Рекомендуется ли выходить из Windows после завершения работы на сервере с RDP?

Ответы:

21

Да, есть влияние. Да, рекомендуется выйти из системы. Если вы не выйдете из системы, все ресурсы (например, ОЗУ), необходимые для поддержки интерактивного сеанса пользователя, останутся в использовании. Вы используете одно из двух административных подключений, чтобы другие не могли подключиться.

На самом деле рекомендуется вообще не использовать RDP на своих серверах. Для этого предназначены инструменты удаленного администрирования сервера и Powershell Remoting.

Я также хочу сказать, что при входе через RDP возникает гораздо большая угроза безопасности, чем при входе в сеть, например через RSAT / MMC.

Райан Райс
источник
4
Кто рекомендует не использовать RDP на ваших серверах?
DKNUCKLES
6
@DKNUCKLES Microsoft приложила все усилия, чтобы вам никогда не приходилось заходить на сервер. RSAT, Server Manager 2012, PS Remoting, версия Server Core и т. Д.
MDMarra
4
Они также выпустили TSGateway. То, что они выпустили методы, чтобы вам не приходилось использовать RDC, не означает, что MS или лучшие практики рекомендуют вам не использовать RDC. У меня есть банковская карта, которая позволяет мне осуществлять банковские операции, не заходя в банк, но означает ли это, что лучше не заходить в отделение и не видеть кассира?
DKNUCKLES
@DKNUCKLES Я не знаю, где вы находитесь, но здесь, отделения банка определенно хотят, чтобы клиенты банков чувствовали себя так! В моем городе только один банк (не филиал или офис, а банк!) Позволит вам войти в здание, увидеть кассира и сделать что-то тривиальное, например, внести с собой наличные деньги на свой собственный счет.
CVN
1
@DKNUCKLES - я не рекомендую RDPing к вашим серверам, потому что он использует больше ресурсов, занимает больше времени и использует интерактивные входы в систему, которые открывают вам более широкий спектр уязвимостей безопасности, чем вход в сеть.
Райан Райс
9

Это может быть немного не по теме, но в любом случае:

Все администраторы, которых я знаю, считают хорошей практикой выход из системы, когда вы закончите. Хотя прирост производительности, вероятно, незначителен, есть и другие вещи, которые следует учитывать:

  1. Вход в сеанс говорит другим администраторам, что вы работаете на этом сервере.
  2. Выйдя из системы, когда вы закончите, вы будете работать структурированным образом (разумеется, не учитывая любые «серверы администрирования» из этого правила).
  3. Чем больше процессов запущено на сервере, тем больше вероятность утечек памяти.
  4. Специально для виртуальных серверов и графических ресурсоемких консолей, то есть фактически измеримый RAM штраф в больших средах с большим количеством сохраняющегося RDP сессий.

Короче говоря, сделайте одолжение вашим коллегам-администраторам и выйдите из системы. Все побеждают.

Trondh
источник
5

Помимо влияния на ресурсы, описанного Райаном Райсом, другая проблема с длительными сеансами RDP заключается в том, что если ваш пароль меняется, то любые сеансы, открытые в данный момент на сервере, вызовут огромное количество ошибок аутентификации на ваших контроллерах домена.

длинная шея
источник
4

Извините, что не согласен с некоторыми из вышеперечисленных, и я знаю, что подобные вопросы всегда приводят ссылки на «лучшие практики», личные предпочтения и т. Д., Но помимо объема памяти на удаленном сервере и потенциала одного из администраторов. процессы на рабочем столе, вызывающие неожиданную нагрузку на процессор, наибольший риск представляет безопасность.

И, используете ли вы RDP или RS / AT, это одна и та же проблема. Если у вас есть административный токен в игре, и время жизни токена затянуто, риск кражи токена выше, чем если вы не останетесь в системе с административным токеном.

Короче говоря, используйте как можно меньше учетных записей с низким уровнем привилегий и входите в систему / переходите к административному токену только тогда, когда это абсолютно необходимо.

Слишком легко использовать такие инструменты, как инкогнито, чтобы украсть токен и воспроизвести его в другой системе.

Саймон Кэтлин
источник
Я согласен с вами, что наибольший риск на самом деле связан с безопасностью, но я не согласен с вами, что ваш уровень воздействия примерно одинаков при использовании RDP или RSAT (который использует сетевой вход, а не интерактивный вход). Я действительно не хочу слишком подробно говорить об этом здесь, потому что он очень быстро получает «эксплоит», но я обещаю, что полная реализация RDP подвергает вас большему риску, чем подключение удаленного администрирования через RSAT / MMC / PSRemoting, по крайней мере, на пару причины.
Райан Райс
0

Я предполагаю, что это почти ни один (при условии, что вы не оставляете некоторые приложения работающими).

Единственное, что вы используете удаленный сеанс. Их ограничено (если я правильно помню, в Windows Server 2008 это максимум четыре удаленных сессии). Таким образом, сеанс зависания может в какой-то момент помешать кому-либо подключиться.

На самом деле, как администратор, вы можете прекратить установленные сеансы, освобождая их для себя. Я не знаю, как это, если вы подключаетесь как обычный пользователь.

Fiisch
источник