RDP ( Remote Desktop ), bir çok sistem yöneticisi için hayati bir araç olmakla birlikte bir çok kötücül brute-force atağa da maruz bırakır.
Aşağıda linkini vereceğim videoları izlediğinizde, Cain&Able kullanılarak yapılmış saldırı örneklerini göreceksiniz ve bu konuda neden çok fazla ehemmiyetle durmanız gerektiğini anlayacaksınız. Peki bu tür saldırılardan korunmanın yolları yok mu?
Tabii ki var, daha önce bu blogta da çeşitli yöntemler paylaşmış olmakla birlikte bu yazıda Sertifikalı RDP bağlantısının nasıl ayarlayanacağını göreceğiz.
Öncelikle RDP saldırılarının nasıl yapıldığına dair birkaç örnek video izlemekte fayda var.
Video için : Tıklayınız
Görüleceği üzere, RDP ciddi anlamda bir zaafiyet oluşturmaktadır.
Bu noktada, kullanma ihtiyacımız olduğu RDP bağlantılarını sertifika ile daha güvenli hale getirelim.
Not: ortamda Certificate Authority ( CA ) olduğunu varsayarak devam ediyorum. Siz sertifikayı 3. bir sertifika üreticisinden de alabilir, daha sonra bu makalede de anlatılacağı üzere GPO ile uygulayabilirsiniz.
Sertifika yöneticimizi açıp, Certificate Templates düğümüne sağ tıklayarak Manage seçeneğini seçiyoruz.
Daha sonra Computer şablonuna sağ tıklayarak “Duplicate Template” diyebilirsiniz. Zira yeni bir sertifika şablonu oluşturacağız ve bu şablonu kopyalayarak yeni şablonumuzu üretebiliriz.
Açılan yeni şablon özelliklerinde Compatability ( Gereksinimler ) kısmından minimum sistemsel gereksinimleri seçiyoruz. ( bu örnekte Windows Server 2008 r2 seçilmiştir )
General ( genel ) tabına geçerek sertifikamızı isimlendiriyoruz.
Aynı zamanda geçerlilik ve yenileme tarihlerini yukarıda gördüğümüz Validity Period ( geçerlilik süresi ) kısmından ayarlıyoruz.
Daha sonra Extensions ( Uzantılar ) tabına geçerek kural tanımlamalarını yapıyoruz.
Bu adımdan sonra Application Policies ( Uygulama Kuralları ) kısmında kurallarımızı belirtelim.
Öncelikle Client Authantication ( Kullanıcı Yetkilendirmesi ) kuralına tıklayarak Remove seçeneği ile bu kural şablonunu silelim.
Daha sonra Add ve New seçeneklerini kullanarak yeni bir kural şablonu tanımlayacağız.
Yeni uygulama şablonumuzun adını Remote Desktop ve Object Identifier kısmından da kimlik bilgisini 1.3.6.1.4.1.311.54.1.2 olarak tanımlıyoruz. Bu tanımlama bu sertifikanın RDP tarafından kullanılabilir olduğunu ifade edecek.
Bu ayarlardan sonra Sertifikamızın yine Properties penceresi açık iken Security tabına geçiyoruz.
Domain computers ve Domains controller için aşağıdaki güvenlik ayarlarını yapılandırıyoruz.
Eğer herhangi bir kullanıcı/bilgisayar sertifika ile kayıt olmamışsa bu logları event viewer ile takip edeceğiz.
Event 1064 id’leri inceleyebilirsiniz.
Evet sertifika kurallarımızı belirledik şimdi sertifikamızı aktif hale getirelim.
Certificate Authority konsolunda iken Certificate Template, ardından sağ tuş ile New ve Certificate Template to Issue diyerek oluşturduğumuz kural şablonunu seçiyoruz.
Hepsi şimdik bu kadar, bundan sonra bu sertifikayı GPO ile RDP kullanımında zorunlu hale getiriyoruz.
Not : Group Policy Management Editor olduğu varsayılmıştır.
GPO management editörü açılarak aşağıdaki düğüme gidiyoruz.
Ve Remote Desktop için sertifika kullanımını aktif hale getiriyoruz.
Server Authantication Certificate Template seçeneği ile ayarlamalarımızı ve sertifika seçimlerimizi yapıyoruz.
Ve zorunluluğu belirtiyoruz.
Bundan sonra yapılması gereken sertifikayı kullanıcılara import etmekten ibaret.
Bunu yapmak için,
başlat–çalıştır–mmc yazıp yönetim konsolonu açıyoruz,
add/remove snap-in diyerek sertifika konsolonu yüklüyoruz.
Sertifikalar açıldıktan sonra sağ tıklayıp yükle/ya da import diyerek istediğiniz sertifikayı güvenli yayıncılar düğümüne alabilirsiniz.
Remote Desktop bağlantılarınızı VPN ile ya da Sertifika ile yapmanızı önemle tavsiye ederim.
Umarım bu makale bu anlamda işinize yarayacaktır.
Kolaylıklar dilerim.
Elini emeğine sağlık. bilgini harikulade paylaşıyorsun. teşekkür ederim
İyi akşamlar ,
Emeğinize sağlık çok teşekkürler.Lakin son cümledeki olayı cahilliğimize verin anlayamadım.
“Bundan sonra yapılması gereken sertifikayı kullanıcılara import etmekten ibaret.” nasıl yapacağız?
Mehmet bey çok teşekkür ederiz.Lakin son cümledeki
“Bundan sonra yapılması gereken sertifikayı kullanıcılara import etmekten ibaret.”bu işlemi nasıl yapacağız.