แนะนำให้ออกจากระบบ Windows เมื่อทำงานกับเซิร์ฟเวอร์ด้วย RDP หรือไม่

12

มีผลกระทบต่อประสิทธิภาพของเซิร์ฟเวอร์ในกรณีที่ฉันไม่ออกจากระบบหลังจากใช้การเชื่อมต่อเดสก์ท็อประยะไกลหรือไม่

windows  windows-server-2008  windows-server-2003  windows-server-2008-r2  windows-7 
ชาวสวน
แหล่งที่มา

คำตอบ:

21

ใช่มีผลกระทบ ใช่ขอแนะนำให้คุณออกจากระบบ หากคุณไม่ออกจากระบบทรัพยากรทั้งหมด (เช่น RAM) ที่ใช้เพื่อรักษาเซสชันผู้ใช้แบบโต้ตอบของคุณจะยังคงใช้งานอยู่ คุณใช้การเชื่อมต่อผู้ดูแลระบบอย่างใดอย่างหนึ่งเพื่อให้ผู้อื่นไม่สามารถเชื่อมต่อ

สิ่งที่แนะนำจริงๆคือไม่ให้ RDP กับเซิร์ฟเวอร์ของคุณเลย นี่คือสิ่งที่เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลและการใช้ Powershell Remoting

ฉันอยากจะบอกว่ามีความเสี่ยงด้านความปลอดภัยที่ใหญ่กว่าเมื่อคุณเข้าสู่ระบบผ่าน RDP กับการเข้าสู่ระบบเครือข่ายเช่นผ่านทาง RSAT / MMC

Ryan Ries
แหล่งที่มา
4
ใครแนะนำไม่ให้ RDP ติดต่อเซิร์ฟเวอร์ของคุณ
DKNUCKLES
6
@DKNUCKLES Microsoft พยายามอย่างเต็มที่เพื่อที่จะได้ไม่ต้องเข้าสู่เซิร์ฟเวอร์ RSAT, Server Manager 2012, PS Remoting, Server Core edition ฯลฯ
MDMarra
4
พวกเขายังได้เปิดตัว TSGateway เช่นกัน เพียงเพราะพวกเขาได้เปิดตัววิธีการเพื่อให้คุณไม่ต้องใช้ RDC ไม่ได้หมายความว่ามันแนะนำโดย MS หรือแนวทางปฏิบัติที่ดีที่สุดที่คุณไม่ได้ใช้ RDC ฉันมีบัตรธนาคารที่อนุญาตให้ฉันไปที่ธนาคารโดยไม่ต้องไปที่ธนาคาร แต่นั่นหมายความว่าเป็นวิธีปฏิบัติที่ดีที่สุดที่จะไม่เข้าไปในสาขาและเห็นพนักงานรับเงินหรือไม่?
DKNUCKLES
@DKNUCKLES ฉันไม่รู้เกี่ยวกับทุกที่ที่คุณอยู่ แต่ที่นี่สาขาของธนาคารต้องการให้ลูกค้าธนาคารรู้สึกอย่างนั้น! ในเมืองของฉันมีธนาคารเพียงแห่งเดียว (ไม่ใช่สาขาหรือสำนักงาน แต่เป็นธนาคาร!) จะช่วยให้คุณเดินเข้าไปในอาคารดูพนักงานรับเงินและทำสิ่งที่ไม่สำคัญเช่นฝากเงินเข้าบัญชีของคุณเอง
CVn
1
@DKNUCKLES - ฉันไม่แนะนำให้ RDPing ไปที่เซิร์ฟเวอร์ของคุณเพราะใช้ทรัพยากรมากขึ้นใช้เวลานานขึ้นและใช้การเข้าสู่ระบบแบบโต้ตอบซึ่งเปิดให้คุณมีช่องโหว่ด้านความปลอดภัยมากกว่าอาเรย์เครือข่าย
Ryan Ries
9

นี่อาจเป็นหัวข้อเล็กน้อย แต่อย่างไรก็ตาม:

ถือว่าเป็นแนวปฏิบัติที่ดีโดยผู้ดูแลระบบทั้งหมดที่ฉันรู้จักที่จะออกจากระบบเมื่อคุณทำเสร็จแล้ว แม้ว่าประสิทธิภาพที่เพิ่มขึ้นอาจไม่ได้ผล แต่ก็มีสิ่งอื่นที่ควรพิจารณา:

  1. เซสชันที่เข้าสู่ระบบจะบอกผู้ดูแลระบบรายอื่นว่าคุณกำลังทำงานบนเซิร์ฟเวอร์นั้น
  2. โดยการออกจากระบบเมื่อเสร็จแล้วคุณทำงานในลักษณะที่มีโครงสร้าง (ไม่สนใจ "เซิร์ฟเวอร์การจัดการ" ใด ๆ จากกฎนี้แน่นอน)
  3. ยิ่งกระบวนการทำงานบนเซิร์ฟเวอร์มากเท่าไหร่โอกาสในการรั่วไหลของหน่วยความจำก็จะยิ่งมากขึ้นเท่านั้น
  4. โดยเฉพาะอย่างยิ่งสำหรับเซิร์ฟเวอร์เสมือนและกราฟิกมากคอนโซลมีเป็นจริงที่วัดRAMโทษในสภาพแวดล้อมที่มีขนาดใหญ่ที่มีจำนวนมากเอ้อระเหยประชุม RDP

ในระยะสั้นทำเพื่อนผู้ดูแลระบบของคุณเป็นที่โปรดปรานและออกจากระบบ ทุกคนชนะ

Trondh
แหล่งที่มา
5

นอกเหนือจากผลกระทบของทรัพยากรที่ Ryan Ries อธิบายไว้ปัญหาอื่น ๆ ของเซสชัน RDP ที่ใช้เวลานานคือหากรหัสผ่านของคุณเปลี่ยนแปลงดังนั้นเซสชันใด ๆ ที่เปิดอยู่บนเซิร์ฟเวอร์ในปัจจุบันจะทำให้เกิดข้อผิดพลาดการรับรองความถูกต้องจำนวนมากบน Domain Controllers ของคุณ

คอยาว
แหล่งที่มา
4

ขออภัยที่ไม่เห็นด้วยกับบางข้อข้างต้นและฉันรู้ว่าคำถามเช่นนี้นำมาซึ่งการอ้างอิงถึง "แนวปฏิบัติที่ดีที่สุด" การตั้งค่าส่วนตัว ฯลฯ แต่นอกเหนือจากรอยความทรงจำของเซิร์ฟเวอร์ระยะไกลและศักยภาพสำหรับผู้ดูแลระบบคนใดคนหนึ่ง กระบวนการเดสก์ท็อปที่สร้างภาระ CPU ที่ไม่คาดคิดความเสี่ยงที่ใหญ่ที่สุดคือหนึ่งในความปลอดภัย

และไม่ว่าคุณจะใช้ RDP หรือ RS / AT มันเป็นปัญหาเดียวกัน หากคุณมีโทเค็นสำหรับผู้ดูแลระบบอยู่และอายุการใช้งานโทเค็นนั้นยืดเยื้อความเสี่ยงของการขโมยโทเค็นจะสูงกว่าถ้าคุณไม่ได้อยู่ในระบบด้วยโทเค็นการดูแลระบบ

เรื่องสั้นสั้น ๆ ให้ใช้บัญชีที่มีสิทธิ์ต่ำเท่าที่จะทำได้และล็อกออน / ส่งต่อไปยังโทเค็นการดูแลระบบเมื่อจำเป็นเท่านั้น

ทุกอย่างง่ายเกินไปที่จะใช้เครื่องมือเช่นไม่ระบุตัวตนเพื่อขโมยโทเค็นและเล่นซ้ำกับระบบอื่น

Simon Catlin
แหล่งที่มา
ฉันเห็นด้วยกับคุณว่าความเสี่ยงที่ใหญ่ที่สุดคือการรักษาความปลอดภัย แต่ฉันไม่เห็นด้วยกับคุณว่าจำนวนการเปิดรับของคุณนั้นมากหรือน้อยกว่าเดิมโดยใช้ RDP หรือ RSAT (ซึ่งใช้การเข้าสู่ระบบเครือข่ายแทนการเข้าสู่ระบบแบบโต้ตอบ) ไม่ต้องการพูดลึก ๆ เกี่ยวกับที่นี่เพราะมัน 'เอาเปรียบ' อย่างรวดเร็ว แต่ฉันสัญญาว่าการโจมตีแบบ RDP เต็มรูปแบบจะทำให้คุณมีความเสี่ยงมากกว่าการเชื่อมต่อการดูแลระบบระยะไกลผ่าน RSAT / MMC / PSRemoting อย่างน้อยสอง เหตุผล
Ryan Ries
0

ฉันเดาว่ามันเกือบจะไม่มีเลย (หากคุณไม่ปล่อยให้แอปพลิเคชันบางตัวทำงาน)

สิ่งเดียวคือคุณใช้เซสชันระยะไกล มีจำนวน จำกัด (ถ้าฉันจำได้อย่างถูกต้องในWindows Server 2008จะเป็นสี่เซสชันระยะไกลที่สูงสุด) ในบางช่วงเวลาที่หยุดชั่วคราวอาจทำให้บางคนไม่สามารถเชื่อมต่อได้

ที่จริงแล้วในฐานะผู้ดูแลระบบคุณได้รับอนุญาตให้ยกเลิกการประชุมที่กำหนดไว้และปล่อยให้เป็นอิสระด้วยตัวคุณเอง ฉันไม่รู้ว่ามันเป็นอย่างไรถ้าคุณเชื่อมต่อในฐานะผู้ใช้ธรรมดา

Fiisch
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.