¿Debería eliminarse el grupo de "Usuarios" de los Servidores de Windows "Permitir el inicio de sesión localmente"?

6

Sé que, de forma predeterminada, RDP no permite que ningún usuario no administrador ingrese a RDP en una máquina a menos que lo especifiquemos. Pero un usuario que no sea administrador puede iniciar sesión en la máquina en la consola.

Estaba viendo la configuración de seguridad de GPO "Permitir el inicio de sesión localmente" en el grupo de Configuración de seguridad de Asignación de derechos de usuario y dice que, de manera predeterminada, lo siguiente puede iniciar sesión localmente:

  • En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios e Invitados.
  • En los controladores de dominio: operadores de cuenta, administradores, operadores de copia de seguridad y operadores de impresión.

¿No es un riesgo para la seguridad permitir que cualquier persona del grupo "Usuarios" que de forma predeterminada los "Usuarios del dominio" sean miembros del acceso de la consola a los servidores? Siempre tuve curiosidad por saber por qué Microsoft permitió que los usuarios y los grupos de invitados accedieran a los servidores.

Creo que eliminar a los invitados y usuarios de esta política de seguridad sería una buena práctica para los servidores.

    
pregunta cflyer 10.09.2015 - 20:05
fuente

1 respuesta

5

Creo que has respondido tu pregunta correctamente. Los usuarios y las cuentas de Invitado no deben tener los derechos "Permitir el inicio de sesión local" en servidores , solo administradores (y operadores de respaldo si es necesario).

Aquí hay un MS KBA en el que se describen las contramedidas de seguridad:

enlace

Cita:

  

"Para los controladores de dominio, asigne el derecho de usuario Permitir el inicio de sesión localmente   Solo al grupo de Administradores. Para otras funciones de servidor, puede   elija agregar Operadores de copia de seguridad además de Administradores. por   En las computadoras de usuario final, también debe asignar este derecho a los Usuarios.   grupo.

     

Alternativamente, puede asignar grupos como Operadores de cuentas, Servidor   Los operadores y los invitados a Denegar el inicio de sesión localmente tienen derecho de usuario ".

    
respondido por el Stef Heylen 11.09.2015 - 14:59
fuente

Lea otras preguntas en las etiquetas