Si consiglia di disconnettersi da Windows al termine delle operazioni su un server con RDP?

Risposte:

21

Sì, c'è un impatto. Sì, si consiglia di disconnettersi. Se non ti disconnetti, tutte le risorse (come la RAM) necessarie per sostenere la sessione utente interattiva rimangono in uso. Mantieni una delle due connessioni amministrative in uso in modo che altre non possano connettersi.

Ciò che è effettivamente raccomandato è di non eseguire affatto RDP sui server. Ecco a cosa servono gli Strumenti di amministrazione remota del server e il Remoto Powershell.

Vorrei anche dire che esiste un rischio per la sicurezza molto più grande quando si accede tramite RDP rispetto a un accesso alla rete, ad esempio tramite RSAT / MMC.

Ryan Ries
fonte
4
Chi consiglia di non eseguire il RDP sui tuoi server?
DKNUCKLES,
6
@DKNUCKLES Microsoft ha fatto ogni sforzo per farlo in modo che raramente sia necessario accedere a un server. RSAT, Server Manager 2012, PS Remoting, Server Core edition, ecc.
MDMarra
4
Hanno anche rilasciato TSGateway. Solo perché hanno rilasciato metodi in modo da non dover utilizzare RDC, ciò non significa che sia consigliato da MS o dalle migliori pratiche che non si utilizza RDC. Ho una carta di credito che mi consente di effettuare operazioni bancarie senza entrare in banca, ma ciò significa che è consigliabile non andare in una filiale e vedere un cassiere?
DKNUCKLES,
@DKNUCKLES Non so dove ti trovi, ma qui, le filiali bancarie vogliono sicuramente far sentire i clienti in quel modo! Nella mia città, solo una banca (non una filiale o un ufficio, ma una banca!) Ti permetterà di entrare nell'edificio, vedere un cassiere e fare qualcosa di così banale come depositare dei contanti con loro sul tuo conto con loro.
un CVn il
1
@DKNUCKLES - mi raccomandano di non RDPing ai server, perché utilizza più risorse, richiede più tempo, e usa gli accessi interattivi che si aprono su un array più grande di vulnerabilità di sicurezza che gli accessi di rete fanno.
Ryan Ries,
9

Questo potrebbe essere leggermente fuori tema, ma comunque:

È considerata una buona pratica da tutti gli amministratori che conosco per disconnettersi al termine. Sebbene il guadagno prestazionale sia probabilmente insoddisfacente, ci sono altre cose da considerare:

  1. Una sessione di accesso dice ad altri amministratori che stai lavorando su quel server.
  2. Disconnettendosi al termine, si lavora in modo strutturato (ignorando qualsiasi "server di amministrazione" da questa regola, ovviamente).
  3. Più processi sono in esecuzione su un server, maggiore è la possibilità di perdite di memoria.
  4. Soprattutto per i server virtuali e console ricchi di grafica, c'è in realtà un misurabile RAM penalità in ambienti di grandi dimensioni con un sacco di persistente sessioni RDP.

In breve, fai un favore ai tuoi colleghi amministratori e disconnettiti. Tutti vincono.

Trondh
fonte
5

Oltre all'impatto sulle risorse descritto da Ryan Ries, l'altro problema con sessioni RDP di lunga durata è se la password viene modificata, quindi eventuali sessioni attualmente aperte su un server causeranno un numero enorme di errori di autenticazione sui controller di dominio.

collo lungo
fonte
4

Mi dispiace non essere d'accordo con alcune delle precedenti, e so che domande come questa mettono sempre in evidenza riferimenti a "migliori pratiche", preferenze personali, ecc., Ma a parte l'impronta di memoria sul server remoto e il potenziale di uno degli amministratori processi desktop che producono un carico imprevisto della CPU, il rischio maggiore è quello della sicurezza.

E, se stai usando RDP o RS / AT, è lo stesso problema. Se è in gioco un token amministrativo e la durata del token è prolungata, il rischio di furto del token è maggiore rispetto a quando non si rimane connessi con un token amministrativo.

Per farla breve, utilizza gli account con privilegi limitati il ​​più possibile e accedi / esegui l'escalation a un token amministrativo solo quando assolutamente necessario.

È fin troppo facile usare strumenti come l'incognito per rubare un token e riprodurlo contro un altro sistema.

Simon Catlin
fonte
Sono d'accordo con te sul fatto che il rischio più grande sia in realtà quello della sicurezza, ma non sono d'accordo con te sul fatto che la tua quantità di esposizione sia più o meno la stessa utilizzando RDP o RSAT (che utilizza accessi di rete anziché accessi interattivi). Voglio davvero parlarne troppo in profondità qui perché ottiene "sfruttamento" molto rapidamente ma prometto che una visione RDP completa ti espone a più rischi rispetto a una connessione di amministrazione remota su RSAT / MMC / PSRemoting per almeno un paio di motivi.
Ryan Ries il
0

La mia ipotesi è che non è quasi nessuno (a condizione che non si lascino alcune applicazioni in esecuzione).

L'unica cosa è che usi la sessione remota. Ne esiste un numero limitato (se ricordo bene, su Windows Server 2008 , ci sono quattro sessioni remote al massimo). Quindi la sessione sospesa ad un certo punto può impedire a qualcuno di connettersi.

In realtà, come amministratore, puoi terminare le sessioni stabilite, liberandole per te stesso. Non so come sia se ti connetti come un normale utente, però.

Fiisch
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.