Permitir logon por meio de Serviços de Área de Trabalho Remota
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Permitir logon por meio de Serviços de Área de Trabalho Remota.
Referência
Essa configuração de política determina quais usuários ou grupos podem acessar a tela de logon de um dispositivo remoto por meio de uma conexão de Serviços de Área de Trabalho Remota. É possível que um usuário estabeleça uma conexão de Serviços de Área de Trabalho Remota para um determinado servidor, mas não possa logon no console do mesmo servidor.
Constante: SeRemoteInteractiveLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Para controlar quem pode abrir uma conexão de Serviços de Área de Trabalho Remota e fazer logon no dispositivo, adicione ou remova usuários do grupo Usuários da Área de Trabalho Remota.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, os membros do grupo Administradores têm esse direito nos controladores de domínio, estações de trabalho e servidores. O grupo Usuários de Áreas de Trabalho Remota também têm esse direito nas estações de trabalho e servidores.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de domínio padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Administradores |
Configurações Padrão de Servidor Autônomo |
Administradores Usuários da Área de Trabalho Remota |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores |
Configurações Padrão Efetivas do Servidor Membro |
Administradores Usuários da Área de Trabalho Remota |
Configurações Padrão Efetivas do Computador Cliente |
Administradores Usuários da Área de Trabalho Remota |
Gerenciamento de políticas
Esta seção descreve os diferentes recursos e ferramentas disponíveis para ajudar você a gerenciar essa política.
Política de Grupo
Para usar o Serviços de Área de Trabalho Remota para fazer logon com êxito em um dispositivo remoto, o usuário ou grupo deverá ser membro do grupo Usuários da Área de Trabalho Remota ou Administradores e ter recebido o direito Permitir logon pelos Serviços de Área de Trabalho Remota. É possível que um usuário estabeleça uma sessão de Serviços de Área de Trabalho Remota para um determinado servidor, mas não possa logon no console do mesmo servidor.
Para excluir usuários ou grupos, você pode atribuir o direito de usuário Negar logon pelos Serviços de Área de Trabalho Remota a esses usuários ou grupos. No entanto, tenha cuidado ao usar esse método, pois você poderá criar conflitos para usuários ou grupos legítimos que receberam acesso por meio do direito de usuário Permitir logon pelos Serviços de Área de Trabalho Remota.
Para obter mais informações, consulte Negar logon pelos Serviços de Área de Trabalho Remota.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.
As configurações da Política de Grupo são aplicadas por meio de GPOs, na seguinte ordem, o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Qualquer conta com o direito de usuário Permitir logon pelos Serviços de Área de Trabalho Remota pode fazer logon no console remoto do dispositivo. Se você não restringir esse direito de usuário a usuários legítimos que precisam fazer logon no console do computador, os usuários não autorizados poderão baixar e executar software mal-intencionado para elevar seus privilégios.
Contramedida
Para controladores de domínio, atribua o direito de usuário Permitir logon pelos Serviços de Área de Trabalho Remota somente ao grupo Administradores. Para outras funções de servidor e dispositivos de usuários finais, adicione o grupo Usuários da Área de Trabalho Remota. Para servidores que têm o serviço de função Host da Sessão da Área de Trabalho Remota (RD) habilitado e não são executados no modo Servidor de Aplicativos, verifique se apenas profissionais de TI autorizados que precisam gerenciar os computadores remotamente pertencem a esses grupos.
Cuidado
Para servidores de Host de Sessão de RD executados no modo Servidor de Aplicativos, verifique se apenas usuários que precisam de acesso ao servidor têm contas que pertencem ao grupo Usuários da Área de Trabalho Remota, pois esse grupo interno tem esse direito de logon por padrão.
Como alternativa, você pode atribuir o direito de usuário Negar logon pelos Serviços de Área de Trabalho Remota a grupos como Operadores de Conta, Operadores de Servidor e Convidados. No entanto, tenha cuidado ao usar esse método, pois você pode bloquear o acesso aos administradores legítimos que também pertencem a um grupo que tem o direito de usuário Negar logon pelos Serviços de Área de Trabalho Remota.
Impacto em potencial
A remoção do direito de usuário Permitir logon pelos Serviços de Área de Trabalho Remota de outros grupos (ou alterações de associação nesses grupos padrão) poderá limitar a capacidade dos usuários que executam funções administrativas específicas em seu ambiente. É necessário confirmar se atividades delegadas não foram afetadas negativamente.