İçindekiler
RDP brute force protection: how to block attacks and keep remote access working

Bir RDP brute-force saldırısının pratikte nasıl göründüğü

Genellikle fark edersiniz RDP brute force aynı şekilde: internete açık bir Windows sunucusuna karşı tekrarlanan başarısız oturum açma girişimleri, genellikle hesap kilitlenmeleri, gürültülü Güvenlik günlükleri ve bağlanamayan endişeli kullanıcılarla takip edilir. Bu saldırıların birçoğu insan anlamında "hedeflenmiş" değildir. İnternete açık RDP sürekli taranmakta ve otomatik araçlar, zayıf bir kimlik bilgisi bulana veya kesinti yaratana kadar kullanıcı adları ve şifreleri denemeye devam edecektir.

MITRE ATT&CK'te bu, şuna karşılık gelir Teknik T1110 (Brute Force) şifre tahmin etme ve şifre püskürtme gibi ilgili kalıpları içerir. Pratik operasyon terimleriyle, RDP brute force saldırıları, birçok şifreyi veya birçok hesabı ifşa edilmiş bir RDP hizmetine karşı denemeye çalışan (genellikle otomatik) tekrarlanan uzaktan oturum açma girişimleridir; bu, kimlik bilgileri bulunana veya hesaplar kesintiye uğrayana kadar devam eder.

Tipik semptomlar şunlardır:

  • Windows Güvenlik günlüklerinde ani bir başarısız oturum açma artışı
  • Yaygın hesap adlarına (Yönetici, admin, test, hizmet tarzı adlar) karşı birçok deneme
  • Birçok dış IP adresinden gelen, bazen sık sık dönen hatalar
  • Kullanıcıların hesap kilitlenmeleri veya yavaş oturum açma performansı hakkında şikayetleri
  • Patlamalar sırasında daha yüksek CPU veya kimlik doğrulama yükü (LSASS ve RDP ile ilgili hizmetler etkilenebilir)

Gördüğünüz şeyi adlandırmak yardımcı olur. "Brute force" genellikle bir hesaba karşı birçok şifre anlamına gelir. "Password spraying" ise kilitlenme eşiklerinden kaçınmak için birçok hesaba karşı birkaç yaygın şifre anlamına gelir. "Credential stuffing" ise başka yerlerden çalınan kullanıcı adı ve şifre çiftlerini test etmek anlamına gelir. Üçü de tekrarlanan uzaktan oturum açma hatası olarak görünür ve aynı ilk yanıtı hak eder: maruziyeti azaltmak ve denemeleri yavaşlatmak.

Hızlı teşhis: RDP brute force olduğunu doğrulayın (ve yanlış yapılandırma olmadığını)

Politikaları değiştirmeden ve meşru kullanıcıları kilitleme riski almadan önce, neyin başarısız olduğunu, nereden kaynaklandığını ve hangi hacimde olduğunu doğrulayın. Microsoft'un brute-force saldırısı altındaki Azure VM'leri için kendi sorun giderme kılavuzu Azure dışında bile aynı başlangıç noktasını kullanır: başarısız oturum açma işlemlerinin yüksek hacimlerini arayın ve bunları dış kaynak IP'leri ile ilişkilendirin.

  • Windows Güvenlik günlüklerini, kullanıcıların sorun bildirdiği süre zarfında başarısız oturum açma girişimlerinin patlaması için kontrol edin. Olay Kimliği 4625, gözden geçirilmesi gereken yaygın bir göstergedir.
  • Desenleri arayın: tekrarlanan hesap adları, birçok farklı hesap veya aynı kaynak IP'nin birden fazla kullanıcıya erişimi.
  • Başarılı oturum açmalarla başarısız oturum açmaları hemen ardından ilişkilendirin. Başarılı oturum açmalar genellikle denetim politikanıza bağlı olarak Olay Kimliği 4624 olarak kaydedilir.
  • Maruz kalmayı onaylayın: TCP 3389 (veya özel RDP portunuz) bir güvenlik duvarı kuralı, NAT, port yönlendirme veya bulut güvenlik grubu aracılığıyla internetten erişilebilir mi?
  • Gerçek bir kaynaktan (bir RDS geçidi, bir VPN konsantratörü, bir uzaktan yönetim aracı veya bir iç tarayıcı) kaydedilmiş yanlış bir şifre nedeniyle tekrar eden hatalar olarak görünen "yanlış alarmlar" görmediğinizi doğrulayın.

Eğer kısa süreler içinde birçok dış IP adresinden büyük bir hacimde 4625 Olay Kimliği görüyorsanız, muhtemelen tek bir kullanıcının yanlış şifre girmesinden ziyade aktif tahmin veya yayılma ile karşı karşıyasınız.

15 ila 30 dakika içinde kanamayı durdurun (etkili önleme eylemleri)

Kaba kuvvet trafiği aktif olduğunda, öncelik kontrolü geri kazanmaktır ve güvenli bir yönetici yolu sağlamaktır. RDP kaba kuvvet riskini azaltmanın en hızlı yolu, RDP'yi doğrudan internete açmayı durdurmak ve gelen erişimi bilinen güvenilir IP adresleri kümesine veya güvenli bir erişim yoluna (geçit, VPN veya bastion) sınırlamaktır. Microsoft Learn'ın Azure olayları için rehberi bu aynı kapsama yaklaşımını güçlendirir: önce gelen erişimi kısıtlayın, ardından erişim yolunu iyileştirin.

  1. Değişiklik yapmadan önce güvenli bir geri dönüş yolu oluşturun. Eğer zaten dışarıda kaldıysanız, güvenlik duvarı değişikliklerinden sonra ana bilgisayarı yönetebilmeniz için dış erişiminizi (hipervizör konsolu, iLO/iDRAC, bulut seri konsolu, bastion veya VPN) kullanın.
  2. RDP'nin doğrudan internet maruziyetini kaldırın. Halka açık port yönlendirmesini devre dışı bırakın veya RDP'nin "herhangi bir kaynağa" açık olmaması için gelen kuralları sıkılaştırın. Hemen kaldıramıyorsanız, gelen erişimi kısa bir beyaz listeyle (ofis IP'leriniz, yönetim ağınız, MSP sabit çıkış IP'leriniz) kısıtlayın.
  3. Azure veya benzeri bulutlarda, çevreyi hemen sıkılaştırın. Gelen kuralı NSG'nizde veya eşdeğerinde kısıtlayın. Seçeneğiniz varsa, maruz kalma pencerelerini azaltmak için Azure Bastion, VPN Gateway veya zamanında erişim kavramları gibi Microsoft onaylı desenlere geçin.
  4. Onayla Ağ Düzeyi Kimlik Doğrulama (NLA) etkinleştirildi. NLA, tam bir uzaktan masaüstü oturumu kurulmadan önce kimlik doğrulaması zorunlu kılar, bu da bazı ön kimlik doğrulama risklerine maruziyeti azaltır ve tahmin sırasında gereksiz kaynak kullanımını azaltır.
  5. RDP üzerinden kimlerin oturum açabileceğini gözden geçirin. Yerel Yöneticilerin ve Uzak Masaüstü Kullanıcılarının üyeliğini doğrulayın ve etkileşimli uzaktan oturum açma gereksinimi olmayan geniş grupları kaldırın.
  6. Ayrıcalıklı hesapları hemen koruyun. Eğer bir şifrenin zayıf veya sızdırılmış olabileceğinden şüpheleniyorsanız, ayrıcalıklı hesaplar için kimlik bilgilerini kontrollü bir şekilde değiştirin ve beklenmedik yeni yerel yöneticiler veya yeni etkinleştirilen hesaplar olup olmadığını kontrol edin.
  7. Gerçek kullanıcılar için erişimi stabilize edin. Kullanıcılar kilitleniyorsa, çözüm genellikle maruziyetin azaltılması ve daha iyi kısıtlama sağlanmasıdır, güvenliğin düşürülmesi değil. Daha geniş bir kesintiye neden olabilecek kilitlenme değişikliklerini aceleyle yapmaktan kaçının.

Trafiği kontrol altına aldıktan sonra, uzun vadeli değişiklikleri güvenle yapabilirsiniz. Kontrolü yeniden kazandıktan sonra araç destekli bir yaklaşım istiyorsanız, TSplus Gelişmiş Güvenlik Windows sunucularında brute-force engelleme ve erişim kısıtlamalarını işletmeye almanıza yardımcı olabilir, ancak sınırlama hala maruziyeti azaltmakla başlar.

Saldırı yüzeyini azaltın: brute-force riskini azaltan erişim mimarileri

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

Tekrar eden RDP saldırılarından sadece bir ders alırsanız, bu olsun: mimari ayarlamaları geçer. Oturum sunucularının önünde kontrol edilen bir giriş noktası koymak, saldırganların ulaşabileceği şeyleri ve sizin uygulayabileceğiniz şeyleri değiştirir. Microsoft'un Güvenlik Blogu uzaktan masaüstü benimseme için rehberlik doğrudan maruziyeti azaltmaya vurgu yapar, ve Microsoft Learn belgeleri RD Gateway TLS ile uygun sertifika yapılandırması üzerinden güvenli erişim sağlama yöntemi olarak.

RDP brute-force denemelerini azaltmanın en güvenilir yolu, doğrudan RDP maruziyetinden kaçınmak ve bunun yerine kontrol edilen bir giriş noktası aracılığıyla erişim talep etmektir. RD Gateway VPN veya bir kalesi, ideal olarak güçlü kimlik doğrulama ile.

Erişim deseni Maruz kalma ve kaba kuvvet riski Operasyonel karmaşıklık Uygun olduğunda Notlar
İnternetten Doğrudan RDP En yüksek risk ve en yüksek gürültü. Sürekli tarama ve tahmin. Kurulumu düşük, savunması yüksek. Sadece sıkı kısıtlamalarla kısa süreli acil erişim için. Portu değiştirmek, fırsatçı taramayı azaltabilir, ancak bu tek başına güçlü bir koruma sağlamaz.
Doğrudan RDP ile IP beyaz listeleme Eğer izin listesi küçük ve sabitse daha düşük maruz kalma. Orta. İzin listelerinin korunmasını ve seyahat/İSS değişikliklerinin yönetilmesini gerektirir. Sabit ofis IP'leri veya sabit MSP çıkışları olan küçük yönetim ekipleri. Güçlü kimlik doğrulama kontrolleri ve izleme ile eşleştirildiğinde en iyi şekilde çalışır.
RDS/RDP önünde RD Gateway Oturum ana bilgisayarlarının ve tünellerin doğrudan maruziyetini TLS üzerinden azaltır. Orta ile yüksek. Sertifikalar, kullanılabilirlik ve politika tasarımı önemlidir. RDS desenlerini zaten kullanan Windows merkezli ortamlar. Microsoft Learn'in RDS planlama kılavuzu, geçit gereksinimlerini kapsar. Microsoft lisanslaması sizin sorumluluğunuzdadır ve Microsoft veya nitelikli bir lisanslama ortağı ile doğrulanmalıdır.
uzaktan erişim için VPN RDP'yi doğru yapıldığında kamuya açık maruz kalmaktan kaldırır. Orta. İstemci dağıtımı, yönlendirme ve MFA entegrasyonu değişiklik gösterir. Daha geniş ağ erişimine ihtiyaç duyan yöneticiler ve personel, sadece bir uygulama değil. VPN kullanıcılarını ihtiyaç duyduklarıyla sınırlayın, ardından RDP'yi ağ içinde güvenli tutun.
Bastion veya atlama ana bilgisayarı Güçlü maruziyet azaltma. RDP yalnızca bastion bağlamından erişilebilir. Orta. Kalesinin kendisi üzerinde güçlü bir kontrol gerektirir. Bulut tabanlı sunucular, düzenlenmiş ortamlar ve yalnızca yönetici erişimi. Genellikle platforma bağlı olarak zamanında erişim pencereleri ve koşullu kontrollerle iyi bir şekilde eşleşir.
Uygulamaları/masaüstlerini bir web portalı (HTTPS) aracılığıyla yayınlayın Ham RDP'yi kamuya açık bir şekilde sergileme ihtiyacını azaltabilir veya ortadan kaldırabilir, tasarıma bağlı olarak. Düşük ile orta. Kullanıcıların ihtiyaç duyduğu şeyleri sunmaya odaklanır, tam ağ erişimine değil. Küçük ve orta ölçekli işletmelerin kullanıcılara ve ortaklara bir dizi Windows uygulaması veya uzaktan masaüstü sunması. Eğer amacınız kullanıcıların Windows uygulamalarına erişimini sağlamaksa ve ham RDP'yi internete açık bırakmak istemiyorsanız, TSplus Remote Access, güvenli bir web portalı aracılığıyla uygulama ve masaüstü yayıncılığı için değerlendirmeye değer.

Eğer bazı RDP erişimlerini açık tutmanız gerekiyorsa, bunu genel bir uzaktan çalışma giriş noktası değil, korumalı bir yönetici arayüzü olarak değerlendirin. Eğer ilerliyorsanız güvenli bir web portalı aracılığıyla uygulama ve masaüstü yayıncılığı Hızlı başlangıç kılavuzu size başlamanızda yardımcı olabilir. Çoğu kullanıcı hiç TCP 3389'a bağlanmadığında güvenlik duruşunuz önemli ölçüde iyileşir.

RDP için gerçek kullanıcıları kilitlemeden kimlik doğrulamasını güçlendirin

İyi bir brute-force direnci, saldırganları yavaşlatmak ile meşru erişimi güvenilir kılmak arasında bir dengedir. Etkili brute-force direnci, NLA ve güçlü kimlik bilgilerini, tekrar eden hataları yavaşlatan ve saldırganların hizmet reddi tetiklemesini önlemek için ayarlanmış bir hız sınırlama veya kilitleme politikası ile birleştirir. NIST SP 800-63B hız sınırlaması ve tekrarlanan başarısız kimlik doğrulama girişimlerini bir temel kontrol olarak ele alır, çünkü bu hızlı tahmin etme olasılığını azaltır.

NLA ve hesap hijyeni ile başlayın

NLA, oturum tamamen kurulmadan önce kimlik doğrulaması gerektirdiği için RDP için bir temel oluşturur. Kendi başına şifre püskürtmesini durdurmaz, ancak kimlik doğrulaması yapılmamış oturumların daha ileriye gitmesine izin vermeye kıyasla maruziyeti ve israf edilen kaynakları azaltır.

Sonra brute force'un beslendiği kimlik temellerine değinin: gereksiz yönetici haklarını kaldırın, en az ayrıcalığı zorunlu kılın ve eski hesapları temizleyin. Belirgin veya paylaşılan yerel yönetici hesaplarınız varsa, bunları döndürün, oturum açabilecekleri yerleri kısıtlayın ve etkileşimli oturum açmasına ihtiyaç duymayan hesapları yeniden adlandırmayı veya devre dışı bırakmayı düşünün. Uzaktan Masaüstü Kullanıcılarını ve yerel Yöneticileri sıkı tutun, özellikle hassas verileri barındıran sunucularda.

Kilitleme ve kısıtlama: ayarlamanın önemi

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

Windows Hesap Kilitleme Politikası ayarları genellikle brute-force başarısını azaltmak için kullanılır, ve Microsoft Learn, anahtar terimleri belgeler. kilitlenme eşiği, kilitlenme süresi ve sıfırlama sayacı. Ticaret dengesi kullanılabilirliktir. Saldırganlar, eğer eşiğiniz çok düşükse ve maruziyetiniz genişse, gerçek kullanıcılar (veya yardım masanız ve yöneticileriniz) için kilitlenmeleri kasıtlı olarak tetikleyebilir.

Bu kilitlenme ve kısıtlama ayarlarını yaparken bu karar faktörlerini kullanın:

  • Hizmet ne kadar maruz kalmış durumda? Eğer RDP tüm internetten erişilebilir durumdaysa, kilitlenmelerin silah olarak kullanılma olasılığı daha yüksektir. Öncelikle maruziyeti azaltın, ardından kilitlemeyi ayarlayın.
  • Kullanıcılar nasıl kimlik doğrulaması yapar? Bir geçit, VPN veya kalesi, oturum ana bilgisayarında agresif kilitleme ihtiyacını azaltabilir çünkü daha az bilinmeyen kaynak ona ulaşabilir.
  • Bir kilitlenmenin maliyeti ne kadardır? Eğer kilitlenme, bir üretim destek ekibi için bir kesintiye dönüşüyorsa, sıkı hesap kilitlenmeleri yerine oran sınırlaması ve IP tabanlı yasaklamaları tercih edebilirsiniz.
  • Paylaşılan hesaplar nasıl davranır? Paylaşılan kimlik bilgileri kilitlenmelerin etkisini artırır. Mümkünse paylaşılan hesapları ortadan kaldırın.

Özel durum: yerel Yönetici ile yerleşik

Birçok ortamda hala sunucularda ve iş istasyonlarında yerleşik bir yerel Yönetici hesabı bulunmaktadır ve bu hesabın kilitlenme davranışı sıkça kafa karışıklığına neden olmuştur. Microsoft Destek KB5020282 yerel yöneticiler için hesap kilitleme ile ilgili bağlam sağlar, kilitlemenin yapılandırma ve sürüme bağlı olarak RDP gibi ağ oturum açmalarına nasıl uygulanabileceğini içerir. Yerleşik Yöneticinin normal bir kullanıcı hesabıyla aynı şekilde davranacağını varsaymayın ve kilitleme davranışına birincil kontrol olarak güvenmeden önce kontrollü bir şekilde test edin.

Pratik bir sertleştirme katmanı isteyen ekipler için, TSplus Advanced Security, ana bilgisayar düzeyinde tekrarlanan yetkisiz girişimlerin durdurulması için tasarlanmış brute-force korumasını içerir. Bu, güçlü Windows kimlik doğrulama politikalarını ve dikkatli kilitleme ayarlarını tamamlamalı, değiştirmemelidir.

Ağ kontrolü, yardımcı olan (ve insanların abarttığı)

Ağ kontrolleri genellikle yapabileceğiniz en hızlı iyileştirmelerdir, ancak farklı gerçek dünya değeri vardır. Microsoft'un RDP brute-force sorunları için (Azure senaryoları dahil) rehberi, estetik değişiklikler yerine gelen bağlantıyı kısıtlamayı sürekli olarak önceliklendirir.

Yüksek değer: IP beyaz listeleme. RDP'yi bilinen adreslerle (ofis çıkış IP'leri, VPN aralıkları, bastion alt ağları, MSP sabit IP'leri) sınırlayabilirseniz, çoğu brute-force trafiğini hemen kaldırırsınız. Bu, izleme işleminizi daha anlamlı hale getirir çünkü kalan hatalar daha küçük bir kaynak setinden gelir.

Dikkatli kullanıldığında faydalı: coğrafi ve itibara dayalı kontroller. Coğrafi engelleme ve IP itibarı gürültüyü azaltabilir, ancak seyahat eden, dolaşım ağlarından bağlanan veya CGNAT üzerinden gelen meşru kullanıcıları da engelleyebilir. Saldırganlar ayrıca VPN'ler ve proxy'ler kullanabilir, bu nedenle coğrafi kontrolleri bir risk azaltıcı olarak değerlendirin, garanti olarak değil.

Aşırı tahmin: RDP portunu değiştirme. IP beyaz listeleme, RDP brute-force maruziyetini anlamlı bir şekilde azaltırken, RDP portunu değiştirmek esasen fırsatçı taramayı azaltır ve birincil koruma olarak güvenilmemelidir. Bir port değişikliği, bir olay sırasında zaman kazandırabilir, ancak portu keşfedebilen kararlı bir aktörden gelen şifre püskürtme sorununu çözmez.

Takımların karmaşık kural setlerini manuel olarak sürdürmekten daha basit bir uygulama istedikleri ortamlarda, TSplus Advanced Security eklenir. coğrafi koruma ve IP tabanlı kontroller sunucular arasında tutarlı bir şekilde uygulanabilir.

İzleme ve tespit: neyi kaydetmeli, neye uyarı vermeli ve neyi araştırmalıyız

Kaba kuvvet, geriye dönük bakıldığında bariz görünen ve geç fark edildiğinde pahalı olan sorunlardan biridir. İzlemenin amacı, her başarısız oturum açmayı sonsuza dek saymak değildir. Amaç, anormal kalıpları erken tespit etmek ve bu girişimlerin başarılı bir oturum açmaya dönüşüp dönüşmediğini araştırmaktır.

Başarısız oturum açmalardaki anormal artışları izleyin (genellikle Olay Kimliği 4625) ve şifre püskürtme veya tekrar eden hatalardan sonra başarılı bir takip oturumu açmayı gösteren kalıplar hakkında uyarı verin. Microsoft'un brute-force sorun giderme kılavuzu aynı nesneyi (4625) vurgular çünkü yöneticilerin erişimi yeniden kazanmaya çalışırken ve kapsamı anlamaya çalışırken pratik bir başlangıç noktasıdır.

Günlük operasyonlar için üç araştırma sorusuna odaklanın:

Trafik dış mı yoksa iç mi? Dış IP'lerin bir kamu arayüzüne ulaşması, maruz kalma sorunlarına işaret eder. Dahili IP'ler, tehlikeye atılmış bir uç nokta veya yanlış yapılandırılmış bir hizmet hesabını gösterebilir.

Bir hesap mı yoksa birden fazla mı? Bir hesap kaba kuvveti öneriyor. Her biri düşük deneme sayısına sahip birçok hesap şifre püskürtmesini öneriyor.

Patlama sonrası herhangi bir hesap başarılı oldu mu? Başarısız denemelerden kısa bir süre sonra başarılı bir oturum açılması, özellikle ayrıcalıklı hesaplar için araştırılması gereken yüksek öncelikli bir korelasyondur.

Windows günlüklerini merkezi hale getirmiyorsanız, birden fazla sunucu arasında tutarlı bir şekilde uyarı verebilmek için Windows Olay İletimi veya mevcut SIEM'inizi düşünün. Basit bir şeye ihtiyaç duyan ekipler için saldırı zirveleri sırasında uyarılar ve tarihsel görünürlük , TSplus Sunucu İzleme sunucu sağlığını ve kullanılabilirliğini güvenlik kaydınızla birlikte takip etmenize yardımcı olabilir.

Otomatik engelleme yaklaşımları (ve yanlış pozitiflerden nasıl kaçınılır)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

Manuel yanıt, ana bilgisayarlarınız internetle yüz yüze olduğunda ölçeklenemez. Otomasyon, birçok ekibin kontrolü yeniden kazanabileceği yerdir, yeter ki geri alınabilir ve meşru erişimi korumak için tasarlanmış olsun. En güvenli otomasyon, zaman sınırlı yasaklarla ve net beyaz listelerle tekrarlanan başarısız oturum açma girişimlerini engeller ve meşru kullanıcıları engellememek için paylaşılan IP adreslerini dikkate almalıdır.

Otomasyonun pratikte nasıl göründüğü

Yaygın yaklaşımlar, tekrar eden hataları tespit eden ve bir IP'yi geçici olarak yasaklayan ana bilgisayar güvenlik duvarı modüllerini, şifre tahmin davranışını tespit eden EDR özelliklerini ve Güvenlik günlüklerini ayrıştıran ve dinamik güvenlik duvarı kuralları uygulayan betikleri içerir. Ağ geçidi merkezli kontroller (RD Gateway, VPN, bastion) genellikle daha az bilinmeyen kaynağın sunucuya ulaşması nedeniyle agresif ana bilgisayar düzeyinde engellemeye olan ihtiyacı azaltır.

Takımların yanıldığı yer

Paylaşılan NAT ve CGNAT. Birçok meşru kullanıcı tek bir genel IP'den (bir şube ofisi, bir otel ağı, bazı İSS'ler) geliyorsa, o IP'yi engellemek, saldırganlarla birlikte iyi kullanıcıları da kesebilir. Zaman sınırlı yasaklar ve bilinen iyi beyaz listeler, etki alanını azaltır.

Kendi yönetim yolunuzu engelleme. Her zaman VPN aralıklarınızı, bastion alt ağınızı ve MSP yönetim çıkış IP'lerinizi agresif engellemeyi etkinleştirmeden önce beyaz listeye almayı unutmayın. Aynı ağ yoluna bağlı olmayan bir acil durum yolu belgeleyin.

Kilitleme kaynaklı kesintiler. Eğer tek kontrolünüz hesap kilitleme ise, saldırganlar bunu hizmet reddine dönüştürebilir. Kilitleme politikalarını maruziyet azaltma ve IP tabanlı kısıtlama ile birleştirin, böylece ana bilgisayar darboğaz noktası haline gelmez.

TSplus Advanced Security, pratik bir brute-force koruması ekler. IP ve coğrafi kontroller ile Windows sunucuları için fidye yazılımına odaklanmış güçlendirme, ağır bir güvenlik yığını dağıtmadan tekrarlanan RDP oturum açma girişimlerini azaltmanıza yardımcı olabilir.

KOBİ ve MSP ortamları için pratik bir temel

Küçük ve orta ölçekli işletmeler (KOBİ'ler) ile yönetilen hizmet sağlayıcıların (MSP'ler) tekrarlanabilir, test edilebilir ve günlük operasyonları bozma olasılığı düşük bir temel ihtiyaçları vardır. Microsoft'un uzaktan masaüstü güvenlik kılavuzu aynı genel ilkeyi desteklemektedir: doğrudan maruziyeti azaltın, ardından erişimi güçlendirin ve aktif olarak izleyin.

  • RDP'nin doğrudan internet maruziyetini mümkünse kaldırın ve erişimi VPN, geçit veya bastion desenleri aracılığıyla yönlendirin.
  • Eğer RDP'nin erişilebilir kalması gerekiyorsa, gelen erişimi küçük bir IP beyaz listesi ile kısıtlayın ve bunu düzenli olarak gözden geçirin.
  • Ağ Düzeyi Kimlik Doğrulamasını (NLA) etkinleştirin ve tüm etkileşimli kullanıcılar için güçlü, benzersiz kimlik bilgileri talep edin.
  • Ayrıcalıklı erişimi sıkılaştırın: yerel yönetici üyeliğini en aza indirin ve Remote Desktop Users üyeliğini gözden geçirin.
  • Hesap Kilitleme Politikasını kasıtlı olarak ayarlayın (eşik, süre, sıfırlama sayacı) ve kilitleme kaynaklı kesintileri önlemek için test edin.
  • Başarısız oturum açmaları izleyin (örneğin, Olay Kimliği 4625) ve başarısızlıktan sonra başarı desenlerini hızlı bir şekilde araştırın.
  • Windows, RDP ile ilgili bileşenleri ve internete açık hizmetleri belirli bir takvime göre güncel tutun.
  • Ağ kuralları uzaktan girişi engellerse, konsol erişimini nasıl geri kazanacağınız da dahil olmak üzere, belge kırılma camı erişimi.

Eğer yapılandırılmış bir inceleme istiyorsanız, bizimkini kullanın RDP Güvenlik Denetimi: 2026 için 20 Maddelik Kontrol Listesi .

MSP'ler için, mümkün olan her şeyi standart hale getirin (GPO şablonları, güvenlik duvarı temel ayarları, izin verilen yönetim IP envanterleri) ve müşteri özel izin listeleri ile istisnaları net bir şekilde belgelenmiş tutun. Birçok müşteri sunucusu arasında pratik bir sertleştirme katmanına ihtiyacınız varsa, TSplus Advanced Security, standart bir uzaktan erişim güvenlik paketi olarak dağıtılabilir ve TSplus Remote Access, yayımlanan uygulamalar ve masaüstleri için "ham RDP'yi doğrudan açığa çıkarmayın" duruşunu destekleyebilir.

FAQ

Varsayılan RDP portunu değiştirmek, kaba kuvvet saldırılarını durdurur mu?

Hayır. RDP portunu değiştirmek, fırsatçı tarama gürültüsünü azaltabilir ve Microsoft'un kendi olay rehberi bunu bazı senaryolarda geçici bir hafifletme olarak belirtmektedir, ancak hedefli tahminleri durdurmaz. Bunu ikincil bir taktik olarak değerlendirin ve öncelikle maruziyet azaltmaya (beyaz listeleme, geçit, VPN, kalesi) ve kimlik doğrulama güçlendirmeye odaklanın.

RDP brute-force koruması için hangi Windows politika ayarları en önemlidir?

RDP için NLA'yı etkinleştirerek başlayın, Uzaktan Masaüstü üzerinden oturum açma hakkına sahip olanları sıkılaştırın ve Microsoft Learn tarafından belgelenen Hesap Kilitleme Politikasını (eşik, süre, sıfırlama sayacı) yapılandırın. Güçlü şifre politikaları ve en az ayrıcalıklı yönetici hakları, tahmin etmenin anlamlı bir ihlale yol açma olasılığını da azaltır.

Hesap kilitleme ayarları, bir saldırı sırasında RDP kesintilerini daha da kötüleştirebilir mi?

Evet. Eğer RDP geniş bir şekilde açığa çıkarsa, saldırganlar gerçek kullanıcılar için kasıtlı olarak kilitlenmeleri tetikleyebilir, bu da bir hizmet reddi sorunu haline gelir. Bu nedenle önerilen sıra, önce açığı azaltmak, ardından güvenliği kullanılabilirlikle dengeleyen bir şekilde kilitlenme ve kısıtlamayı ayarlamaktır.

Ağ Düzeyi Kimlik Doğrulaması (NLA) RDP'yi güvence altına almak için yeterli mi?

NLA önemli bir temel oluşturur, ancak tek başına şifre püskürtme veya kimlik bilgisi doldurma işlemlerini engellemez. Hala maruz kalma azaltma, güçlü kimlik bilgisi hijyeni, mantıklı kısıtlama veya kilitleme davranışı ve olağandışı oturum açma desenlerini izleme gereklidir.

RDP brute-force denemelerini erken tespit etmek için neyi izlemeliyim?

Başarısız oturum açmalarda, genellikle Olay Kimliği 4625 olarak görülen anormal zirveleri arayın, özellikle de bunlar birçok dış IP'den geliyorsa veya kısa bir süre içinde birçok kullanıcı adını hedefliyorsa. Ayrıca, tekrar eden hatalardan kısa bir süre sonra gerçekleşen herhangi bir başarılı oturum açmayı da araştırın, çünkü bu, tahmin edilmiş veya yeniden kullanılan bir şifreyi gösterebilir.

Sonuç: maruziyet azaltımını önceliklendirin, ardından güçlendirin ve otomatikleştirin

RDP brute force koruması tek bir ayar değildir. Bu, en iyi bu sırayla çalışan katmanlı bir yaklaşımdır: doğrudan maruziyeti azaltmak veya ortadan kaldırmak, kimlik doğrulamayı güçlendirmek (NLA, güçlü kimlik bilgileri, en az ayrıcalık, mantıklı kilitleme veya kısıtlama), gerçekten erişilebilirliği sınırlayan ağ kontrolleri uygulamak, anlamlı kalıpları izlemek ve yanlış pozitifleri önlemek için dikkatlice engellemeyi otomatikleştirmek.

Değişikliklerinizi belgeleyin, mümkünse iş saatleri dışında test edin ve güvenlik duvarı ve kilit ayarlamalarından sonra kırılma yolu işleminizin hala çalıştığını doğrulayın. Bu korumaları daha az manuel çaba ile işletmeye almak istiyorsanız, TSplus Advanced Security, brute-force koruması ve erişim kısıtlamaları konusunda yardımcı olabilir ve TSplus Remote Access, yayımlanan Windows uygulamaları ve masaüstleri için bir web portalı aracılığıyla daha güvenli bir dağıtım modeli sağlayabilir. Değerlendirmek için, siz... indir deneme ve inceleme fiyatlandırma .

Daha fazla okuma

back to top of the page icon