拒绝通过远程桌面服务登录

适用范围

介绍 拒绝通过远程桌面服务登录 安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。

此策略设置确定阻止哪些用户通过远程桌面服务通过远程桌面连接登录到设备。 用户可以与特定服务器建立远程桌面连接，但无法登录到该服务器的控制台。

常量：SeDenyRemoteInteractiveLogonRight

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

下表列出了最新受支持的 Windows 版本的实际和有效的默认策略值。 默认值也列在策略的属性页上。

本部分介绍有助于管理此策略的功能、工具和指南。

无需重启计算机即可使此策略设置生效。

帐户所有者下次登录时，对帐户的用户权限分配所做的任何更改将生效。

Remote System 属性控制远程桌面服务 (允许或阻止与计算机) 的远程连接和远程协助 (允许远程协助连接到此计算机) 的设置。

如果用户帐户受这两个策略的约束，则此策略设置将取代 “允许通过远程桌面服务登录 ”策略设置。

组策略设置按以下顺序应用。 在下一次更新组策略时，它们会覆盖本地设备上的设置。

当本地设置灰显时，它指示 GPO 当前控制该设置。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

任何有权通过远程桌面服务登录的帐户都可用于登录到设备的远程控制台。 如果此用户权限不仅限于需要登录到计算机控制台的合法用户，则恶意用户可能会下载并运行提升其用户权限的软件。

将 “拒绝通过远程桌面服务登录 ”用户权限分配给内置本地来宾帐户和所有服务帐户。 如果已安装可选组件（如 ASP.NET），则可能需要将此用户权限分配给这些组件所需的其他帐户。

如果将 “通过远程桌面服务拒绝登录” 用户权限分配给其他组，则可以限制分配给环境中特定管理角色的用户的能力。 具有此用户权限的帐户无法通过远程桌面服务或远程协助连接到设备。 应确认委托的任务不会受到负面影响。