Negar logon pelos Serviços de Área de Trabalho Remota
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Negar logon pelos Serviços de Área de Trabalho Remota.
Referência
Esta configuração de política determina quais usuários são impedidos de fazer logon no dispositivo por meio de uma conexão da Área de Trabalho Remota pelos Serviços de Área de Trabalho Remota. É possível que um usuário estabeleça uma conexão da Área de Trabalho Remota com um determinado servidor, mas não possa fazer logon no console desse servidor.
Constante: SeDenyRemoteInteractiveLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Para controlar quem pode abrir uma conexão da Área de Trabalho Remota e fazer logon no dispositivo, adicione a conta de usuário ou remova contas de usuários do grupo Usuários da Área de Trabalho Remota.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
A tabela a seguir lista os valores de política padrão reais e efetivos para as versões mais recentes do Windows com suporte. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Não definido |
Configurações Padrão de Servidor Autônomo |
Não definidos |
Configurações Padrão Efetivas de Controlador de Domínio |
Não definidos |
Configurações Padrão Efetivas do Servidor Membro |
Não definidos |
Configurações Padrão Efetivas do Computador Cliente |
Não definidos |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
A reinicialização do computador não é necessária para essa configuração de política ser efetivada.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
A propriedade Remote System controla as configurações de Serviços de Área de Trabalho Remota (Permitir ou impedir conexões remotas no computador) e de Assistência Remota (Permitir conexões de Assistência Remota neste computador).
Política de Grupo
Essa configuração de política substitui a configuração de política Permitir logon pelos Serviços de Área de Trabalho Remota se uma conta de usuário estiver sujeita às duas políticas.
As configurações de Política de Grupo são aplicadas na ordem a seguir. Elas substituem as configurações no dispositivo local na próxima atualização de Política de Grupo.
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações da política de unidade organizacional
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Qualquer conta com o direito de logon pelos Serviços de Área de Trabalho Remota pode ser usada para fazer logon no console remoto do dispositivo. Se esse direito de usuário não estiver restrito a usuários corretos que precisam fazer logon no console do computador, usuários mal-intencionados talvez possam baixar e executar softwares que elevem seus direitos de usuário.
Contramedida
Atribua o direito de usuário Negar logon pelos Serviços de Área de Trabalho Remota à conta Convidado local interna e a todas as contas de serviço. Se você instalou componentes opcionais, como o ASP.NET, talvez queira atribuir esse direito de usuário a contas adicionais que são exigidas por esses componentes.
Impacto em potencial
Se atribuir o direito de usuário Negar logon pelos Serviços de Área de Trabalho Remota a outros grupos, você poderá limitar a capacidade dos usuários atribuídos a funções administrativas específicas em seu ambiente. As contas que têm esse direito de usuário não podem se conectar ao dispositivo pelos Serviços de Área de Trabalho Remota ou pela Assistência Remota. É necessário confirmar se atividades delegadas não foram afetadas negativamente.