Quais são os riscos de deixar uma sessão RDP aberta para um aplicativo Producton ou para um servidor SQL?

Existem preocupações de segurança

Por exemplo, um invasor que obtenha qualquer nível de acesso ao servidor vítima pode executar um ataque MIMIKATZ e recuperar as credenciais de texto não criptografado que permanecem na memória quando uma sessão está ativa. O mesmo provavelmente pode ser feito para chaves kerberos ativas que ainda não expiraram.

Além disso, algumas soluções antivírus se recusam a atualizar quando uma sessão está no modo DISCONNECTED.

Estes dois elementos vieram à mente, estou certo de que há mais.

Como você permite que eles efetuem login como administradores, presumo que não haja preocupações reais de segurança, portanto, além disso, o único problema é realmente a confiabilidade. Mesmo lá, no geral, provavelmente não há muitos problemas com relação a isso.

No que diz respeito a conexões abertas que impedem a reinicialização, eu realmente fiz um novo post hoje que resolveria isso: A grande questão para mim seria que, como você disse, eles estão sobrecarregando um de seu número limitado de conexões. Supondo que você não faça isso, o que eu digo no próximo parágrafo, eu definitivamente configuraria a diretiva de computador local se você estiver tendo problemas e quiser limitar as sessões. Abra gpedit.msc, navegue até Configuração do computador > Modelos administrativos > Componentes do Windows > Serviços de terminal > Sessões e configure os limites de tempo desejados.

Se você tiver que justificar a limitação da sessão aos superiores, você pode dizer a eles que não é possível gerenciar o servidor se não houver conexões. Em alternativa, você pode comprar 5 licenças de servidor de terminal e torná-lo um TS. Eu realmente fiz isso para um servidor SQL que um dos meus clientes tem.

Existem vários problemas:

1. Quando alguém faz login no servidor com o mesmo nome de usuário, ele recebe a sessão aberta. Essa pessoa pode ver alguns dados que não podem ver. Especialmente se a janela com o resultado da consulta ainda estiver aberta.
2. Desta forma, ninguém sabe o que está acontecendo dentro desta janela aberta. (por exemplo, há consultas em execução por várias horas.) Se agora outra pessoa tiver que fazer login no servidor e não tiver sessão aberta, ele expulsará alguém. E isso poderia quebrar o banco de dados porque a consulta é abortada.

Não há "problemas" per se, além de sugar recursos no servidor que não precisam ser usados. Além disso, quando um usuário está logado, o windowa não reinicializa automaticamente o sistema (para atualização do windows). este argumento pode ser usado para implementar limites de tempo para sessões RDP. No entanto, você pode ir um passo além e apresentar um caso em que eles não têm negócios fazendo login no servidor.

Você não precisa executar consultas SQL fazendo login no servidor. O SQL Server Management Studio é executado diretamente na estação de trabalho local. Existem ferramentas de gerenciamento remoto embutidas nas janelas que podem ser aproveitadas para gerenciar o próprio servidor.

O mais preocupante é que você diz que eles estão todos fazendo login como administrador. Esta é uma má idéia por uma série de razões. Os usuários devem receber as permissões necessárias usando suas próprias contas.