Est-il recommandé de se déconnecter de Windows lorsque vous avez terminé de travailler sur un serveur avec RDP?

Réponses:

21

Oui, il y a un impact. Oui, il est recommandé de vous déconnecter. Si vous ne vous déconnectez pas, toutes les ressources (telles que la RAM) nécessaires pour maintenir votre session utilisateur interactive restent utilisées. Vous conservez l'une des deux connexions administratives utilisées afin que les autres ne puissent pas se connecter.

Ce qui est réellement recommandé est de ne pas du tout RDP sur vos serveurs. C'est à cela que servent les outils d'administration de serveur distant et Powershell Remoting.

Je tiens également à dire qu'il existe un risque de sécurité beaucoup plus important lorsque vous vous connectez via RDP par rapport à une connexion réseau, par exemple via RSAT / MMC.

Ryan Ries
la source
4
Qui recommande de ne pas RDP sur vos serveurs?
DKNUCKLES
6
@DKNUCKLES Microsoft a fait tout son possible pour que vous n'ayez jamais à vous connecter à un serveur. RSAT, Server Manager 2012, PS Remoting, édition Server Core, etc.
MDMarra
4
Ils ont également sorti TSGateway. Ce n'est pas parce qu'ils ont publié des méthodes pour que vous n'ayez pas à utiliser RDC que cela signifie que MS ou les meilleures pratiques recommandent de ne pas utiliser RDC. J'ai une carte bancaire qui me permet d'effectuer des opérations bancaires sans entrer dans la banque, mais cela signifie-t-il qu'il est préférable de ne pas aller dans une succursale et de voir un caissier?
DKNUCKLES
@DKNUCKLES Je ne sais pas où vous vous trouvez, mais ici, les succursales bancaires veulent vraiment que les clients des banques se sentent de cette façon! Dans ma ville, une seule banque (pas une succursale ou un bureau, mais une banque!) Vous permettra d'entrer dans le bâtiment, de voir un caissier et de faire quelque chose d'aussi banal que de déposer de l'argent avec eux sur votre propre compte avec eux.
un CVn
1
@DKNUCKLES - Je recommande de ne pas effectuer de RDP sur vos serveurs, car il utilise plus de ressources, prend plus de temps et utilise des ouvertures de session interactives qui vous ouvrent à un plus grand éventail de vulnérabilités de sécurité que les ouvertures de session réseau.
Ryan Ries
9

Cela peut être légèrement hors sujet, mais de toute façon:

Il est considéré comme une bonne pratique par tous les administrateurs que je connais de vous déconnecter lorsque vous avez terminé. Bien que le gain de performances soit probablement négligeable, il y a d'autres choses à considérer:

  1. Une session connectée indique aux autres administrateurs que vous travaillez sur ce serveur.
  2. En vous déconnectant une fois terminé, vous travaillez de manière structurée (sans tenir compte des "serveurs d'administration" de cette règle, bien sûr).
  3. Plus il y a de processus en cours d'exécution sur un serveur, plus les risques de fuites de mémoire sont importants.
  4. Surtout pour les serveurs virtuels et les consoles gourmandes en graphiques, il y a en fait une pénalité RAM mesurable dans les grands environnements avec beaucoup de sessions RDP persistantes.

En bref, rendez service à vos collègues administrateurs et déconnectez-vous. Tout le monde gagne.

Trondh
la source
5

Outre l'impact sur les ressources décrit par Ryan Ries, l'autre problème avec les sessions RDP de longue durée est que si votre mot de passe change, toutes les sessions actuellement ouvertes sur un serveur entraîneront un grand nombre d'erreurs d'authentification sur vos contrôleurs de domaine.

long cou
la source
4

Désolé d'être en désaccord avec certains des points ci-dessus, et je sais que des questions comme celle-ci font toujours référence à des "meilleures pratiques", à des préférences personnelles, etc., mais à part l'empreinte mémoire sur le serveur distant et le potentiel pour l'un des administrateurs '' processus de bureau produisant une charge CPU inattendue, le plus grand risque est celui de la sécurité.

Et, que vous utilisiez RDP ou RS / AT, c'est le même problème. Si vous avez un jeton d'administration en jeu et que sa durée de vie est prolongée, le risque de vol de jeton est plus élevé que si vous ne restez pas connecté avec un jeton d'administration.

Pour faire court, utilisez autant que possible des comptes à faibles privilèges et connectez-vous / escaladez-vous uniquement vers un jeton d'administration lorsque cela est absolument nécessaire.

Il est trop facile d'utiliser des outils comme incognito pour voler un jeton et le rejouer sur un autre système.

Simon Catlin
la source
Je suis d'accord avec vous que le plus grand risque est vraiment celui de la sécurité, mais je ne suis pas d'accord avec vous que votre niveau d'exposition est plus ou moins le même en utilisant RDP ou RSAT (qui utilise les connexions réseau par opposition aux connexions interactives). Je ne veux pas en parler trop profondément ici, car il devient très rapidement «exploitable», mais je vous promets qu'une vision RDP complète vous expose à plus de risques qu'une connexion d'administration à distance via RSAT / MMC / PSRemoting pour au moins quelques les raisons.
Ryan Ries
0

Je suppose que ce n'est presque pas (à condition de ne pas laisser certaines applications en cours d'exécution).

La seule chose est que vous utilisez la session à distance. Il y en a un nombre limité (si je me souviens bien, sur Windows Server 2008 , c'est quatre sessions distantes au maximum). Ainsi, la session suspendue peut à un moment donné empêcher quelqu'un de se connecter.

En fait, en tant qu'administrateur, vous êtes autorisé à mettre fin aux sessions établies, en les libérant pour vous-même. Je ne sais pas comment c'est si vous vous connectez en tant qu'utilisateur ordinaire.

Fiisch
la source