É recomendável fazer logoff do Windows quando terminar de trabalhar em um servidor com RDP?

Respostas:

21

Sim, há um impacto. Sim, é recomendável que você faça logoff. Se você não fizer logoff, todos os recursos (como RAM) necessários para manter sua sessão interativa do usuário permanecerão em uso. Você mantém uma das duas conexões administrativas em uso para que outras pessoas não possam se conectar.

O que é realmente recomendado é não fazer RDP para seus servidores. É para isso que servem as Ferramentas de Administração Remota do Servidor e o Remoting do PowerShell.

Também quero dizer que há um risco de segurança muito maior envolvido quando você faz logon via RDP versus um logon de rede, por exemplo, através do RSAT / MMC.

Ryan Ries
fonte
4
Quem recomenda não fazer RDP para seus servidores?
DKNUCKLES
6
@DKNUCKLES A Microsoft fez todos os esforços para fazer com que você raramente precise fazer login em um servidor. RSAT, Server Manager 2012, PS Remoting, edição Server Core, etc.
MDMarra
4
Eles também lançaram o TSGateway também. Só porque eles lançaram métodos para que você não precise usar o RDC, não significa que é recomendado pelo MS ou pelas melhores práticas que você não use o RDC. Tenho um cartão bancário que me permite depositar sem entrar no banco, mas isso significa que é uma boa prática não entrar em uma agência e ver um caixa?
DKNUCKLES
@DKNUCKLES Não sei onde você está, mas aqui, as agências bancárias definitivamente querem fazer com que os clientes se sintam assim! Na minha cidade, apenas um banco (não filial ou escritório, mas banco!) Permitirá que você entre no prédio, consulte um caixa e faça algo tão trivial quanto depositar algum dinheiro com eles em sua própria conta.
a CVn 22/08/13
1
@DKNUCKLES - eu recomendo não fazer RDP nos seus servidores, porque ele usa mais recursos, leva mais tempo e usa logons interativos que abrem uma variedade maior de vulnerabilidades de segurança do que os logons de rede.
Ryan Ries
9

Isso pode ser um pouco estranho, mas de qualquer maneira:

É considerado uma boa prática por todos os administradores que conheço a fazer logoff quando terminar. Embora o ganho de desempenho provavelmente seja negligenciável, há outras coisas a considerar:

  1. Uma sessão com logon informa a outros administradores que você está trabalhando nesse servidor.
  2. Ao fazer o logoff quando concluído, você trabalha de maneira estruturada (é claro que desconsidera quaisquer "servidores de administração" desta regra).
  3. Quanto mais processos executados em um servidor, maior a chance de vazamentos de memória.
  4. Especialmente para servidores virtuais e consoles com muitos gráficos, não é realmente um mensurável RAM pena em grandes ambientes com muito persistente sessões RDP.

Em resumo, faça um favor a seus colegas administradores e faça logoff. Todo mundo ganha.

Trondh
fonte
5

Além do impacto sobre os recursos descrito por Ryan Ries, o outro problema com as sessões RDP de execução demorada é que, se a senha for alterada, as sessões abertas no momento em um servidor causarão um grande número de erros de autenticação nos controladores de domínio.

pescoço longo
fonte
4

Desculpe discordar de alguns dos itens acima, e sei que perguntas como essa sempre trazem referências a "melhores práticas", preferências pessoais, etc., mas além da pegada de memória no servidor remoto e do potencial de um dos administradores processos de desktop que produzem carga inesperada da CPU, o maior risco é um de segurança.

E, se você estiver usando RDP ou RS / AT, é o mesmo problema. Se você tiver um token administrativo em execução e a vida útil do token for prolongada, o risco de roubo de token é maior do que se você não permanecer conectado com um token administrativo.

Para encurtar a história, use contas com poucos privilégios o máximo possível e faça logon / escalar para um token administrativo quando for absolutamente necessário.

É muito fácil usar ferramentas como a navegação anônima para roubar um token e reproduzi-lo em outro sistema.

Simon Catlin
fonte
Concordo com você que o maior risco é realmente de segurança, mas discordo que sua quantidade de exposição é mais ou menos a mesma usando RDP ou RSAT (que usa logons de rede em oposição a logons interativos.) Eu realmente não quero falar muito sobre isso aqui porque obtém 'exploração' muito rapidamente, mas eu prometo que uma visão completa do RDP expõe você a mais riscos do que uma conexão de administração remota pelo RSAT / MMC / PSRemoting por pelo menos um par de razões.
Ryan Ries
0

Meu palpite é que é quase nenhum (desde que você não deixe alguns aplicativos em execução).

A única coisa é que você usa a sessão remota. Há um número limitado deles (se bem me lembro, no Windows Server 2008 , são quatro sessões remotas no máximo). Portanto, a sessão suspensa pode, em algum momento, impedir que alguém se conecte.

Na verdade, como administrador, você pode encerrar sessões estabelecidas, liberando-as para si mesmo. Não sei como é se você se conectar como um usuário comum.

Fiisch
fonte