Чи рекомендується вийти з Windows після завершення роботи на сервері з RDP?

Відповіді:

21

Так, є вплив. Так, рекомендується вийти з системи. Якщо ви не виходите з системи, усі ресурси (наприклад, оперативна пам’ять), необхідні для підтримки вашого інтерактивного сеансу користувача, залишаються у використанні. Ви продовжуєте використовувати одне з двох адміністративних з’єднань, щоб інші не могли підключитися.

Насправді рекомендується взагалі не використовувати RDP на своїх серверах. Це те, для чого призначені засоби віддаленого адміністрування сервера та видалення Powershell.

Я також хочу сказати, що при вході в систему через RDP в порівнянні з мережевим входом існує набагато більший ризик безпеки, наприклад, через RSAT / MMC.

Райан Різ
джерело
4
Хто рекомендує не RDP'ing вашим серверам?
DKNUCKLES
6
@DKNUCKLES Microsoft доклала всіх зусиль, щоб зробити це так, що вам рідко доводиться входити на сервер. RSAT, Server Manager 2012, видалення PS, випуск
сердечного
4
Вони також випустили TSGateway також. Тільки тому, що вони випустили методи, так що вам не доведеться використовувати RDC, не означає, що вони рекомендують MS або найкращі практики, що ви не використовуєте RDC. У мене є банківська картка, яка дозволяє мені робити банк, не заходячи в банк, але чи це означає, що найкращі практики не заходити у відділення і не звертатись до продавця?
DKNUCKLES
@DKNUCKLES Я не знаю про те, де ви знаходитесь, але тут, відділення банків, безумовно, хочуть, щоб клієнти банку відчували саме так! У моєму місті лише один банк (не відділення чи офіс, а банк!) Дозволить вам зайти до будівлі, побачити касира і зробити щось настільки тривіально, як здати в них трохи грошей на свій рахунок.
CVn
1
@DKNUCKLES - Я рекомендую не RDPing на ваших серверах, оскільки він використовує більше ресурсів, займає більше часу і використовує інтерактивні логотипи, які відкривають вам більший масив вразливих місць безпеки, ніж це роблять мережеві логотипи.
Ryan Ries
9

Це може бути трохи поза темою, але все одно:

Усі адміністратори, яких я знаю, вважають хорошою практикою виходу з системи після завершення роботи. Хоча збільшення продуктивності, мабуть, незначне, але слід врахувати й інші речі:

  1. Сеанс входу в систему повідомляє іншим адміністраторам, що ви працюєте на цьому сервері.
  2. Виходячи із системи, коли ви завершите роботу, ви працюєте структуровано (звичайно, нехтуючи будь-якими "серверами адміністрування" від цього правила).
  3. Чим більше процесів працює на сервері, тим більший шанс витоку пам'яті.
  4. Спеціально для віртуальних серверів і графічних ресурсномістких консолей, то є фактично вимірний RAM штраф у великих середовищах з великою кількістю зберігається RDP сесій.

Коротше кажучи, зробіть вашим колегам-адміністраторам послугу і вийдіть із системи. Усі перемагають.

Тронд
джерело
5

Крім впливу ресурсів, який описав Райан Різ, інша проблема довгих запущених сеансів RDP полягає в тому, якщо ваш пароль зміниться, то будь-які сеанси, які зараз відкриваються на сервері, спричинить величезну кількість помилок аутентифікації на ваших контролерах домену.

довга шия
джерело
4

Вибачте, що не погоджуюся з деяким з вищезазначеного, і я знаю, що подібні питання завжди містять посилання на "найкращі практики", особисті налаштування тощо, але окрім сліду пам'яті на віддаленому сервері та можливостей для одного з адміністраторів " настільні процеси, що виробляють несподіване завантаження процесора, найбільший ризик - це безпека.

І якщо ви використовуєте RDP або RS / AT, це та сама проблема. Якщо у вас відтворений адміністративний маркер, а термін дії маркера затяжний, ризик викрадення токена вищий, ніж якщо ви не залишитесь увійшли з адміністративним маркером.

Коротше кажучи, використовуйте облікові записи з низькими привілеями якомога більше та входьте / переходьте до адміністративного маркера, коли це абсолютно необхідно.

Використовувати такі інструменти, як інкогніто, занадто просто, щоб викрасти маркер та відтворити його в іншій системі.

Саймон Кетлін
джерело
Я погоджуюсь з вами, що найбільшим ризиком є ​​небезпека, але я не погоджуюся з вами, що ваша кількість експозиції є більш-менш однаковою, використовуючи або RDP, або RSAT (що використовує мережеві логотипи на відміну від інтерактивних логотипів). t дуже хочеться говорити про це занадто глибоко тут, тому що він отримує "експлуатування" дуже швидко, але я обіцяю, що повне бачення RDP піддає вам більше ризику, ніж віддалене з'єднання адміністратора через RSAT / MMC / PSRemoting принаймні на пару причини.
Райан Різ
0

Я здогадуюсь, що його майже немає (за умови, що деякі програми не залишаються запущеними).

Єдине, що ви використовуєте віддалений сеанс. Їх обмежена кількість (якщо я правильно пам'ятаю, на Windows Server 2008 , це максимум чотири віддалені сесії). Тож висячий сеанс може в якийсь момент завадити комусь підключитися.

Насправді, як адміністратор, ви можете припинити встановлені сеанси, звільнивши їх для себе. Я не знаю, як це, якщо ви підключитесь як звичайний користувач.

Фійш
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.