 설정 | 정의되지 않음 |
| 멤버 서버 유효 기본 설정 | 정의되지 않음 |
| 클라이언트 컴퓨터 유효 기본 설정 | 정의되지 않음 |
정책 관리
이 섹션에서는 이 정책을 관리하는 데 도움이 되는 기능, 도구 및 지침을 설명합니다.
이 정책 설정을 적용하려면 컴퓨터를 다시 시작할 필요가 없습니다.
계정에 대한 사용자 권한 할당에 대한 변경 내용은 다음에 계정 소유자가 로그온할 때 적용됩니다.
원격 시스템 속성은 원격 데스크톱 서비스(컴퓨터에 대한 원격 연결 허용 또는 방지) 및 원격 지원(이 컴퓨터에 대한 원격 지원 연결 허용)에 대한 설정을 제어합니다.
그룹 정책
이 정책 설정은 사용자 계정에 두 정책이 모두 적용되는 경우 원격 데스크톱 서비스를 통한 로그온 허용 정책 설정을 대체합니다.
그룹 정책 설정은 다음 순서로 적용됩니다. 다음 그룹 정책 업데이트 시 로컬 디바이스의 설정을 덮어씁 수 있습니다.
- 로컬 정책 설정
- 사이트 정책 설정
- 도메인 정책 설정
- 조직 구성 단위 정책 설정
로컬 설정이 회색으로 표시되면 GPO가 현재 해당 설정을 제어한다는 것을 나타냅니다.
보안 고려 사항
이 섹션에서는 공격자가 기능 또는 기능의 구성을 악용할 수 있는 방법, 대책을 구현하는 방법 및 대책 구현의 부정적인 결과 가능성에 대해 설명합니다.
취약성
원격 데스크톱 서비스를 통해 로그인할 수 있는 권한이 있는 모든 계정을 사용하여 디바이스의 원격 콘솔에 로그인할 수 있습니다. 이 사용자 권한이 컴퓨터의 콘솔에 로그인해야 하는 합법적인 사용자로 제한되지 않는 경우 악의적인 사용자는 사용자 권한을 상승시키는 소프트웨어를 다운로드하고 실행할 수 있습니다.
대책
원격 데스크톱 서비스를 통해 로그온 거부 권한을 기본 제공 로컬 게스트 계정 및 모든 서비스 계정에 할당합니다. ASP.NET 같은 선택적 구성 요소를 설치한 경우 해당 구성 요소에 필요한 다른 계정에 이 사용자 권한을 할당할 수 있습니다.
잠재적인 영향
원격 데스크톱 서비스를 통해 로그온 거부 권한을 다른 그룹에 할당하는 경우 사용자 환경의 특정 관리 역할에 할당된 사용자의 기능을 제한할 수 있습니다. 이 사용자 권한이 있는 계정은 원격 데스크톱 서비스 또는 원격 지원을 통해 디바이스에 연결할 수 없습니다. 위임된 작업이 부정적인 영향을 받지 않는지 확인해야 합니다.