1. ÖNERİLER:
1.1. Erişim Güvenliği:
1.1.1. Mümkünse RDP portu doğrudan internete açılmamalı. Önce SSH, IpSec, OpenVPN vb. bir VPN ile önce güvenli bir tünel kurulmalı sonra uzak masaüstü bağlantısı yapılmalı.
1.1.2. Uzak Masaüstü açılacak pc'nin güvenlik güncellemeleri tam olmalı.
1.1.3. Uzak Masaüstü açılacak pc'nin olay kayıtları (eventlog) ayarları yapılandırılmış olmalı.
1.1.4. Administrator kullanıcı hesabı pasif olmalı veya adı değiştirilmiş olmalı. Bilinen kullanıcı adları kullanılmamalı (Administrator, admin, sisyon, sisdes...).
1.1.5. Güçlü parola kullanılmalı. Parolanız en az 12 karakterden oluşmalı, büyük harf, küçük harf, rakam ve özel karakter setlerinden en az üçü kullanılmalı.
1.1.6. Varsayılan rdp portu (3389) değiştirilmeli. Yeni port numarası 1025-65535 aralığında olabilir. İlk 10000 port sık kullanıldığından 10000 den yüksek portlar tercih edilmeli. (Port değiştirme tek başına kesinlikle yeterli değildir. Örneğin Nmap vb. port tarayıcılar ile açık portlar ve üzerlerindeki servisler kolayca tespit edilebilmektedir.)
1.1.7. Windows Güvenlik Duvarı kesinlikle etkin olmalı ve ortamda gerçek bir güvenlik duvarı kullanılmıyor ise bu güvenlik duvarı sıkılaştırılmalı.
1.1.8. RDP yapılacak IP'ler sabit ise güvenlik duvarlarından IP ve port sıkılaştırması yapılmalı. (Ortamda güvenlik duvarı yok ise Windows güvenlik duvarı "wf.msc" ile de gerekli sıkılaştırmalar yapılabilir.)
1.2. İletişim Güvenliği
1.2.1. Güvenlik katmanı olarak SSL (TLS 1.0) seçilmeli.
1.2.2. İletişimin 128 bit şifreli olması için Şifreleme Düzeyi “Yüksek Düzey” olarak ayarlanmalı.
2. YAPILANDIRMALAR:
Öneri olarak sunduğumuz adımları gerçekleştirelim.
2.1. Erişim Güvenliği:
2.1.1. Windows Güncellemeleri:
Bu adıma tüm güvenlik adımlarının %80’i diyebiliriz. Genellikle hacklenme sorunları zamanında güncellenmeyen sistemlerde karşılaşılmaktadır. Gerekli güvenlik güncellemeleri yapılmaz ise örnek olarak aşağıdaki açıklıklar gibi yeni çıkabilecek açıklıklar sayesinde sisteminiz kolayca hacklenebilir. Güvenlik güncellemeleri için politika belirlemeli. Belirli aralıklarda kontrol edilmeli ve manuel güncelleme yapılmalıdır.
Not: Sunucular için otomatik güncelleme önerilmemektedir! Kontrollü olarak manuel güncelleme yapılmalıdır.
Kritik rdp açıklıkları için aşağıdaki linkleri inceleyebilirsiniz:
13 Mart 2012 tarihinde MS12-020 koduyla bildirilen açıklık: https://technet.microsoft.com/tr-tr/library/security/ms12-020.aspx https://www.bilgiguvenligi.gov.tr/kritik-acikliklar/microsoftdan-saldirganlara-uzak-masaustu-kolayligi-ms12-020-acikligi.html
11 Ağustos 2009 tarihinde MS09-044 koduyla açıklanan açıklık: https://technet.microsoft.com/tr-tr/library/security/ms09-044.aspx https://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-windows-remote-desktop-coklu-acikliklari-ms09-044.html
2.1.2. Olayların (eventlog) kaydedilmesi / loglanması :
Herhangi bir saldırı durumunda olayın aydınlatılabilmesi için olay kayıtlarından (eventlog) faydalanılabilir. Yalnız bir pc varsayılan ayarlar ile yüklenmiş ise birçok olaya ait kayıt (log) tutulmaz. Yerel bir makinede açık olan denetim (audit) ilkeleri için komut satırına aşağıdaki komutu yazabilirsiniz:
Cmd.exe auditpol /get /category:* |
Pc'lerde Yerel Grup İlkesi "gpedit.msc" penceresinden, etki alanında (Active Directory) Grup İlkesi Yönetim Konsolu (Group Policy Management Editor) "gpmc.msc" üzerinden ayarlama yapılabilir. Bu konuda ayrıntılı bilgi için Audit Settings Group Policy konulu yazımızı inceleyebilirsiniz.
2.1.3. Administrator kullanıcı hesabı pasif olmalı veya adı değiştirilmiş olmalı:
Saldırılarda ilk olarak Administrator kullanıcısına atak yapılır. Bu sebeple güvenlik sıkılaştırmalarında Administrator hesap adı değiştirilir veya ihtiyaç yok ise pasif yapılır.
Komut satırından hesap adı değiştirmek için:
Cmd.exe wmic USERACCOUNT where Name="Administrator" Rename "NewAdminName" |
Yerel güvenlik ilkesi üzerinden Administrator yönetici hesap adı değiştirmek için:
Türkçe işletim sistemlerinde:
English işletim sistemlerinde:
Komut satırından hesabı pasif yapmak için:
Cmd.exe net user Administrator /active:no |
Komut satırından hesabı yeniden aktif yapmak için:
Cmd.exe net user Administrator /active:yes |
Not: Bilinen kullanıcı adları kullanılmamalı (Administrator, admin, sisyon, sisdes...).
2.1.4. Güçlü parola kullanılmalı:
Parolanız en az 12 karakterden oluşmalı, büyük harf, küçük harf, rakam ve özel karakter setlerinden en az üçü kullanılmalı.
Türkçe işletim sistemlerinde:
English işletim sistemlerinde:
2.1.5. Varsayılan portu değiştirme:
Windows Uzak Masaüstü bağlantısı varsayılan olarak 3389 numaralı tcp portunu kullanır. Saldırganlar genellikle belirli IP bloğunun belirli portlarını tararlar. Sabit portlar kullanılmadığında kolay hedef olmaktan kaçılmış olunur. Bu durumda saldırganın 65535 adet portu tarayıp açık portlar üzerinde çalışan servisi tespit etmesi gerekmektedir.
Uzak Masaüstü bağlantı portunu değiştirmek için Regedit.exe açılır ve [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] altında "PortNumber" değerine yeni port numarası dword hex veya decimal olarak girilir.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00000d3d |
Yeni girilecek port numarasını decimal olarak tanımlamak için önce "Decimal" seçeneğini işaretleyin ve yeni değeri girip "Tamam" diyerek onaylayın.
Port değiştirme scripti ve daha ayrıntılı bilgi için How to change the Remote Desktop Listening Port (rdp) – Script konu başlıklı yazımızı inceleyiniz.
2.1.6. Windows Güvenlik Duvarı:
Güvenlik için mutlaka etkin olmalıdır. İnternet çıkışında sıkılaştırılmış ayrı bir güvenlik duvarı kullanılmıyor ise bu güvenlik duvarı sıkılaştırılmalıdır. Konu hakkında farkındalık oluşturmak için aşağıdaki linke göz atabilirsiniz.
http://www.bilgimikoruyorum.org.tr/?b410_guvenlik-duvari-ile-korunma http://www.mshowto.org/windows-7-firewall-nedir-ozellikleri-nelerdir-nasil-konfigure-edilir.html
2.1.7. Windows Güvenlik Duvarından IP kısıtlaması:
RDP yapılacak IP'ler sabit ise güvenlik duvarlarından IP ve port sıkılaştırması yapılmalı. Ortamda güvenlik duvarı yok ise Windows güvenlik duvarı "wf.msc" ile de gerekli güvenlik sıkılaştırmaları yapılabilir.
Windows Güvenlik Duvarı ile sadece belirlenen IP'lere erişim izni ekleme:
RDP portu: TCP 12345 (3389 olan rdp portunun 12345 olarak değiştirildiği varsayılmıştır.) Erişim izni verilecek IP adresleri: 1.1.1.1,2.2.2.2,192.168.0.0/24 Kural Adı: "Uzak Masaustu Ozel IP Izinleri"
Cmd.exe netsh advfirewall firewall add rule name="Uzak Masaustu Ozel IP Izinleri" protocol=TCP dir=in action=allow localport=12345 remoteip="1.1.1.1,2.2.2.2,192.168.0.0/24" program="%SystemRoot%\system32\svchost.exe" |
Dikkat: Yukarıdaki komut kolay görüntülensin diye alt alta yazılmıştır. Komut isteminde tek satırda yazılmalıdır.
netsh komutu parametreleri konusunda incelenmesi gerekli linkler:http://ss64.com/nt/netsh.html
https://support.microsoft.com/en-us/kb/947709
2.2. İletişim Güvenliği:
İletişimin güvenliği için "Yerel Grup İlkesi Düzenleyicisi" üzerinden bazı ayarlamalar yapılmalıdır. Çalıştıra "gpedit.msc" yazarak yapılandırmamıza başlayalım ve aşağıdaki sıradan gerekli ayarlamaları yapalım:
Yerel Bilgisayar İlkesi > Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Uzak Masaüstü Hizmetleri > Uzak Masaüstü Oturumu > Güvenlik
Bu pencerede iki farklı ayar yapacağız.
2.2.1. "İstemci bağlantısı güvenlik düzeyini ayarla"
"İstemci bağlantısı güvenlik düzeyini ayarla" seçeneği yapılandırılmak için çift tıklanarak açılmalı ve "Etkin" kutucuğu seçilmelidir. İletişimin 128 bit şifreli olması için alt pencerede "Şifreleme Düzeyi" seçeneğinden"Yüksek Düzey" seçilmelidir.
2.2.2. "Uzaktan (RDP) bağlantılar için özel güvenlik katmanının kullanılmasını iste"
"Uzaktan (RDP) bağlantılar için özel güvenlik katmanının kullanılmasını iste" seçeneği yapılandırılmak için çift tıklanarak açılmalı ve "Etkin" kutucuğu seçilmelidir. Alt pencerede önce güvenlik katmanı olarak SSL (TLS 1.0) seçilmelidir.
DİKKAT: İlgili pc veya sunucunuzun kullandığı cihaz sertifikası geçerli bir kök sertifika makamı tarafından verilmemiş ise veya geçerliliği doğrulanamaz ise problem ile karşılaşmamanız için bağlantı esnasında "Uzak Masaüstü Bağlantısı" penceresinde gelişmiş sekmesinde "Sunucu kimlik doğrulaması başarısız olursa:" seçeneklerinden "Beni uyar" veya "Bağlan ve beni uyarma" birisi seçilmiş olması gerekmektedir. "Bağlanma" seçilir ise sertifika doğrulanamadığı durumlarda bağlantı iptal edilecektir.
"Beni uyar" seçilir ise cihaz sertifikanız doğrulanamaz ise sizi uyaracaktır. "Evet" butonuna tıklayarak bağlantınızı gerçekleştirebilirsiniz.
Uzak Masaüstü portuna yapılan saldırıları tespit etmek ve engellemek ister misiniz? Hazırladığımız Powershell betiği ile olay kayıtlarından (eventlog) faydalanılarak saldırı yapan IP adreslerini tespit edebilir ve otomatik olarak (Windows Güvenlik Duvarı ile) bu IP adresleri engelleyebilirsiniz.
hi,there is a simpler way, on the Local Resources tab of Remote Desktop Connection you can ,click on More btuton and you will see that you can share your drives, so when you connect to the remote server, you can go to my pc and your drives will appear as network drives.
YanıtlaSilhis comment is here male masturbator,horse dildo,realistic dildo,dog dildo,dog dildo,sex chair,dildos,realistic dildo,cheap sex toys visit site
YanıtlaSil