Microsoft RDS Security Best Practices: Güvenli Uzak Masaüstü Hizmetleri Gerekli Politikalar İçindekiler 1. (giriş) 2. (rds-güvenlik-mimarisi)...
Remote Desktop Services (RDS), hibrit çalışma çağında kuruluşların bel kemiği haline geldi. Ancak, bu güçlü erişim imkanı aynı zamanda siber saldırganlar için de yüksek değerli bir hedef oluşturuyor. Zayıf yapılandırılmış bir RDS ortamı, veri ihlallerine, fidye yazılım saldırılarına ve sistem ele geçirmelere karşı açık bir kapı olabilir.
Bu kapsamlı rehberde, RDS ortamınızı günümüzün karmaşık tehdit ortamına karşı nasıl güçlendireceğinizi, Microsoft'un en iyi güvenlik uygulamalarını adım adım inceleyerek anlatacağız.
1. RDS Güvenlik Mimarisi: Sağlam Bir Temel Oluşturun
Güvenlik, doğru mimari ile başlar. Tüm bileşenleri bir araya yığmak yerine, güvenli ve katmanlı bir tasarım hedefleyin.
Önerilen Güvenli Mimari:
-
Ağ Segmentasyonu: RDS bileşenlerinizi mantıksal olarak ayırın.
-
DMZ: RD Gateway ve RD Web Access sunucularınızı buraya yerleştirin.
-
İç Ağ: RD Connection Broker, RD Session Host ve diğer kritik bileşenleri güvenli iç ağınızda tutun.
-
-
Yüksek Kullanılabilirlik (HA): Tek nokta arızasını önleyin. RD Connection Broker ve RD Gateway için yük dengeleme (Load Balancing) ve kümeleme (Clustering) kullanın.
-
Güvenlik Katmanları: İnternet'ten gelen trafik, iç ağdaki oturum sunucularınıza ulaşmadan önce en az iki güvenlik duvarı katmanından geçmelidir.
2. Ağ Katmanında Güvenlik: İlk Savunma Hattınız
RDS'inizi internete doğrudan maruz bırakmayın. Ağ seviyesindeki önlemler, saldırı yüzeyinizi büyük ölçüde azaltır.
A. Network Level Authentication (NLA) - Zorunlu Kılın!
NLA, bir RDP oturumu başlatılmadan önce kullanıcının kimliğini doğrular. Bu, hizmet reddi (DoS) saldırılarına karşı kritik bir korumadır.
PowerShell ile NLA'yı Etkinleştirme:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "UserAuthentication" -Value 1
B. Varsayılan RDP Portunu Değiştirin
Otomatik tarayıcıların hedefi olmamak için varsayılan 3389 TCP portunu değiştirin.
PowerShell ile RDP Portu Değiştirme:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value 9876 New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 9876 -Action Allow
C. IP Kısıtlamaları Getirin
RD Gateway üzerinden sadece belirli IP aralıklarının (örneğin, şirket VPN'iniz) bağlanmasına izin verin.
3. Kimlik Doğrulama ve Yetkilendirme: Kale Kapılarınızı Güçlendirin
Zayıf kimlik bilgileri, güvenliğin en büyük düşmanıdır. Burada katı olun.
A. Çok Faktörlü Kimlik Doğrulama (MFA) Şart!
MFA, RDS güvenliğinizde yapabileceğiniz en kritik iyileştirmelerden biridir. Azure AD MFA veya RD Gateway ile entegre olan üçüncü taraf çözümler (Duo Security gibi) kullanın.
B. Güçlü Parola Politikaları Uygulayın
-
Minimum 14 karakter.
-
Karmaşıklık gerektirin (Büyük/küçük harf, sayı, özel karakter).
-
Parola geçmişini hatırla (24) ve 90 günde bir değiştirme zorunluluğu getirin.
PowerShell ile Parola Politikası:
$domain = Get-ADDomain Set-ADDefaultDomainPasswordPolicy -Identity $domain.DNSRoot -ComplexityEnabled $true -MinPasswordLength 14 -PasswordHistoryCount 24 -MaxPasswordAge 90.00:00:00 -MinPasswordAge 1.00:00:00 -LockoutThreshold 5
C. Ayrıcalıklı Erişimi Yönetin (PAM)
Yönetici hesapları için "tam zamanında" (Just-In-Time) erişim prensibini uygulayın. Kullanıcıların sadece ihtiyaç duydukları anda ve sadece ihtiyaç duydukları süre boyunca yönetici ayrıcalıklarına sahip olmasını sağlayın.
4. Erişim Kontrolü: "En Az Ayrıcalık" İlkesini Benimseyin
Bir kullanıcı veya uygulama, sadece görevini yapmak için ihtiyaç duyduğu izinlere sahip olmalıdır.
A. Rol Tabanlı Erişim Kontrolü (RBAC)
"RDS Yöneticisi" gibi geniş roller atamak yerine, "Yardım Masası" (sadece oturumu sonlandırabilir) veya "Uygulama Yayıncısı" gibi özelleştirilmiş roller oluşturun.
B. Oturum Kısıtlamaları Koyun
-
Boşta kalma süresi: 30 dakika sonra oturumu sonlandırın.
-
Bağlantısı kesilmiş oturum süresi: 60 dakika sonra sonlandırın.
-
Eşzamanlı oturum sayısı: Kullanıcı başına maksimum oturum sayısını sınırlayın.
PowerShell ile Oturum Kısıtlamaları:
Set-RDSessionCollectionConfiguration -CollectionName "MyCollection" -IdleSessionLimitMin 30 -DisconnectedSessionLimitMin 60 -MaxSessionLimit 3
5. Şifreleme ve Veri Güvenliği: Verilerinizi Koruyun
Veriler hem yolda (ağ üzerinde) hem de yatarken (disk üzerinde) şifrelenmelidir.
A. TLS 1.2+ Kullanın
RDS bileşenleri arasındaki tüm iletişim, güvenli TLS 1.2 veya üzeri bir sürümle şifrelenmelidir. Eski ve güvensiz SSL/TLS sürümlerini (1.0, 1.1) devre dışı bırakın.
B. Güvenilir Sertifikalar Kullanın
RD Gateway, RD Web Access gibi bileşenler için otomatik olarak oluşturulan kendinden imzalı sertifikalar yerine, güvenilir bir Sertifika Otoritesi'nden (CA) alınmış sertifikalar kullanın.
C. Disk Şifrelemesi Uygulayın
Oturum sunucularınızın işletim sistemi disklerini BitLocker ile şifreleyin. Bu, fiziksel erişim veya disk hırsızlığı durumunda verilerinizi korur.
6. İzleme ve Denetim: Görünürlüğünüzü Artırın
Saldırıyı önleyemezseniz bile, onu hızlıca tespit edip müdahale edebilmelisiniz.
A. Kapsamlı Günlükleme (Logging) Yapın
Tüm RDS bileşenlerinde (Gateway, Session Host, Connection Broker) başarılı/başarısız oturum açma, oturum kapatma ve hesap kilitleme olaylarını kaydedin. Bu günlükleri merkezi bir SIEM sistemine (örneğin, Azure Sentinel, Splunk) yönlendirin.
PowerShell ile Gelişmiş Denetim:
auditpol.exe /set /subcategory:"Logon" /success:enable /failure:enable auditpol.exe /set /subcategory:"Logoff" /success:enable /failure:enable
B. Anormal Davranışları Tespit Edin
SIEM sisteminizde, aşağıdakileri tespit eden kurallar oluşturun:
-
Aynı kullanıcıdan farklı coğrafi konumlardan kısa süreli art arda bağlantılar.
-
Normal çalışma saatleri dışındaki yönetici erişimleri.
-
Çok sayıda başarısız oturum açma denemesi (Brute-Force saldırısı göstergesi).
7. İşletim Sistemi ve Uygulama Güvenliği: Platformu Sıkılaştırın
A. Güncel Yamaları Aksatmayın
Tüm RDS sunucularınız için acil bir yama yönetim politikası uygulayın. Kritik güvenlik güncellemelerini mümkün olan en kısa sürede (test sonrası) dağıtın.
B. Sıkılaştırma (Hardening) Yapın
CIS (Center for Internet Security) kılavuzlarını veya Microsoft Güvenlik Temelleri'ni temel alarak sunucularınızı yapılandırın. Gereksiz Windows servislerini ve özellikleri kapatın.
C. Uygulama Kontrolleri Uygulayın
AppLocker veya Windows Defender Application Control (WDAC) kullanarak, sadece onayladığınız uygulamaların RDS oturumlarında çalışmasına izin verin. Bu, zararlı yazılımların yürütülmesini engellemede çok etkilidir.
8. Kapsamlı RDS Güvenlik Kontrol Listesi
Aşağıdaki kontrol listesini, RDS güvenlik duruşunuzu değerlendirmek için kullanın.
| Seviye | Kontrol Noktası | Durum (✓/✗) |
|---|---|---|
| Temel | NLA (Network Level Authentication) Etkin | |
| Varsayılan RDP Portu (3389) Değiştirildi | ||
| Tüm Bileşenlerde TLS 1.2+ Zorunlu | ||
| Güçlü Parola Politikası Aktif | ||
| Otomatik Güncellemeler ve Yamalar Etkin | ||
| Orta | Çok Faktörlü Kimlik Doğrulama (MFA) Uygulandı | |
| RD Gateway ile Güvenli İnternet Erişimi Sağlandı | ||
| Ağ Segmentasyonu ve Güvenlik Duvarları Yapılandırıldı | ||
| AppLocker/WDAC ile Uygulama Kontrolü Sağlandı | ||
| Merkezi Günlük Toplama (SIEM) Aktif | ||
| Oturum Kısıtlamaları (Süre, Eşzamanlı Oturum) Tanımlandı | ||
| İleri | Ayrıcalıklı Erişim Yönetimi (PAM/JIT) Uygulanıyor | |
| SIEM ile Anormal Davranış Algılama Kuralları Çalışıyor | ||
| Düzenli Sızma Testleri ve Güvenlik Denetimleri Yapılıyor | ||
| Veri Kaybı Önleme (DLP) Çözümleri Entegre Edildi | ||
| Koşullu Erişim Politikaları ile Risk Bazlı Kimlik Doğrulama |
Microsoft RDS güvenliği, "bir kere yapılıp unutulacak" bir proje değil, sürekli bir süreçtir. Bu rehberde özetlenen katmanlı yaklaşımı benimseyerek, kurumsal uzak erişim altyapınızın güvenlik seviyesini önemli ölçüde artırabilir, kullanıcılarınıza hem üretken hem de güvenli bir çalışma ortamı sunabilirsiniz.
Unutmayın: Güvenlik, en zayıf halkanız kadar güçlüdür. Düzenli olarak kontrollerinizi gözden geçirin, güncel tehditlere karşı hazırlıklı olun ve güvenlik kültürünüzü sürekli geliştirin.
Not: Bu blog yazısı genel bilgi ve rehberlik amacıyla hazırlanmıştır. Tüm güvenlik ayarlarını uygulamadan önce bir test ortamında doğrulama yapmanız ve kuruluşunuza özgü gereksinimleri ve uyumluluk kurallarını göz önünde bulundurmanız önemle tavsiye edilir.
