- 8 Ocak 2013
- 2,433
- 0
Merhaba, bu konuda Windows Server bağlantısında alabileceğiniz güvenliği anlatacağım.
1- Korumasız sunuculara bağlantı kuruyorsanız ve bu sunucular korunaksız ise büyük risk oluşturur. RDP erişimi açık sunucular için güvenlik güncellemelerini ihmal etmeyin. Bu güvenlik güncellemeleri her hafta salı veya çarşamba günü yayımlanır.
2-Sunucuya erişirken TLS tabanlı şifreleme (mümkün ise) ve kimlik doğrulama kullanın. 4 farklı RDP şifreleme türü vardır ve bunlara RDP standart şifrelemesi denir. Bağlantı sırasında şifreleme türünü sunucu seçer ve bu şifreleme bağlanılacak bilgisayar tarafından'da desteklenmelidir. Aksi
halde bağlantı kurulmaz.
RDP şifreleme türleri;
Low; 56 bit'lik şifreleme kullanılır. Sadece sunucuya giden veri şifrelenir.
Client Compatible : Çift yönlü şifreleme kullanılır. 128 bit ve yukarısını desteklemeyen
istemciler varsa kullanılır.
High: Çift yönlü şifreleme, 128 bit anahtar kullanılır.
FIPS: Açılımı Federal Information Processing Standard'dır. Çift yönlü şifreleme
kullanılır ve her işlem için farklı metodlar uygulanır. Askeri tip güvenliktir.
Kullanılması önerilmez.
Bunlar RDP şifreleme türüydü, birde TLS şifreleme metodu var. Normalde her bağlantı için TLS şifrelemesi açıktır, ancak bağlantı yapılan makinenin TLS desteği yoksa RDP şifrelemesi kullanılır. TLS'yi doğru şekilde kullanmak için bir kaç ayar yapmak gerekir.
RDP bağlantıda kimlik doğrulanması sorunu;
RDP sisteminde kimlik doğrulama sistemi yoktur. Bağlantı için şifre kullanılıyorsa bir sorun teşkil etmez ancak şifresiz bir sunucu'ya bağlantıda sorun çıkabilir. Ağ üzerinde bir saldırgan olabilir. Çözüm, sunucu ismi ve sertifika tabanlı kimlik doğrulama kullanmak.
1- İlk olarak sunucu adı belirleyin. Şunun gibi;
Kod:
sunucu.matrix.com:102-Sunucunuza dijital sertifika yükleyin.
3-Sertifika tabanlı doğrulamayı açın ve TLS şifreleme kullanın.
Bunları nasıl yapacağım peki ? ;
1-DNS Servisinizden sunucuya bağlantı kurmak için DNS kaydı oluşturabilirsiniz veya
Hosts dosyası kullanabilirsiniz.
2- Doğrulama için dijital sertifika alın ve RDP servisine aktarın. Sertifikayı almak için arama kısmına certmgr.msc yazın ve açın
Bunlar bitti Şimdi TLS şifrelemeyi açalım ve güvenlik seviyesini belirleyelim.
İlk olarak arama kısmına gpedit.msc yazalım ve açalım.
Daha sonra şu yolu izleyelim : Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Uzak Masaüstü Hizmetleri > Uzak Masaüstü Oturumu Ana Bilgisayarı > Güvenlik
Daha sonra sunucuyu yeniden başlatın. Güvenli bağlantı için hazırsınız. Sertifikanız doğru ise bağlantı yaparken uyarı almazsınız.
Şimdi bağlantı sırasında sistemde donmalar olmaması ve sistemin zorlanmaması için NLA ayarını açalım. Denetim masasını açın ve şu yolu izleyin : Sistem ve Güvenlik > Sistem > Uzak bağlantı ayarları.
Bağlantı ayarlarını açın ve resimde gösterdiğim yerleri işaretleyin.
Şimdi ise sunucuyu şifre saldırısından koruyalım. Bu koruma ile seçtiğiniz hatalı şifre denemesi sonrası sunucuda şifre yasağı konmuş olur.
Arama kısmına secpol.msc yazalım ve açalım.
Bu kadar. Güçlü şifreler kullanın, Sağlam anti virüsler tercih edin ve sunucuyu birden çok kişi kullanıyorsa dikkatli olmasını söyleyin.
not: daha ciddi düzeyde korumalar var, fakat o benim boyumu aşar
Son düzenleme:
