¿Qué sentido tiene tener RemoteDesktopUsers sin el privilegio de "iniciar sesión a través de Remote Desktop Services"? [cerrado]

Recientemente, Microsoft cambió las políticas predeterminadas en los sistemas operativos invitados de Windows Azure (Windows 2008, Windows 2008 R2 y Windows 2012). Uno de los cambios es que ahora solo los miembros del Administratorsgrupo tienen "Permitir iniciar sesión a través de Servicios de escritorio remoto" y los miembros de RemoteDesktopUsersya no tienen el privilegio.

Ahora, ¿cómo tiene sentido? RemoteDesktopUserses el grupo destinado a permitir el inicio de sesión a través de Escritorio remoto y si se revoca este privilegio, el grupo no tiene sentido.

¿Qué sentido tiene tener RemoteDesktopUsers sin el privilegio de "iniciar sesión a través de Servicios de escritorio remoto"?

Supongo que la idea es ofrecer una versión más bloqueada fuera de la caja.

El grupo como mencionas no tiene sentido ya que ese es su único propósito, pero notarás que esto es exactamente lo que han hecho en esta actualización en varias otras políticas también.

Como ejemplo

Permitir iniciar sesión localmente: De: Administradores, Usuarios, BackupOperators Para: Administradores

Y

Comportamiento de la solicitud de elevación para usuarios estándar De: Solicitar credenciales en el escritorio seguro Para: Solicitar credenciales.

Por lo tanto, como política predeterminada, intentan pasar a un entorno solo de administrador de forma predeterminada. ¿Por qué? Porque quieren reducir la superficie de ataque haciendo más difícil la escalada de privilegios.

Se debe tener una conversación sobre si la eliminación de grupos / usuarios predeterminados es realmente efectiva y si sus políticas de seguridad tienen sentido.

Otra razón podría estar oculta entre líneas.

[..] se han implementado para cumplir con las recomendaciones de seguridad y cumplimiento . donde a veces se devora el sentido común.