Terminal Server (Uzak Masaüstü Sunucusu) Kullanıcı Politikaları

Remote Desktop Services (RDS), hibrit çalışma çağında kuruluşların bel kemiği haline geldi. Ancak, bu güçlü erişim imkanı aynı zamanda siber saldırganlar için de yüksek değerli bir hedef oluşturuyor. Zayıf yapılandırılmış bir RDS ortamı, veri ihlallerine, fidye yazılım saldırılarına ve sistem ele geçirmelere karşı açık bir kapı olabilir.

Bu kapsamlı rehberde, RDS ortamınızı günümüzün karmaşık tehdit ortamına karşı nasıl güçlendireceğinizi, Microsoft'un en iyi güvenlik uygulamalarını adım adım inceleyerek anlatacağız.

1. RDS Güvenlik Mimarisi: Sağlam Bir Temel Oluşturun

Güvenlik, doğru mimari ile başlar. Tüm bileşenleri bir araya yığmak yerine, güvenli ve katmanlı bir tasarım hedefleyin.

Önerilen Güvenli Mimari:

• Ağ Segmentasyonu: RDS bileşenlerinizi mantıksal olarak ayırın.

  • DMZ: RD Gateway ve RD Web Access sunucularınızı buraya yerleştirin.

  • İç Ağ: RD Connection Broker, RD Session Host ve diğer kritik bileşenleri güvenli iç ağınızda tutun.

• Yüksek Kullanılabilirlik (HA): Tek nokta arızasını önleyin. RD Connection Broker ve RD Gateway için yük dengeleme (Load Balancing) ve kümeleme (Clustering) kullanın.

• Güvenlik Katmanları: İnternet'ten gelen trafik, iç ağdaki oturum sunucularınıza ulaşmadan önce en az iki güvenlik duvarı katmanından geçmelidir.

2. Ağ Katmanında Güvenlik: İlk Savunma Hattınız

RDS'inizi internete doğrudan maruz bırakmayın. Ağ seviyesindeki önlemler, saldırı yüzeyinizi büyük ölçüde azaltır.

A. Network Level Authentication (NLA) - Zorunlu Kılın!
NLA, bir RDP oturumu başlatılmadan önce kullanıcının kimliğini doğrular. Bu, hizmet reddi (DoS) saldırılarına karşı kritik bir korumadır.

PowerShell ile NLA'yı Etkinleştirme:

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "UserAuthentication" -Value 1

B. Varsayılan RDP Portunu Değiştirin
Otomatik tarayıcıların hedefi olmamak için varsayılan 3389 TCP portunu değiştirin.

PowerShell ile RDP Portu Değiştirme:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value 9876
New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 9876 -Action Allow

C. IP Kısıtlamaları Getirin
RD Gateway üzerinden sadece belirli IP aralıklarının (örneğin, şirket VPN'iniz) bağlanmasına izin verin.

3. Kimlik Doğrulama ve Yetkilendirme: Kale Kapılarınızı Güçlendirin

Zayıf kimlik bilgileri, güvenliğin en büyük düşmanıdır. Burada katı olun.

A. Çok Faktörlü Kimlik Doğrulama (MFA) Şart!
MFA, RDS güvenliğinizde yapabileceğiniz en kritik iyileştirmelerden biridir. Azure AD MFA veya RD Gateway ile entegre olan üçüncü taraf çözümler (Duo Security gibi) kullanın.

B. Güçlü Parola Politikaları Uygulayın

• Minimum 14 karakter.

• Karmaşıklık gerektirin (Büyük/küçük harf, sayı, özel karakter).

• Parola geçmişini hatırla (24) ve 90 günde bir değiştirme zorunluluğu getirin.

PowerShell ile Parola Politikası:

$domain = Get-ADDomain
Set-ADDefaultDomainPasswordPolicy -Identity $domain.DNSRoot -ComplexityEnabled $true -MinPasswordLength 14 -PasswordHistoryCount 24 -MaxPasswordAge 90.00:00:00 -MinPasswordAge 1.00:00:00 -LockoutThreshold 5

C. Ayrıcalıklı Erişimi Yönetin (PAM)
Yönetici hesapları için "tam zamanında" (Just-In-Time) erişim prensibini uygulayın. Kullanıcıların sadece ihtiyaç duydukları anda ve sadece ihtiyaç duydukları süre boyunca yönetici ayrıcalıklarına sahip olmasını sağlayın.

4. Erişim Kontrolü: "En Az Ayrıcalık" İlkesini Benimseyin

Bir kullanıcı veya uygulama, sadece görevini yapmak için ihtiyaç duyduğu izinlere sahip olmalıdır.

A. Rol Tabanlı Erişim Kontrolü (RBAC)
"RDS Yöneticisi" gibi geniş roller atamak yerine, "Yardım Masası" (sadece oturumu sonlandırabilir) veya "Uygulama Yayıncısı" gibi özelleştirilmiş roller oluşturun.

B. Oturum Kısıtlamaları Koyun

• Boşta kalma süresi: 30 dakika sonra oturumu sonlandırın.

• Bağlantısı kesilmiş oturum süresi: 60 dakika sonra sonlandırın.

• Eşzamanlı oturum sayısı: Kullanıcı başına maksimum oturum sayısını sınırlayın.

PowerShell ile Oturum Kısıtlamaları:

Set-RDSessionCollectionConfiguration -CollectionName "MyCollection" -IdleSessionLimitMin 30 -DisconnectedSessionLimitMin 60 -MaxSessionLimit 3

5. Şifreleme ve Veri Güvenliği: Verilerinizi Koruyun

Veriler hem yolda (ağ üzerinde) hem de yatarken (disk üzerinde) şifrelenmelidir.

A. TLS 1.2+ Kullanın
RDS bileşenleri arasındaki tüm iletişim, güvenli TLS 1.2 veya üzeri bir sürümle şifrelenmelidir. Eski ve güvensiz SSL/TLS sürümlerini (1.0, 1.1) devre dışı bırakın.

B. Güvenilir Sertifikalar Kullanın
RD Gateway, RD Web Access gibi bileşenler için otomatik olarak oluşturulan kendinden imzalı sertifikalar yerine, güvenilir bir Sertifika Otoritesi'nden (CA) alınmış sertifikalar kullanın.

C. Disk Şifrelemesi Uygulayın
Oturum sunucularınızın işletim sistemi disklerini BitLocker ile şifreleyin. Bu, fiziksel erişim veya disk hırsızlığı durumunda verilerinizi korur.

6. İzleme ve Denetim: Görünürlüğünüzü Artırın

Saldırıyı önleyemezseniz bile, onu hızlıca tespit edip müdahale edebilmelisiniz.

A. Kapsamlı Günlükleme (Logging) Yapın
Tüm RDS bileşenlerinde (Gateway, Session Host, Connection Broker) başarılı/başarısız oturum açma, oturum kapatma ve hesap kilitleme olaylarını kaydedin. Bu günlükleri merkezi bir SIEM sistemine (örneğin, Azure Sentinel, Splunk) yönlendirin.

PowerShell ile Gelişmiş Denetim:

auditpol.exe /set /subcategory:"Logon" /success:enable /failure:enable
auditpol.exe /set /subcategory:"Logoff" /success:enable /failure:enable

B. Anormal Davranışları Tespit Edin
SIEM sisteminizde, aşağıdakileri tespit eden kurallar oluşturun:

• Aynı kullanıcıdan farklı coğrafi konumlardan kısa süreli art arda bağlantılar.

• Normal çalışma saatleri dışındaki yönetici erişimleri.

• Çok sayıda başarısız oturum açma denemesi (Brute-Force saldırısı göstergesi).

7. İşletim Sistemi ve Uygulama Güvenliği: Platformu Sıkılaştırın

A. Güncel Yamaları Aksatmayın
Tüm RDS sunucularınız için acil bir yama yönetim politikası uygulayın. Kritik güvenlik güncellemelerini mümkün olan en kısa sürede (test sonrası) dağıtın.

B. Sıkılaştırma (Hardening) Yapın
CIS (Center for Internet Security) kılavuzlarını veya Microsoft Güvenlik Temelleri'ni temel alarak sunucularınızı yapılandırın. Gereksiz Windows servislerini ve özellikleri kapatın.

C. Uygulama Kontrolleri Uygulayın
AppLocker veya Windows Defender Application Control (WDAC) kullanarak, sadece onayladığınız uygulamaların RDS oturumlarında çalışmasına izin verin. Bu, zararlı yazılımların yürütülmesini engellemede çok etkilidir.

8. Kapsamlı RDS Güvenlik Kontrol Listesi

Aşağıdaki kontrol listesini, RDS güvenlik duruşunuzu değerlendirmek için kullanın.

Microsoft RDS güvenliği, "bir kere yapılıp unutulacak" bir proje değil, sürekli bir süreçtir. Bu rehberde özetlenen katmanlı yaklaşımı benimseyerek, kurumsal uzak erişim altyapınızın güvenlik seviyesini önemli ölçüde artırabilir, kullanıcılarınıza hem üretken hem de güvenli bir çalışma ortamı sunabilirsiniz.

Unutmayın: Güvenlik, en zayıf halkanız kadar güçlüdür. Düzenli olarak kontrollerinizi gözden geçirin, güncel tehditlere karşı hazırlıklı olun ve güvenlik kültürünüzü sürekli geliştirin.

Not: Bu blog yazısı genel bilgi ve rehberlik amacıyla hazırlanmıştır. Tüm güvenlik ayarlarını uygulamadan önce bir test ortamında doğrulama yapmanız ve kuruluşunuza özgü gereksinimleri ve uyumluluk kurallarını göz önünde bulundurmanız önemle tavsiye edilir.