是否应该从 Windows 服务器的“允许本地登录”安全 GPO 设置中删除“用户”组?

信息安全 窗口服务器 组策略
2021-09-09 02:06:34

我知道默认情况下 RDP 不允许任何非管理员用户 RDP 进入机器,除非我们指定它。但是非管理员用户可以在控制台登录机器。

我正在查看“用户权限分配安全设置”组下的“允许本地登录”GPO 安全设置,默认情况下,以下内容可以在本地登录:

  • 在工作站和服务器上:管理员、备份操作员、高级用户、用户和访客。
  • 在域控制器上:帐户操作员、管理员、备份操作员和打印操作员。

允许“用户”组中的任何人(默认情况下“域用户”是控制台访问服务器的成员)是否存在安全风险?我一直很好奇为什么微软允许用户和访客组访问服务器。

我认为从该安全策略中删除访客和用户将是服务器的最佳实践。

1个回答

我相信您自己已经正确回答了您的问题。用户和访客帐户不应在服务器上拥有“允许本地登录”权限,只有管理员(必要时还有备份操作员)。

这是一个 MS KBA,其中描述了安全对策:

https://technet.microsoft.com/en-us/library/dn221980.aspx

引用:

“对于域控制器,仅将允许本地登录用户权限分配给管理员组。对于其他服务器角色,您可以选择在管理员之外添加备份操作员。对于最终用户计算机,您还应该将此权限分配给用户组。

或者,您可以将帐户操作员、服务器操作员和访客等组分配给拒绝本地登录用户权限。”

其它你可能感兴趣的问题
上一篇新主机上的 SSH MITM 下一篇ISP 会检测并阻止渗透测试工具吗?