Remote Remote Desktop Security Policies yazımızda remote desktop yapılan domain controller sunucularının güvenliklerini sağlayacağız. Bu çalışma kapsamında bir çok policy uygulacağız ve her birinin ne işe yaradığını açıklayacağız. Remote Desktop ve WinRM tarafında yapılacaklar aşağıda listelenmiştir.
Remote Desktop Connection
İlk olarak Remote desktop yapacak olan kullanıcıların şifrelerinin kaydedilmesine izin vermemek olacak. Remote Desktop uygulamaları kullananan sistem adminleri şifrelerini uygulama üzerine kaydetmektedir. Otomatik olarak bağlantı sağlayabilmektedir. Tekrar tekrar şifre girmelerine gerek kalmamaktadır. Fakat güvenlik açısından tehlikeli bir durumdur. Bu sebepten özellikle domain controller ve sunuculara bağlantılarda şifrenin kaydedilmesine izin vermemek gerekmektedir.
Computer Configuration > Policies > Administrative Templates> Windows Components>Remote Desktop Service > Remote Desktop Connection Client "Do not allow passwords to be saved"
Gpo ayarını enable ediyoruz.
Remote Desktop Session Host Security
Bu kısımda üç tane policy güvenlik anlamında bizlere çok şey katmaktadır. Bu policyler remote desktop yapılacak makine arasında güvenli kanallar açmaktadır. Bu sebepten bunlar da önemlidir.
Always prompt for upon connection
İlk olarak bilgisayarında remote programlarına şifre kaydeden sistem adminleri için her zaman şifre sor policy ayarıdır. Bu policy sayesinde her bağlantıda şifre sormaktadır.
Computer Configuration > Policies > Administrative Templates> Windows Components>Remote Desktop Service > Remote Desktop Session Host > Security "Always prompt for password upon connection"
Gpo ayarını enable ediyoruz.
Secure RPC Communication
RPC communication öncellikle açıklamak gerekmektedir. RPC aslında sunucu ile istemci arasındaki iletişim için kullanılmaktadır. Herhangi bir program sunucu ile iletişime ihtiyaç duyuyorsa RPC devreye girmektedir. Domain controller veya sunucularınızla iletişime geçen programların güvenli kanaldan iletişim sağlaması gerekmektedir. Çünkü programlar ile sunucu arasına girebilecek siber saldırganlar sistemlerinize ciddi zararlar verebilmektedir. Bunun için Require Secure RPC communication gpo ayarını kullanmaktayız.
Computer Configuration > Policies > Administrative Templates> Windows Components>Remote Desktop Service > Remote Desktop Session Host > Security "Require Secure RPC Communication"
Gpo ayarını enable ediyoruz.
Encryption Level
Client ile sunucu arasında RDP iletişimlerinde encryption seviyelerini üst seviyelerine çıkartabilmekteyiz. Bunun için daha önceki yazılarımızda da paylaştığımız set client connection encryption level seviyesini client ların şifreleme desteklerine göre ayarlıyoruz. Burada high level ile 128 bit şifrelenmiş bir trafik seçmek trafik güvenliği açısından önemlidir.
Computer Configuration > Policies > Administrative Templates> Windows Components>Remote Desktop Service > Remote Desktop Session Host > Security "Set Client Connection Encryption Level"
GPO ayarını enable ederek , High Level olarak ayarlıyoruz.
Sonuç olarak yukarıda bahsedilen policyler yardımıyla Remote Remote Desktop Security Policies konusunda güvenlik sıkılaştırması yapılabilmektedir. Bu sıkılaştırmalar sistem güvenliği için önemli bir konudur .Diğer yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz.