有时我们有支持和维护人员整天login到我们的生产应用程序和SQL Server,有时候跳进来运行SQL各种查询。 然而,这个问题不是关于运行SQL查询,而是关于RDP连接打开,用户帐户(admin)连续数小时login。 除此之外,它正在占用用户帐户之一,在劝阻这种行为时还应该引用哪些其他问题?
有安全问题
例如,获得对受害服务器的任意级别访问权的攻击者可以运行MIMIKATZ攻击,并在会话处于活动状态时检索保留在内存中的明文凭证。 对于尚未过期的活动Kerberos密钥,可能也可以做同样的事情。
此外,当会话处于DISCONNECTED模式时,一些防病毒解决scheme拒绝更新。
这两个元素浮现在脑海里,我确定还有更多。
既然你允许他们以pipe理员身份login,我认为没有真正的安全问题,所以除此之外,唯一的问题是真正的可靠性。 即使在那里,总的来说,可能也没有太多问题。
至于防止重新启动的开放连接,我今天做了一个新的post,可以解决这个问题: 当你不在本地时,你如何重新启动服务器?
对我而言,最大的问题就是,正如你所说的,他们正在占用有限数量的连接。 假设你在下一段中没有这么说,我肯定会configuration本地计算机策略,如果你有问题并想限制会话。 打开gpedit.msc,导航到“计算机configuration”>“pipe理模板”>“Windows组件”>“terminal服务”>“会话”,并configuration所需的时间限制。
如果您必须向上级限制会话,则可以告诉他们,如果没有连接,则无法pipe理服务器。 另外,您可以购买5台terminal服务器许可证,并将其作为TS。 我其实已经做了我的客户之一的SQL服务器。
有几个问题:
除了在服务器上吮吸不需要使用的资源之外,没有任何“问题”本身。 另外当用户login时,windowa不会自动重启系统(对于windows update)。 这个论证可以用来实现RDP会话的时间限制。 但是,你可以更进一步,提出一个他们没有任何业务login到服务器的情况。
您不需要通过login到服务器运行SQL查询。 SQL服务器pipe理工作室在本地工作站上运行。 有一些远程pipe理工具内置于Windows中,可以用来pipe理服务器本身。
最令人不安的是你说他们都是以pipe理员身份login的。 这是一个很糟糕的想法,原因很多。 用户应该被授予他们需要使用他们自己的帐户的权限。