¿Se recomienda cerrar sesión en Windows cuando termine de trabajar en un servidor con RDP?

Respuestas:

21

Sí, hay un impacto. Sí, se recomienda que cierre sesión. Si no cierra la sesión, todos los recursos (como la RAM) que se necesitaron para mantener su sesión de usuario interactiva permanecen en uso. Mantiene una de las dos conexiones administrativas en uso para que otros no puedan conectarse.

Lo que realmente se recomienda es no utilizar RDP en sus servidores. Para eso están las herramientas de administración remota del servidor y Powershell Remoting.

También deseo decir que existe un riesgo de seguridad mucho mayor al iniciar sesión a través de RDP frente a un inicio de sesión de red, por ejemplo, a través de RSAT / MMC.

Ryan Ries
fuente
44
¿Quién recomienda no RDP'ing a sus servidores?
DKNUCKLES
66
@DKNUCKLES Microsoft ha hecho todo lo posible para que nunca tenga que iniciar sesión en un servidor. RSAT, Server Manager 2012, PS Remoting, edición Server Core, etc.
MDMarra
44
También han lanzado TSGateway también. El hecho de que hayan lanzado métodos para que no tenga que usar RDC, no significa que MS o las mejores prácticas lo recomienden que no use RDC. Tengo una tarjeta bancaria que me permite realizar operaciones bancarias sin ingresar al banco, pero ¿eso significa que es una buena práctica no ir a una sucursal y ver a un cajero?
DKNUCKLES
@DKNUCKLES No sé dónde se encuentre, pero aquí, ¡las sucursales bancarias definitivamente quieren que los clientes del banco se sientan así! En mi ciudad, solo un banco (¡no sucursal u oficina, sino banco!) Te permitirá entrar al edificio, ver a un cajero y hacer algo tan trivial como depositar dinero en efectivo en tu propia cuenta con ellos.
un CVn
1
@DKNUCKLES - me recomiendan no RDPing a sus servidores, ya que utiliza más recursos, toma más tiempo, y utiliza los inicios de sesión interactivos que se abren a una mayor variedad de vulnerabilidades de seguridad que hacen los inicios de sesión.
Ryan Ries
9

Esto puede estar un poco fuera de tema, pero de todos modos:

Es considerado una buena práctica por todos los administradores que conozco para cerrar sesión cuando haya terminado. Aunque la ganancia de rendimiento probablemente sea insignificante, hay otras cosas a considerar:

  1. Una sesión iniciada le dice a otros administradores que está trabajando en ese servidor.
  2. Al cerrar sesión cuando haya terminado, trabaja de forma estructurada (sin tener en cuenta los "servidores de administración" de esta regla, por supuesto).
  3. Cuantos más procesos se ejecuten en un servidor, mayores serán las posibilidades de pérdidas de memoria.
  4. Especialmente para servidores virtuales y consolas con uso intensivo de gráficos, en realidad existe una penalización de RAM medible en entornos grandes con muchas sesiones RDP persistentes.

En resumen, haga un favor a sus colegas administradores y cierre la sesión. Todos ganan.

Trondh
fuente
5

Además del impacto en los recursos que describió Ryan Ries, el otro problema con las sesiones RDP de larga duración es que si su contraseña cambia, cualquier sesión actualmente abierta en un servidor causará una gran cantidad de errores de autenticación en sus controladores de dominio.

cuello largo
fuente
4

Lamento no estar de acuerdo con algunos de los anteriores, y sé que preguntas como esta siempre traen referencias a "mejores prácticas", preferencias personales, etc., pero aparte de la huella de memoria en el servidor remoto y el potencial para uno de los administradores procesos de escritorio que producen una carga inesperada de la CPU, el mayor riesgo es uno de seguridad.

Y, ya sea que esté usando RDP o RS / AT, es el mismo problema. Si tiene una ficha administrativa en juego y la vida útil de la ficha es prolongada, el riesgo de robo de fichas es mayor que si no permanece conectado con una ficha administrativa.

En pocas palabras, use cuentas de bajo privilegio tanto como sea posible y solo inicie sesión / escale a un token administrativo cuando sea absolutamente necesario.

Es muy fácil usar herramientas como incógnito para robar un token y reproducirlo en otro sistema.

Simon Catlin
fuente
Estoy de acuerdo con usted en que el mayor riesgo realmente es el de seguridad, pero no estoy de acuerdo con usted en que su cantidad de exposición sea más o menos la misma usando RDP o RSAT (que usa inicios de sesión de red en lugar de inicios de sesión interactivos). Realmente quiero hablar demasiado sobre esto aquí porque se vuelve 'explícito' muy rápidamente, pero prometo que una visión completa de RDP lo expone a más riesgo que una conexión de administración remota a través de RSAT / MMC / PSRemoting durante al menos un par de razones.
Ryan Ries
0

Supongo que es casi ninguno (siempre que no dejes algunas aplicaciones ejecutándose).

Lo único es que usa la sesión remota. Hay un número limitado de ellos (si no recuerdo mal, en Windows Server 2008 , son cuatro sesiones remotas como máximo). Entonces, la sesión de suspensión puede en algún momento evitar que alguien se conecte.

En realidad, como administrador, puede finalizar sesiones establecidas, liberándolas usted mismo. Sin embargo, no sé cómo es si te conectas como un usuario común.

Fiisch
fuente