Was sind die Risiken, wenn eine RDP-Sitzung für eine Producton-App oder einen SQL Server geöffnet bleibt?

Manchmal haben wir Support- und Wartungsmitarbeiter, die den ganzen Tag über bei unseren Produktions-Apps und SQL Server angemeldet sind, manchmal hüpfen sie hinein und heraus, um SQL-Abfragen auszuführen. Bei dieser Frage geht es jedoch nicht um das Ausführen von SQL-Abfragen, sondern darum, dass die RDP-Verbindung geöffnet ist und ein Benutzerkonto (Administrator) stundenlang angemeldet ist. Abgesehen davon, dass es eines der Benutzerkonten belegt, welche anderen Probleme sollte ich anführen, wenn ich von diesem Verhalten abhalte?

Es gibt Sicherheitsbedenken

Ein Angreifer, der Zugriff auf den Opferserver erhält, kann beispielsweise einen MIMIKATZ-Angriff ausführen und die Klartext-Anmeldeinformationen abrufen, die im Speicher verbleiben, wenn eine Sitzung aktiv ist. Das gleiche kann wahrscheinlich für aktive Kerberos-Schlüssel gemacht werden, die noch nicht abgelaufen sind.

Einige Antiviren-Lösungen lehnen außerdem die Aktualisierung ab, wenn sich eine Sitzung im Modus DISCONNECTED befindet.

Diese beiden Elemente sind mir eingefallen, ich bin mir sicher, dass es noch mehr gibt.

Da Sie ihnen erlauben, sich als Administratoren anzumelden, gehe ich davon aus, dass sie keine wirklichen Sicherheitsbedenken haben. Abgesehen davon ist das einzige Problem die Zuverlässigkeit. Auch hier gibt es insgesamt wahrscheinlich nicht viele Probleme.

In Bezug auf offene Verbindungen, die Neustarts verhindern, habe ich heute einen neuen Beitrag verfasst, mit dem das Problem behoben werden kann: Wie wird ein Server neu gestartet, wenn er nicht lokal ist?

Das große Problem für mich wäre, dass sie, wie Sie sagten, eine Ihrer begrenzten Anzahl von Verbindungen blockieren. Unter der Annahme, dass Sie nicht das tun, was ich im nächsten Absatz sage, würde ich auf jeden Fall die lokale Computerrichtlinie konfigurieren, wenn Sie Probleme haben und Sitzungen einschränken möchten. Öffnen Sie gpedit.msc, navigieren Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Terminaldienste> Sitzungen und konfigurieren Sie die gewünschten Zeitlimits.

Wenn Sie die Beschränkung der Sitzung auf Vorgesetzte rechtfertigen müssen, können Sie ihnen lediglich mitteilen, dass Sie den Server nicht verwalten können, wenn keine Verbindungen bestehen. Alternativ können Sie 5 Terminalserverlizenzen erwerben und daraus einen TS machen. Ich habe das tatsächlich für einen SQL Server gemacht, den einer meiner Clients hat.

Es gibt verschiedene Probleme:

1. Wenn sich jemand mit demselben Benutzernamen beim Server anmeldet, erhält er die offene Sitzung. Diese Person könnte dann einige Daten sehen, die sie nicht sehen darf. Vor allem, wenn das Fenster mit dem Abfrageergebnis noch offen ist.
2. Auf diese Weise weiß niemand, was in diesem offenen Fenster passiert. (ZB gibt es eine Abfrage, die mehrere Stunden läuft.) Wenn sich jetzt jemand anders am Server anmelden muss und keine Sitzung geöffnet hat, wird er jemanden rausschmeißen. Und dies könnte dann die Datenbank beschädigen, da die Abfrage abgebrochen wird.

Es gibt keine "Probleme" an sich, außer das Aufsaugen von Ressourcen auf dem Server, die nicht verwendet werden müssen. Wenn ein Benutzer angemeldet ist, startet windowa das System nicht automatisch neu (für Windows Update). Mit dieser Argumentation können Zeitlimits für RDP-Sitzungen implementiert werden. Sie können jedoch noch einen Schritt weiter gehen und den Fall darstellen, dass sich keine Unternehmen am Server anmelden.

Sie müssen keine SQL-Abfragen ausführen, indem Sie sich beim Server anmelden. SQL Server Management Studio wird direkt auf der lokalen Workstation ausgeführt. In Windows sind Remoteverwaltungstools integriert, mit denen der Server selbst verwaltet werden kann.

Am beunruhigendsten ist, dass Sie sagen, dass sich alle als Administrator anmelden. Dies ist aus einer ganzen Reihe von Gründen eine schlechte Idee. Benutzern sollten die Berechtigungen erteilt werden, die sie für die Verwendung ihrer eigenen Konten benötigen.