Windows Remote Desktop Protocol (RDP) erişimini Cisco Duo Multi-Factor Authentication (MFA) ile nasıl güvenceye alacağınızı anlatacağım.
Gereksinimler
1. Windows Server (2012 R2 veya üzeri)
2. Cisco Duo hesabı
3. Yönetici hakları
4. RDP’nin etkin olduğu sunucu
5. Duo Authentication for Windows Logon lisansı
Kurulum Adımları
1. Duo Security Admin Paneli Hazırlığı
1. Duo Admin paneline giriş yapın (https://admin.duosecurity.com)
2. “Applications” sekmesine gidin
3. “Protect an Application” butonuna tıklayın
4. Uygulama listesinden “Microsoft RDP” seçin
5. Integration key, Secret key ve API hostname bilgilerini not alın
2. Duo Authentication for Windows Logon Kurulumu
ile MSI indirme (64-bit)
Invoke-WebRequest -Uri “https://dl.duosecurity.com/duo-win-login-latest.msi” -OutFile “duo-win-login.msi”
Kurulum
msiexec /i duo-win-login.msi
3. Yapılandırma Dosyası Oluşturma
C:\Program Files\Duo Security\login_duo.conf` dosyasını oluşturun:
conf
[duo]
; Duo Security API entegrasyon anahtarları
ikey=INTEGRATION_KEY_HERE
skey=SECRET_KEY_HERE
host=API_HOSTNAME_HERE
; RDP yapılandırma ayarları
failmode=secure
pushinfo=hostname,ip
autopush=yes
prompts=1
4. Group Policy Yapılandırması
1. Group Policy Editor’ü açın (gpedit.msc)
2. Aşağıdaki yolu takip edin:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
3. Interactive logon: Required credential provider politikasını bulun
4. Duo Security provider’ını seçin
5. Güvenlik Ayarları
5.1 RDP Güvenlik Politikaları
Network Level Authentication’ı etkinleştirme
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp’ -name “UserAuthentication” -Value 1
Şifreleme seviyesini yükseltme
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp’ -name “MinEncryptionLevel” -Value 3
5.2 Firewall Kuralları
RDP için gerekli portları açma
New-NetFirewallRule -DisplayName “RDP-Custom” -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow
6. Duo Yapılandırma Seçenekleri
6.1 Temel Yapılandırma
conf
[duo]
failmode=secure
pushinfo=hostname,ip
autopush=yes
prompts=1
groups=rdp-users,admins
6.2 Gelişmiş Yapılandırma
conf
[duo]
failmode=secure
pushinfo=hostname,ip,command
autopush=yes
prompts=1
groups=rdp-users,admins
accept_transitions=yes
http_proxy=http://proxy.example.com:8080
Kullanıcı Deneyimi
1. Kullanıcı RDP bağlantısı başlatır
2. Windows kimlik doğrulama ekranı görüntülenir
3. Kullanıcı Windows kimlik bilgilerini girer
4. Duo MFA sorgusu mobil cihaza gönderilir
5. Kullanıcı Duo Push bildirimi onaylar
6. RDP oturumu başlar
Güvenlik En İyi Uygulamaları
1.Güçlü Parola Politikaları
Minimum parola uzunluğunu ayarlama
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server’ -Name “MinPasswordLength” -Value 12
2. Oturum Zaman Aşımı
Boşta kalma süresini ayarlama (dakika)
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server’ -Name “MaxIdleTime” -Value 30
3. Başarısız Giriş Denemeleri
Hesap kilitleme eşiğini ayarlama
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server’ -Name “MaxFailedAttempts” -Value 5
Log ve İzleme
Log Yapılandırması
Windows Event Log’da Duo olaylarını izleme
New-EventLog -LogName “Duo” -Source “Duo Security”
Limit-EventLog -LogName “Duo” -RetentionDays 90
İzleme Parametreleri
1. Başarılı/başarısız kimlik doğrulamaları
2. MFA istekleri ve yanıtları
3. Yapılandırma değişiklikleri
4. Sistem hataları
Sorun Giderme
Yaygın Sorunlar ve Çözümleri
- Bağlantı Sorunları
- Bağlantı Sorunları
Duo servis durumunu kontrol etme
Get-Service DuoService
Servis günlüklerini kontrol etme
Get-EventLog -LogName “Duo” -Newest 50
2. Push Bildirimleri Gelmiyor
— Ağ bağlantısını kontrol edin
— Firewall kurallarını gözden geçirin
— Duo mobil uygulamasını güncelleyin
3.Yapılandırma Hataları
Yapılandırma dosyası izinlerini kontrol etme
Get-Acl “C:\Program Files\Duo Security\login_duo.conf”
Bakım ve Güncellemeler
Düzenli Bakım Görevleri
1.Güncellemeleri Kontrol Etme
Mevcut Duo versiyonunu kontrol etme
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like “*Duo*”}
2. Log Rotasyonu
Eski logları temizleme
Clear-EventLog -LogName “Duo” -After (Get-Date).AddDays(-90)
Yedekleme Prosedürleri
1. Yapılandırma dosyalarını yedekleme
2. Grup politikalarını dışa aktarma
3. Kullanıcı listelerini ve izinlerini yedekleme
Felaket Kurtarma
Acil Durum Prosedürleri
1. Yedek kimlik doğrulama yöntemlerini etkinleştirme
2. Sistemi güvenli modda başlatma
3. Yapılandırma yedeklerini geri yükleme
Ek Kaynaklar
– [Cisco Duo Dokümantasyonu](https://duo.com/docs)
– [Windows RDP Güvenlik Kılavuzu](https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-security-best-practices)
– [Group Policy Referansı](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/group-policy-reference)
