Czy zaleca się wylogowanie z systemu Windows po zakończeniu pracy na serwerze z RDP?

Odpowiedzi:

21

Tak, jest wpływ. Tak, zaleca się wylogowanie. Jeśli się nie wylogujesz, wszystkie zasoby (takie jak pamięć RAM) potrzebne do podtrzymania interaktywnej sesji użytkownika pozostaną w użyciu. Utrzymujesz jedno z dwóch połączeń administracyjnych w użyciu, aby inni nie mogli się połączyć.

To, co faktycznie zaleca się, to wcale nie RDP na twoich serwerach. Do tego służą Narzędzia administracji zdalnej serwera i Powershell Remoting.

Chciałbym również powiedzieć, że ryzyko logowania jest znacznie większe, gdy logujesz się przez RDP w porównaniu do logowania do sieci, np. Przez RSAT / MMC.

Ryan Ries
źródło
4
Kto nie poleca RDP na twoich serwerach?
DKNUCKLES
6
@DKNUCKLES Firma Microsoft dołożyła wszelkich starań, aby tak się stało, że rzadko trzeba logować się na serwerze. RSAT, Server Manager 2012, PS Remoting, Server Core edition itp.
MDMarra
4
Wydali również TSGateway. To, że wydali metody, dzięki którym nie musisz używać RDC, nie oznacza, że ​​jest zalecane przez MS lub najlepsze praktyki, że nie używasz RDC. Mam kartę bankową, która pozwala mi dokonywać operacji bankowych bez wchodzenia do banku, ale czy to oznacza, że ​​najlepiej jest nie wchodzić do oddziału i nie widzieć kasjera?
DKNUCKLES
@DKNUCKLES Nie wiem o tym, gdzie się znajdujesz, ale tutaj oddziały banków zdecydowanie chcą, aby klienci banku tak się czuli! W moim mieście tylko jeden bank (nie oddział ani biuro, ale bank!) Pozwoli ci wejść do budynku, spotkać się z kasjerem i zrobić coś tak trywialnego, jak wpłacić za nie gotówkę na własne konto.
CVn
1
@DKNUCKLES - ja nie polecają RDPing na swoich serwerach, ponieważ wykorzystuje więcej zasobów, trwa dłużej i wykorzystuje interaktywne logowania, które otwierają cię do większej gamy luk bezpieczeństwa niż logowania sieciowe zrobić.
Ryan Ries,
9

Może to być nieco nie na temat, ale tak czy inaczej:

Wszyscy administratorzy, których znam, uznają to za dobrą praktykę wylogowywania się po zakończeniu. Chociaż wzrost wydajności prawdopodobnie jest nieistotny, należy wziąć pod uwagę inne kwestie:

  1. Zalogowana sesja informuje innych administratorów, że pracujesz na tym serwerze.
  2. Wylogowując się, gdy skończysz, będziesz pracować w uporządkowany sposób (oczywiście pomijając wszelkie „serwery administracyjne” z tej reguły).
  3. Im więcej procesów działa na serwerze, tym większa szansa na wycieki pamięci.
  4. Specjalnie dla serwerów wirtualnych i konsole graficzne intensywnie, tam jest rzeczywiście mierzalna RAM kara w dużych środowiskach z wieloma przewlekły sesje RDP.

Krótko mówiąc, wyświadcz przysługę innym administratorom i wyloguj się. Wszyscy wygrywają.

Trondh
źródło
5

Oprócz wpływu na zasoby opisanego przez Ryana Riesa, drugim problemem związanym z długo działającymi sesjami RDP jest to, że jeśli twoje hasło ulegnie zmianie, wówczas dowolne sesje otwarte na serwerze spowodują ogromną liczbę błędów uwierzytelnienia na kontrolerach domeny.

długa szyja
źródło
4

Przepraszam, że nie zgadzam się z niektórymi z powyższych pytań i wiem, że takie pytania zawsze zawierają odniesienia do „najlepszych praktyk”, osobistych preferencji itp., Ale oprócz śladu pamięci na zdalnym serwerze i potencjału jednego z administratorów procesy pulpitu powodujące nieoczekiwane obciążenie procesora, największe ryzyko wiąże się z bezpieczeństwem.

I niezależnie od tego, czy używasz RDP, czy RS / AT, to ten sam problem. Jeśli masz w grze token administracyjny, a jego żywotność jest przedłużona, ryzyko kradzieży tokena jest większe niż w przypadku, gdy nie będziesz zalogowany przy użyciu tokena administracyjnego.

Krótko mówiąc, używaj kont o niskich uprawnieniach jak najwięcej i loguj się / eskaluj do tokena administracyjnego tylko wtedy, gdy jest to absolutnie konieczne.

Zbyt łatwo jest używać narzędzi takich jak incognito, aby ukraść token i odtworzyć go na innym systemie.

Simon Catlin
źródło
Zgadzam się z tobą, że największe ryzyko wiąże się z bezpieczeństwem, ale nie zgadzam się z tobą, że twoja ekspozycja jest mniej więcej taka sama przy użyciu RDP lub RSAT (który używa logowań sieciowych zamiast logowań interaktywnych). Naprawdę chcę tutaj mówić o tym zbyt głęboko, ponieważ bardzo szybko staje się on „wykorzystywany”, ale obiecuję, że pełna wersja RDP naraża cię na większe ryzyko niż połączenie zdalnej administracji przez RSAT / MMC / PSRemotowanie przynajmniej przez kilka powody.
Ryan Ries,
0

Domyślam się, że jest prawie żaden (pod warunkiem, że niektóre aplikacje nie zostaną uruchomione).

Jedyną rzeczą jest wykorzystanie sesji zdalnej. Jest ich ograniczona liczba (jeśli dobrze pamiętam, w systemie Windows Server 2008 są to maksymalnie cztery sesje zdalne). Tak więc sesja zawieszenia może w pewnym momencie uniemożliwić komuś połączenie.

W rzeczywistości jako administrator możesz zakończyć ustanowione sesje, uwalniając je dla siebie. Nie wiem jednak, jak to jest, jeśli łączysz się jako zwykły użytkownik.

Fiisch
źródło