Иногда у нас есть специалисты по поддержке и обслуживанию, которые в течение всего дня заходят в наши производственные приложения и SQL Server, а иногда то и дело заходят, то выходят для выполнения различных запросов SQL. Однако этот вопрос не о выполнении SQL-запросов, а о том, что соединение RDP открыто с учетной записью пользователя (admin), входящей в систему в течение нескольких часов подряд. Помимо того, что он использует одну из учетных записей пользователей, какие еще проблемы я должен указать, препятствуя такому поведению?
Есть проблемы с безопасностью
Например, злоумышленник, получивший любой уровень доступа к серверу жертвы, может запустить атаку MIMIKATZ и получить учетные данные в виде открытого текста, которые остаются в памяти, когда сеанс активен. То же самое, вероятно, можно сделать для активных ключей Kerberos, срок действия которых еще не истек.
Кроме того, некоторые антивирусные решения отказываются обновляться, когда сеанс находится в режиме ОТКЛЮЧЕН.
Эти два элемента пришли в голову, я уверен, что их гораздо больше.
Поскольку вы разрешаете им входить в систему как администраторы, я полагаю, что у вас нет никаких реальных проблем с безопасностью, поэтому, кроме этого, единственная проблема - действительно надежность. Даже там в целом проблем, наверное, не так много.
Что касается открытых соединений, предотвращающих перезагрузку, сегодня я сделал новый пост, который решил эту проблему: Как перезагрузить сервер, если вы не находитесь на нем?
Для меня большой проблемой будет то, что, как вы сказали, они забирают одно из ваших ограниченных связей. Предполагая, что вы не поступаете так, как я говорю в следующем абзаце, я бы определенно настроил политику локального компьютера, если у вас возникли проблемы и вы хотите ограничить сеансы. Откройте gpedit.msc, перейдите в раздел «Конфигурация компьютера»> «Административные шаблоны»> «Компоненты Windows»> «Службы терминалов»> «Сеансы» и настройте любые временные ограничения, которые вы хотите.
Если вам нужно обосновать ограничение сеанса только начальством, вы можете просто сказать им, что вы не можете управлять сервером, если нет подключений. В качестве альтернативы вы можете купить 5 лицензий на сервер терминалов и сделать его TS. Я действительно сделал это для SQL-сервера, который есть у одного из моих клиентов.
Как таковых нет никаких «проблем», кроме высасывания ресурсов на сервере, которые не нужно использовать. Кроме того, когда пользователь входит в систему, windowa не будет автоматически перезагружать систему (для обновления Windows). этот аргумент можно использовать для реализации ограничений по времени для сеансов RDP. Однако вы можете пойти еще дальше и представить случай, когда у них вообще нет бизнес-входа на сервер.
Вам не нужно запускать SQL-запросы, войдя на сервер. Студия управления SQL сервером работает прямо на локальной рабочей станции. В окна встроены инструменты удаленного управления, которые можно использовать для управления самим сервером.
Больше всего беспокоит то, что вы говорите, что все они входят в систему как администраторы. Это плохая идея по целому ряду причин. Пользователям должны быть предоставлены необходимые им разрешения с использованием их собственных учетных записей.
Есть несколько проблем: