Farklı bir dilde siteyi görmek ister misiniz?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Dil değiştirin
İçindekiler

Giriş

RDP, en çok kötüye kullanılan uzaktan erişim yollarından biri olmaya devam ediyor ve saldırganlar sadece daha hızlı ve daha kaçak hale geldi. Bu kılavuz, 2026'da işe yarayan şeylere odaklanıyor: RDP'yi bir geçit veya VPN'in arkasında gizlemek, MFA ve kilitlenmeleri zorunlu kılmak, NLA/TLS'yi güçlendirmek ve otomatik yanıt ile canlı tespiti uygulamak—böylece brute force kampanyaları tasarım gereği başarısız olur.

Neden RDP Brute Force Koruması 2026'da Hala Önemli?

  • Saldırgan ticaretinde neler değişti
  • Neden maruz kalma ve zayıf kimlik doğrulama hala olayları tetikliyor

Saldırgan ticaretinde neler değişti

Saldırganlar artık kimlik bilgisi doldurma işlemini yüksek hızlı şifre püskürtme ve konut proxy döngüsü ile birleştirerek oran sınırlamalarından kaçıyorlar. Bulut otomasyonu kampanyaları esnek hale getirirken, yapay zeka tarafından üretilen şifre varyantları politika sınırlarını test ediyor. Sonuç, basit kara listelemeleri alt eden sürekli düşük gürültülü sorgulamalardır; bu nedenle birden fazla kontrolü birleştirip sürekli izlemek gereklidir.

Paralel olarak, rakipler coğrafi belirsizlik ve "imkansız seyahat" kalıplarını naif ülke engellerini aşmak için kullanıyorlar. Uyarı eşiklerinin altında kalan girişimleri kısıtlıyor ve bunları kimlikler ve IP'ler arasında dağıtıyorlar. Etkili savunma bu nedenle kullanıcılar, kaynaklar ve zamanlar arasında korelasyona vurgu yapar - ayrıca risk sinyalleri biriktiğinde ek zorluklar getirir.

Neden maruz kalma ve zayıf kimlik doğrulama hala olayları tetikliyor

Çoğu ihlal hala açığa çıkmış ile başlar. 3389 TCP veya "geçici" erişim için aceleyle açılan güvenlik duvarı kuralları kalıcı hale gelir. Zayıf, yeniden kullanılan veya izlenmeyen kimlik bilgileri riski artırır. Kuruluşlar olay görünürlüğünden ve kilitleme politikası disiplininden yoksun olduğunda, brute force denemeleri sessizce başarılı olur ve fidye yazılımı operatörleri bir kıyı başı kazanır.

Üretim kayması da bir rol oynar: gölge BT araçları, yönetilmeyen kenar cihazları ve unutulmuş laboratuvar sunucuları genellikle RDP'yi yeniden açığa çıkarır. Düzenli dış taramalar, CMDB uzlaştırması ve değişiklik kontrolü kontrolleri bu kaymayı azaltır. Eğer RDP var olmalıdır, kimlik, cihaz durumu ve politikaların uygulandığı güvenli bir geçit aracılığıyla yayımlanmalıdır.

Öncelikle Uygulamanız Gereken Temel Kontroller Nelerdir?

  • Doğrudan maruziyeti kaldırın; RD Gateway veya VPN kullanın
  • Güçlü kimlik doğrulama + MFA ve mantıklı kilitlemeler

Doğrudan maruziyeti kaldırın; RD Gateway veya VPN kullanın

2026'daki temel ilke: RDP'yi doğrudan internete yayınlamayın. RDP'yi bir Remote Desktop Gateway (RDG) veya sonlandıran bir VPN'in arkasına yerleştirin. TLS ve herhangi bir RDP el sıkışmasından önce kimliği zorlar. Bu, saldırı yüzeyini küçültür, MFA'yı etkinleştirir ve politikayı merkezi hale getirir, böylece kimin neye ve ne zaman eriştiğini denetleyebilirsiniz.

Ortakların veya MSP'lerin erişime ihtiyaç duyduğu yerlerde, belirgin politikalar ve günlükleme kapsamları ile özel giriş noktaları sağlayın. Kısa ömürlü erişim jetonları veya biletlerle bağlantılı zaman sınırlı güvenlik duvarı kuralları kullanın. Geçitleri kritik altyapı olarak değerlendirin: zamanında yamanın, yapılandırmaları yedeklemenin ve MFA ile ayrıcalıklı erişim iş istasyonları aracılığıyla yönetici erişimi talep etmenin önemini vurgulayın.

Güçlü kimlik doğrulama + MFA ve mantıklı kilitlemeler

Minimum 12 karakterli şifreler benimseyin, ihlal edilmiş ve sözlükteki kelimeleri yasaklayın ve tüm yönetimsel ve uzaktan oturumlar için MFA gerektirin. Botları yavaşlatan ancak kesintilere neden olmayan hesap kilitleme eşiklerini yapılandırın: örneğin, 5 başarısız deneme, 15-30 dakikalık kilitleme ve 15 dakikalık sıfırlama penceresi. Bunu, kilitlemelerin araştırma başlatmasını sağlamak için izlenen uyarılarla birleştirin, tahminle değil.

Mümkünse phishing'e dayanıklı faktörleri tercih edin (akıllı kartlar, FIDO2 , sertifika tabanlı). OTP veya push için, numara eşleştirmeyi etkinleştir ve çevrimdışı cihazlar için istemleri reddet. Oturum kaçırmaya karşı korumak için geçitte ve mümkünse Windows oturum açmada MFA'yı zorunlu kıl. İstisnaları sıkı bir şekilde belgeleyin ve bunları aylık olarak gözden geçirin.

RDP Brute Force Protection'da Ağ Sınırlama ve Yüzey Azaltmaları nedir?

  • Portlar, NLA/TLS ve protokol güçlendirmesi
  • Coğrafi sınırlama, izin listeleri ve JIT erişim pencereleri

Portlar, NLA/TLS ve protokol güçlendirmesi

Varsayılan 3389 portunu değiştirmek hedeflenen saldırganları durdurmaz, ancak sıradan tarayıcılardan gelen gürültüyü azaltır. Oturum oluşturulmadan önce kimlik doğrulamak için Ağ Düzeyi Kimlik Doğrulamasını (NLA) zorlayın ve geçitlerde geçerli sertifikalarla modern TLS gerektirin. Mümkünse eski protokolleri devre dışı bırakın ve kullanılmayan RDP özelliklerini kaldırarak istismar edilebilir yolları en aza indirin.

Şifreleme paketlerini güçlendirin, zayıf hash'leri devre dışı bırakın ve ileri gizlilik ile TLS 1.2+ tercih edin. Açıkça gerekli olmadıkça panoyu, sürücüleri ve cihaz yönlendirmesini devre dışı bırakın. Tam masaüstleri yerine uygulamalar yayınlıyorsanız, hakları minimum gerekli olacak şekilde sınırlayın ve bunları üç ayda bir gözden geçirin. Her kaldırılan yetenek, kötüye kullanım için bir yol daha azdır.

Coğrafi sınırlama, izin listeleri ve JIT erişim pencereleri

Kaynak IP'leri bilinen kurumsal aralıklara, MSP ağlarına veya bastion alt ağlarına kısıtlayın. Küresel bir iş gücü varsa, seyahat için ülke düzeyinde coğrafi kontroller ve istisnalar uygulayın. Just-in-Time (JIT) erişimi ile daha ileri gidin: yolu yalnızca planlı bakım pencereleri veya biletli talepler için açın, ardından kaymayı önlemek için otomatik olarak kapatın.

Altyapı olarak kod ile kural yaşam döngüsünü otomatikleştirin. Değişiklik günlüklerini değişmez şekilde oluşturun ve kalıcı erişim için onay gerektirin. Statik beyaz listelerin pratik olmadığı durumlarda, bağlantı anında cihaz durumu ve kullanıcı riskini değerlendiren kimlik bilincine sahip proxy'ler kullanın, kırılgan IP listelerine olan bağımlılığı azaltın.

Gerçekten Brute Force Protection'ı Yakalamayı Başaran Tespit Nedir?

  • Windows denetim politikası ve izlenmesi gereken Olay Kimlikleri
  • Logları merkezi hale getirin ve desenler üzerinde uyarı verin.

Windows denetim politikası ve izlenmesi gereken Olay Kimlikleri

Ayrıntılı hesap oturum açma denetimini etkinleştirin ve en azından aşağıdakileri iletin: Olay Kimliği 4625 (başarısız oturum açma), 4624 (başarılı oturum açma) ve 4776 (kimlik bilgisi doğrulama). Kullanıcı başına veya kaynak IP başına aşırı başarısızlıklar, "imkansız seyahat" dizileri ve mesai dışı zirveler için uyarı verin. Tam bağlam için geçit günlüklerini etki alanı denetleyici olaylarıyla ilişkilendirin.

Sinyalleri gürültüyü kesmek için ayarlayın: beklenen hizmet hesaplarını ve laboratuvar aralıklarını göz ardı edin, ancak asla yönetim hedeflerini bastırmayın. Olaylara zenginleştirme (coğrafi, ASN, bilinen proxy listeleri) ekleyin. Kenar sitelerden TLS üzerinden güvenilir bir şekilde günlük gönderin ve telemetri olaylar sırasında kaybolmaması için failover yollarını test edin.

Logları merkezi hale getirin ve desenler üzerinde uyarı verin.

Bir yola kaydedin SIEM veya RDP anlamlarını anlayan modern EDR. Kullanıcı, cihaz, zaman ve coğrafya tarafından temel normal davranışı belirleyin, ardından aynı kullanıcıyı denemeye çalışan döngüsel IP'ler veya aynı proxy bloğundan birden fazla kullanıcı gibi sapmalar hakkında uyarı verin. Gerçek sinyalleri korurken bilinen tarayıcıları kaldırmak için bastırma kurallarını kullanın.

Kilitlenmeler, dakikada başarısızlıklar, en fazla kaynak ülkeleri ve geçit kimlik doğrulama sonuçları için panoları uygulayın. Haftalık olarak operasyonlarla ve aylık olarak liderlik ile gözden geçirin. Olgun programlar, hızlı bir şekilde iterasyon yaparken uyarı fırtınalarını önlemek için algılama olarak kod ekler: sürümlü kurallar, testler ve aşamalı dağıtımlar.

RDP Brute Force Protection'da Otomatik Yanıtlar ve Gelişmiş Stratejiler nelerdir?

  • SOAR/EDR oyun kitapları: izole et, engelle, meydan oku
  • Aldatma, honey-RDP ve Sıfır Güven politikaları

SOAR/EDR oyun kitapları: izole et, engelle, meydan oku

Açık olanı otomatikleştirin: kısa bir hata patlamasından sonra bir IP'yi engelleyin veya yavaşlatın, riskli oturumlar için adım artırma MFA'sı gerektirin ve önceden tanımlanmış eşikleri aşan hesapları geçici olarak devre dışı bırakın. Analistlerin hızlı bir şekilde önceliklendirme yapabilmesi ve erişimi güvenle geri yükleyebilmesi için zengin bağlamla (kullanıcı, kaynak IP, zaman, cihaz) biletleme entegrasyonu sağlayın.

Oyun kitaplarını, oturum açma sonrası şüpheli yan hareket gösteren uç noktaları karantinaya almak için genişletin. Geçici güvenlik duvarı kuralları uygulayın, etkilenen hizmet hesapları tarafından kullanılan gizli anahtarları döndürün ve etkilenen sanal makinelerin forensik inceleme için anlık görüntülerini alın. Yıkıcı eylemler için insan onaylarını korurken, diğer her şeyi otomatikleştirin.

Aldatma, honey-RDP ve Sıfır Güven politikaları

Düşük etkileşimli RDP honeypot'ları dağıtarak göstergeleri toplamak ve tespitleri riske atmadan ayarlamak. Paralel olarak, Sıfır Güven'e doğru ilerleyin: her oturum, kimlik, cihaz durumu ve risk puanına dayalı olarak açıkça izin verilmelidir. Koşullu erişim, sinyalleri sürekli olarak değerlendirir, bağlam değiştikçe oturumları iptal eder veya sorgular.

Cihaz doğrulaması, sağlık kontrolleri ve en az ayrıcalık hakları ile Sıfır Güven'i destekleyin. Yönetici erişim yollarını kullanıcı yollarından ayırın ve ayrıcalıklı oturumların, oturum kaydı ile birlikte özel atlama sunucularından geçmesini gerektirin. Hızlı kurtarma sağlarken güvenliği koruyan net kırılma prosedürlerini yayınlayın.

RDP Brute Force Protection'da Şu An Ne İşe Yarıyor?

Koruma yöntemi Etkililik Karmaşıklık Tavsiye edilen için Uygulama hızı Sürekli genel gider
VPN veya RD Gateway En yüksek etki; doğrudan maruziyeti ortadan kaldırır ve kontrolü merkezileştirir. Orta Tüm ortamlar Günler Düşük–Orta (yamanlama, sertifikalar)
MFA her yerde Kimlik bilgisi yalnızca saldırıları durdurur; püskürtme/doldurma saldırılarına karşı dayanıklıdır. Orta Tüm ortamlar Günler Düşük (periyodik politika gözden geçirmeleri)
Hesap kilitleme politikaları Güçlü caydırıcı; botları yavaşlatır ve kötüye kullanımı işaret eder Düşük KOBİ'ler ve Kurumsal Şirketler Saatler Düşük (ayar eşikleri)
Davranışsal/Anomali tespiti Düşük ve yavaş, dağıtılmış denemeleri yakalar Orta Kurumsal Haftalar Orta (kural ayarlama, önceliklendirme)
Geo-IP engelleme ve izin listeleri İstenmeyen trafiği keser; gürültüyü azaltır Düşük KOBİ'ler ve Kurumsal Şirketler Saatler Düşük (liste bakımı)
Sıfır Güven koşullu erişim Ayrıntılı, bağlama duyarlı yetkilendirme Yüksek Kurumsal Haftalar–Aylar Orta–Yüksek (durum sinyalleri)
RDP tuzakları Zeka ve erken uyarı değeri Orta Güvenlik ekipleri Günler Orta (izleme, bakım)

2026'da ne yapılmamalı?

  • RDP'yi internette "gizlemek" veya "açığa çıkarmak"
  • Zayıf geçitleri yayınla
  • Ayrıcalıklı veya hizmet hesaplarını muaf tutun
  • Kaydı "ayarla ve unut" olarak ele al.
  • Oturum açtıktan sonra yan hareketi göz ardı et
  • "geçici" kuralların sürmesine izin ver
  • Sonuçlar için hata araçları

RDP'yi internette "gizlemek" veya "açığa çıkarmak"

3389/TCP'yi doğrudan yayınlamayın. Portu değiştirmek yalnızca gürültüyü azaltır; tarayıcılar ve Shodan tarzı dizinler sizi yine de hızlı bir şekilde bulur. Alternatif portları hijyen olarak değerlendirin, koruma olarak değil ve asla kamuya açık maruziyeti haklı çıkarmak için kullanmayın.

Acil erişim kaçınılmazsa, bunu kısa, onaylı bir süreyle sınırlayın ve her denemeyi kaydedin. Yolu hemen kapatın ve dış bir tarama ile maruziyeti doğrulayın, böylece "geçici" kalıcı hale gelmesin.

Zayıf geçitleri yayınla

Güçlü kimlik ve modern TLS olmadan bir RD Gateway veya VPN sadece riski yoğunlaştırır. MFA, cihaz sağlık kontrolleri ve sertifika hijyenini zorunlu kılın ve yazılımı güncel tutun.

İzin verici güvenlik duvarı kurallarından, "tüm ülkeler" veya geniş bulut sağlayıcı aralıkları gibi olanlardan kaçının. Giriş kapsamlarını dar, zaman sınırlı ve değişiklik biletleri ve sona erme tarihleri ile gözden geçirilmiş tutun.

Ayrıcalıklı veya hizmet hesaplarını muaf tutun

Hariç tutmalar, saldırganlar için en kolay yol haline gelir. Yöneticiler, hizmet hesapları ve acil durum kullanıcıları MFA, kilitlenmeler ve izleme kurallarına uymalıdır - istisnasız.

Geçici bir muafiyet kaçınılmazsa, bunu belgeleyin, telafi edici kontroller ekleyin (ek kayıt, adım artırma zorlukları) ve otomatik bir sona erme tarihi belirleyin. Tüm istisnaları aylık olarak gözden geçirin.

Kaydı "ayarla ve unut" olarak ele al.

Varsayılan denetim politikaları bağlamı kaçırır ve eski SIEM kuralları, saldırgan davranışı geliştikçe bozulur. Hem hacim hem de hassasiyet için uyarıları ayarlayın, coğrafi/ASN ile zenginleştirin ve TLS üzerinden yönlendirmeyi test edin.

Aylık kural incelemeleri ve masaüstü tatbikatları yapın, böylece sinyal eyleme geçirilebilir kalır. Gürültü içinde boğuluyorsanız, gerçek bir olay sırasında etkili bir şekilde kör olursunuz.

Oturum açtıktan sonra yan hareketi göz ardı et

Başarılı bir oturum açma savunmanın sonu değildir. Panoyu, sürücüleri ve cihaz yönlendirmesini sınırlayın ve yönetici yollarını kullanıcı yollarından atlama ana bilgisayarları ile ayırın.

Gerekmediği yerlerde iş istasyonu ile iş istasyonu RDP'sini engelleyin ve bu konuda uyarın—fidye yazılımı operatörleri tam olarak bu desene dayanarak hızlı bir şekilde yayılmaktadır.

"geçici" kuralların sürmesine izin ver

Eski IP beyaz listeleri, uzun süreli istisnalar ve bakım sırasında devre dışı bırakılan uyarılar sessizce kalıcı bir risk haline gelir. Değişiklik biletleri, sahipler ve otomatik sona erme sürelerini kullanın.

Altyapı kodu ile temizliği otomatikleştirin. Bakım sonrası, maruz kalma taramaları yapın ve ortamın hedef temel düzeye geri döndüğünü kanıtlamak için uyarıları geri yükleyin.

Sonuçlar için hata araçları

EDR satın almak veya bir geçidi etkinleştirmek, politikalar zayıfsa veya uyarılar okunmamışsa koruma garantisi vermez. Gerçek durumu izleyen sahiplik ve KPI metrikleri atayın.

Önde gelen göstergeleri ölçün: maruz kalan uç noktaların sayısı, MFA kapsamı, kilitleme doğruluğu, medyan engelleme süresi ve yamanın gecikmesi. Bunları liderlik ile gözden geçirin, böylece güvenliği operasyonlarla uyumlu tutun.

TSplus Advanced Security ile Kolayca Güvenli RDP

TSplus Gelişmiş Güvenlik bu kılavuzdaki en iyi uygulamaları basit, uygulanabilir politikalara dönüştürür. Şüpheli giriş patlamalarını otomatik olarak engeller, net kilitlenme eşikleri belirlemenize olanak tanır ve erişimi ülke, zaman veya onaylı IP aralıklarıyla sınırlar. Bizim çözüm aynı zamanda fidye yazılımı tarzı davranışları izleyen izin verme/engelleme listelerini ve modüllerini merkezileştirir - böylece koruma tutarlıdır ve denetimi kolaydır.

Sonuç

RDP'ye karşı brute force 2026'da kaybolmayacak - ama etkisi kaybolabilir. RDP'yi bir geçit veya VPN'in arkasına gizleyin, MFA gerektirin, NLA/TLS'yi güçlendirin, IP/jeo ile kısıtlayın ve otomatik yanıtlarla olayları 4625/4624/4776'yı izleyin. Bu kontrolleri tutarlı bir şekilde katmanlayın, düzenli olarak denetleyin ve gürültülü taramaları zararsız arka plan trafiğine dönüştürün - uzaktan erişimi verimli ve güvenli tutarken.

Paylaş:

Facebook Twitter LinkedIn

Sizin TSplus Ekibiniz

Daha fazla okuma

back to top of the page icon