Wird empfohlen, sich von Windows abzumelden, wenn Sie mit der Arbeit an einem Server mit RDP fertig sind?

Antworten:

21

Ja, es gibt eine Auswirkung. Ja, es wird empfohlen, sich abzumelden. Wenn Sie sich nicht abmelden, bleiben alle Ressourcen (z. B. RAM), die für die Aufrechterhaltung Ihrer interaktiven Benutzersitzung benötigt wurden, in Gebrauch. Sie behalten eine von zwei administrativen Verbindungen bei, sodass andere keine Verbindung herstellen können.

Was eigentlich empfohlen wird, ist, dass RDP auf Ihren Servern überhaupt nicht ausgeführt wird. Hierfür dienen die Remoteserver-Verwaltungstools und Powershell Remoting.

Ich möchte auch erwähnen, dass es ein viel größeres Sicherheitsrisiko gibt, wenn Sie sich über RDP anmelden, als wenn Sie sich über ein Netzwerk anmelden, z. B. über RSAT / MMC.

Ryan Ries
quelle
4
Wer empfiehlt Ihren Servern, kein RDP zu verwenden?
DKNUCKLES
6
@DKNUCKLES Microsoft hat alle Anstrengungen unternommen, damit Sie sich selten bei einem Server anmelden müssen. RSAT, Server Manager 2012, PS Remoting, Server Core Edition usw.
MDMarra
4
Sie haben auch TSGateway veröffentlicht. Nur weil sie Methoden veröffentlicht haben, damit Sie RDC nicht verwenden müssen, heißt das nicht, dass dies von MS oder von Best Practices empfohlen wird, die Sie nicht verwenden. Ich habe eine Bankkarte, mit der ich Bankgeschäfte tätigen kann, ohne in die Bank zu gehen. Bedeutet dies jedoch, dass es empfehlenswert ist, nicht in eine Filiale zu gehen und einen Kassierer zu sehen?
DKNUCKLES
@DKNUCKLES Ich weiß nicht, wo Sie sich befinden, aber Bankfilialen möchten Bankkunden auf jeden Fall so fühlen lassen! In meiner Stadt können Sie mit nur einer Bank (nicht einer Filiale oder einem Büro, sondern einer Bank!) Das Gebäude betreten, einen Kassierer sehen und etwas so Triviales tun, wie Bargeld bei ihnen auf Ihr eigenes Konto bei ihnen einzuzahlen.
ein Lebenslauf vom
1
@DKNUCKLES - Ich empfehle, RDP nicht auf Ihren Servern auszuführen, da dies mehr Ressourcen beansprucht, länger dauert und interaktive Anmeldungen verwendet, die Sie für ein größeres Spektrum von Sicherheitslücken öffnen als Netzwerkanmeldungen.
Ryan Ries
9

Dies könnte leicht vom Thema abweichen, aber trotzdem:

Alle Administratoren, von denen ich weiß, dass sie sich abmelden müssen, wenn Sie fertig sind, halten dies für eine gute Vorgehensweise. Obwohl der Leistungszuwachs wahrscheinlich vernachlässigbar ist, gibt es noch andere Dinge zu beachten:

  1. Eine angemeldete Sitzung teilt anderen Administratoren mit, dass Sie auf diesem Server arbeiten.
  2. Wenn Sie sich abmelden, arbeiten Sie strukturiert (natürlich ohne Berücksichtigung von "Administrationsservern" in dieser Regel).
  3. Je mehr Prozesse auf einem Server ausgeführt werden, desto größer ist die Wahrscheinlichkeit von Speicherverlusten.
  4. Insbesondere bei virtuellen Servern und grafikintensiven Konsolen ist in großen Umgebungen mit vielen verbleibenden RDP-Sitzungen ein messbarer RAM- Nachteil zu verzeichnen.

Kurz gesagt, tun Sie Ihren Kollegen einen Gefallen und melden Sie sich ab. Jeder gewinnt.

Trondh
quelle
5

Neben den von Ryan Ries beschriebenen Auswirkungen auf die Ressourcen besteht das andere Problem bei RDP-Sitzungen mit langer Laufzeit darin, dass bei Änderungen des Kennworts bei allen Sitzungen, die derzeit auf einem Server geöffnet sind, eine große Anzahl von Authentifizierungsfehlern auf Ihren Domänencontrollern verursacht wird.

langer Hals
quelle
4

Es tut mir leid, dass ich mit einigen der obigen Fragen nicht einverstanden bin, und ich weiß, dass Fragen wie diese immer Verweise auf "Best Practices", persönliche Einstellungen usw. enthalten, aber abgesehen vom Speicherbedarf auf dem Remote-Server und dem Potenzial für einen der Administratoren. Bei Desktop-Prozessen, die eine unerwartete CPU-Auslastung verursachen, besteht das größte Risiko in der Sicherheit.

Unabhängig davon, ob Sie RDP oder RS ​​/ AT verwenden, handelt es sich um dasselbe Problem. Wenn Sie einen Administrator-Token im Spiel haben und die Lebensdauer des Tokens länger ist, ist das Risiko des Diebstahls von Token höher als wenn Sie nicht mit einem Administrator-Token angemeldet bleiben.

Um es kurz zu machen: Verwenden Sie so oft wie möglich Konten mit geringen Rechten und melden Sie sich nur dann an bzw. eskalieren Sie zu einem Administrator-Token, wenn dies unbedingt erforderlich ist.

Es ist allzu einfach, Tools wie Incognito zu verwenden, um ein Token zu stehlen und es gegen ein anderes System abzuspielen.

Simon Catlin
quelle
Ich stimme Ihnen zu, dass das größte Risiko tatsächlich die Sicherheit ist, aber ich bin nicht der Meinung, dass Ihre Gefährdung mit RDP oder RSAT (bei dem Netzwerkanmeldungen im Gegensatz zu interaktiven Anmeldungen verwendet werden) in etwa gleich ist. Ich möchte hier nicht wirklich zu ausführlich darüber sprechen, weil es sehr schnell „ausgenutzt“ wird, aber ich verspreche, dass eine vollständige RDP-Version Sie für mindestens ein paar Tage einem höheren Risiko aussetzen kann als eine Remote-Verwaltungsverbindung über RSAT / MMC / PSRemoting Gründe dafür.
Ryan Ries
0

Ich vermute, dass es fast keine gibt (vorausgesetzt, Sie lassen einige Anwendungen nicht laufen).

Das einzige ist, dass Sie die Remote-Sitzung verbrauchen. Es gibt eine begrenzte Anzahl von ihnen (wenn ich mich richtig erinnere, sind es unter Windows Server 2008 maximal vier Remotesitzungen). So kann die Hänge-Sitzung irgendwann verhindern, dass sich jemand verbindet.

Tatsächlich können Sie als Administrator eingerichtete Sitzungen beenden und für sich selbst freigeben. Ich weiß jedoch nicht, wie es ist, wenn Sie als normaler Benutzer eine Verbindung herstellen.

Fiisch
quelle