Esa política se puede obtener de CIS Benchmarks , pero es destinado a servidores , no para estaciones de trabajo de usuario. Para citar §2.3.13.1 (y observe las secciones Aplicabilidad del perfil y Impacto ):
2.3.13.1 (L1) Asegúrese de que 'Apagar: permitir que el sistema se apague sin tener que iniciar sesión' está configurado como 'Desactivado' (con puntaje)
Aplicabilidad del perfil:
- Nivel 1 - Controlador de dominio
- Nivel 1 - Servidor miembro
Descripción:
Esta configuración de directiva determina si se puede apagar una computadora
cuando un usuario no ha iniciado sesión. Si esta configuración de política está habilitada, la
El comando de apagado está disponible en la pantalla de inicio de sesión de Windows. Es
se recomienda deshabilitar esta configuración de política para restringir la capacidad de
apagar la computadora a los usuarios con credenciales en el sistema. los
El estado recomendado para esta configuración es: Deshabilitado.
Justificación:
Los usuarios que pueden acceder a la consola localmente podrían apagar la computadora.
Los atacantes también podrían caminar a la consola local y reiniciar el servidor,
lo que causaría una condición de DoS temporal. Los atacantes también podrían cerrar.
Baje el servidor y deje todas sus aplicaciones y servicios.
no disponible.
...
Impacto:
Los operadores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos.
La idea es que un usuario no tenga privilegios para iniciar sesión en un servidor, pero con acceso físico, podría cerrarlo. Considere al tipo de HVAC que trabaja en su sala de servidores, etc., etc.
Es razonable para usted permitir que sus usuarios cierren estaciones de trabajo.