Apakah disarankan untuk logout dari Windows ketika selesai bekerja pada server dengan RDP?

Jawaban:

21

Ya ada dampaknya. Ya disarankan agar Anda logout. Jika Anda tidak logout, semua sumber daya (seperti RAM) yang diperlukan untuk mempertahankan sesi pengguna interaktif Anda tetap digunakan. Anda tetap menggunakan satu dari dua koneksi administratif sehingga orang lain tidak dapat terhubung.

Apa yang sebenarnya direkomendasikan adalah untuk tidak RDP ke server Anda sama sekali. Inilah gunanya Alat Administrasi Server Jarak Jauh dan Remoting Powershell.

Saya juga ingin mengatakan bahwa ada risiko keamanan yang jauh lebih besar yang terlibat ketika Anda masuk melalui RDP dibandingkan dengan masuk jaringan, misalnya melalui RSAT / MMC.

Ryan Ries
sumber
4
Siapa yang merekomendasikan untuk tidak melakukan RDP ke server Anda?
DKNUCKLES
6
@DKNUCKLES Microsoft telah melakukan segala upaya untuk membuatnya sehingga Anda jarang harus masuk ke server. RSAT, Server Manager 2012, Remoting PS, edisi Server Core, dll.
MDMarra
4
Mereka juga merilis TSGateway juga. Hanya karena mereka telah merilis metode sehingga Anda tidak harus menggunakan RDC, tidak berarti bahwa itu direkomendasikan oleh MS atau praktik terbaik yang Anda tidak gunakan RDC. Saya memiliki kartu bank yang memungkinkan saya untuk bank tanpa masuk ke bank, tetapi apakah itu berarti praktik terbaik untuk tidak pergi ke cabang dan melihat kasir?
DKNUCKLES
@DKNUCKLES Saya tidak tahu di mana pun Anda berada, tetapi di sini, cabang bank pasti ingin membuat pelanggan bank merasa seperti itu! Di kota saya, hanya satu bank (bukan cabang atau kantor, tetapi bank!) Yang akan membiarkan Anda masuk ke gedung, melihat teller dan melakukan sesuatu yang sepele seperti menyetor uang tunai ke dalam akun Anda sendiri bersama mereka.
CVn
1
@ DKNUCKLES - Saya sarankan untuk tidak melakukan RDP ke server Anda, karena ia menggunakan lebih banyak sumber daya, membutuhkan waktu lebih lama, dan menggunakan log masuk interaktif yang membuka Anda ke jajaran kerentanan keamanan yang lebih besar daripada log masuk jaringan.
Ryan Ries
9

Ini mungkin sedikit di luar topik, tetapi bagaimanapun:

Ini dianggap praktik yang baik oleh semua administrator yang saya tahu untuk logoff ketika Anda selesai. Meskipun perolehan kinerja mungkin diabaikan, ada hal-hal lain yang perlu dipertimbangkan:

  1. Sesi log-on memberi tahu administrator lain bahwa Anda bekerja di server itu.
  2. Dengan keluar saat selesai, Anda bekerja dengan cara yang terstruktur (mengabaikan "server administrasi" apa pun dari aturan ini, tentu saja).
  3. Semakin banyak proses berjalan di server, semakin besar kemungkinan kebocoran memori.
  4. Khusus untuk server virtual dan konsol grafis intensif, ada yang benar-benar terukur RAM penalti di lingkungan besar dengan banyak berlama-lama sesi RDP.

Singkatnya, bantulah rekan administrator Anda dan logout. Semua orang menang.

Trondh
sumber
5

Selain dampak sumber daya yang dijelaskan Ryan Ries, masalah lain dengan sesi RDP yang berjalan lama adalah jika kata sandi Anda berubah maka setiap sesi yang saat ini terbuka di server akan menyebabkan sejumlah besar kesalahan otentikasi pada Pengontrol Domain Anda.

leher panjang
sumber
4

Maaf tidak setuju dengan beberapa hal di atas, dan saya tahu pertanyaan seperti ini selalu memunculkan referensi untuk "praktik terbaik", preferensi pribadi, dll., Tetapi terlepas dari jejak memori pada server jarak jauh dan potensi salah satu administrator ' proses desktop menghasilkan beban CPU yang tidak terduga, risiko terbesar adalah salah satu dari keamanan.

Dan, apakah Anda menggunakan RDP atau RS / AT, itu masalah yang sama. Jika Anda memiliki token administratif yang sedang dimainkan, dan token seumur hidup berlarut-larut, risiko pencurian token lebih tinggi daripada jika Anda tidak tetap masuk dengan token administratif.

Singkatnya, gunakan akun dengan privilege rendah sebanyak mungkin, dan hanya masuk / naikkan ke token administratif bila benar-benar diperlukan.

Terlalu mudah menggunakan alat seperti penyamaran untuk mencuri token, dan memutarnya kembali ke sistem lain.

Simon Catlin
sumber
Saya setuju dengan Anda bahwa risiko terbesar sebenarnya adalah keamanan, tetapi saya tidak setuju dengan Anda bahwa jumlah paparan Anda kurang lebih sama dengan menggunakan RDP atau RSAT (yang menggunakan log jaringan sebagai lawan log masuk interaktif.) Saya benar-benar ingin berbicara terlalu mendalam tentang hal itu di sini karena ia mendapatkan 'eksploitasi' dengan sangat cepat, tetapi saya berjanji bahwa RDP penuh akan membuat Anda lebih berisiko daripada koneksi administrasi jarak jauh melalui RSAT / MMC / PS. alasan.
Ryan Ries
0

Dugaan saya adalah hampir tidak ada (asalkan Anda tidak membiarkan beberapa aplikasi berjalan).

Satu-satunya hal adalah Anda menggunakan sesi jarak jauh. Ada sejumlah mereka (jika saya ingat dengan benar, pada Windows Server 2008 , maksimum empat sesi jarak jauh). Jadi sesi penggantungan dapat di beberapa titik mencegah seseorang terhubung.

Sebenarnya, sebagai administrator, Anda diizinkan mengakhiri sesi yang sudah ada, membebaskannya sendiri. Saya tidak tahu bagaimana jika Anda terhubung sebagai pengguna biasa.

Fiisch
sumber