RDP Ağ Düzeyi Kimlik Doğrulama: Kurulum, Güvenlik ve Kullanım Senaryoları

Giriş

Hibrit çalışma modeline geçiş ve uzaktan masaüstü erişimine artan bağımlılık ile güvenli uzaktan oturumların sağlanması son derece önemlidir. Uzaktan Masaüstü Protokolü (RDP), kullanışlı olmasının yanı sıra siber saldırıların da sık hedefidir. RDP'nizin temel korumalarından biri NLA'dır. Bunu öğrenin, nasıl etkinleştirileceğini ve en önemlisi RDP Ağ Düzeyi Kimlik Doğrulaması (NLA)'nın nasıl geliştirildiğini öğrenin. uzak erişim güvenlik.

Network Level Authentication nedir?

Bu bölüm temel bilgileri kapsayacaktır:

• NLA'nın Tanımı
• Geleneksel RDP ve NLA arasındaki fark

NLA'nın Tanımı

Ağ Düzeyi Kimlik Doğrulama (NLA), Uzak Masaüstü Hizmetleri (RDS) için bir güvenlik geliştirmesidir. Kullanıcıların bir uzak masaüstü oturumu oluşturulmadan önce kendilerini kimlik doğrulamalarını gerektirir. Geleneksel RDP, kimlik bilgilerini doğrulamadan önce giriş ekranının yüklenmesine izin veriyordu, bu nedenle sunucuyu kaba kuvvet denemelerine maruz bırakıyordu. NLA, bu doğrulamayı oturum müzakere sürecinin en başına kaydırır.

Geleneksel RDP ve NLA arasındaki fark

Özellik	NLA olmadan sade RDP	NLA Etkin RDP
Kimlik Doğrulama Gerçekleşir	Oturum başladıktan sonra	Oturum başlamadan önce
Sunucu Maruziyeti	Yüksek (Toplam)	Minimal
Brute Force'a Karşı Koruma	Sınırlı	Güçlü
SSO Desteği	Hayır	Evet

NLA Nasıl Çalışır

NLA, sunucunuzu korumak için güvenli protokolleri ve katmanlı doğrulamayı kullanır. ne zaman ve nasıl kimlik doğrulama gerçekleşir. İşte bağlantı sürecinin ayrıntıları:

1. Başlangıç Talebi: Kullanıcı RDP istemcisi aracılığıyla bir bağlantı başlatır.
2. Kimlik Doğrulama: Oturum başlamadan önce, istemci kimlik bilgilerini güvenli bir şekilde iletmek için Credential Security Support Provider (CredSSP) kullanır.
3. Güvenli Oturum Kurulumu: Kimlik bilgileri geçerliyse, tüm iletişimi şifreleyerek TLS veya SSL kullanılarak güvenli bir oturum oluşturulur.
4. Masaüstü Oturumu Başlat: Kullanıcı kimlik doğrulandıktan sonra tam RDP oturumu başlar.

NLA Burada Ne Fark Yarattı?

NLA'nın RDP bağlantı isteklerine yaptığı değişiklikleri inceleyelim.

Güvensiz Bağlantılar NLA Olmadan Başlar:

• RDP sunucusu giriş ekranını yükler önce kimlik bilgileri kontrol ediliyor.
• Bu, anlamına gelir herkes oturum penceresi açabilir, hatta saldırganlar bile.
• Sunucu, yetkisiz kullanıcılar için bile giriş arayüzünü görüntülemek üzere kaynaklarını kullanır.

Güvenli Bağlantılar NLA ile Başlar:

NLA ile yukarıdaki adım 2 kritik hale geldi.

• Oturumdan önce, grafik giriş ekranı görünmeden önce, RDP istemcisi geçerli kimlik bilgilerini sağlamalıdır. CredSSP (ayrıntılar için okumaya devam edin).
• Kimlik bilgileri geçersizse, bağlantı hemen reddedilir, bu nedenle sunucu asla oturum arayüzünü yüklemez.

Sonuç olarak, NLA etkili bir şekilde kimlik doğrulama adımını "kaydırır" ağ katmanı (bu nedenle adı) önce RDP, uzaktan masaüstü ortamını başlatır. Sırasıyla, NLA kullanır Windows Güvenlik Destek Sağlayıcı Arayüzü (SSPI) , CredSSP dahil olmak üzere, alan kimlik doğrulaması ile sorunsuz bir şekilde entegre etmek için.

Ağ Düzeyi Kimlik Doğrulamanın Önemi Nedir?

RDP, birkaç yüksek profilli fidye yazılımı saldırısında bir vektör olmuştur. NLA, için hayati öneme sahiptir uzaktan masaüstü ortamlarını korumak çeşitli güvenlik tehditlerinden. Yetkisiz kullanıcıların uzaktan bir oturum başlatmasını bile engelleyerek, kaba kuvvet saldırıları, hizmet reddi saldırıları ve uzaktan kod yürütme gibi riskleri azaltır.

RDP güvenlik risklerinin NLA olmadan hızlı bir özeti:

• Açık giriş ekranlarına yönelik brute force saldırıları
• Kimlik doğrulaması yapılmamış bağlantılardan hizmet reddi (DoS) saldırıları
• Uzak Kod Yürütme (RCE) zafiyetleri
• Sızdırılmış kullanıcı adları/şifreler kullanarak kimlik bilgisi doldurma

NLA'yı etkinleştirmek, bu tehditleri en aza indirmenin basit ama etkili bir yoludur.

NLA'yı Etkinleştirmenin Faydaları Nelerdir?

Ağ Düzeyi Kimlik Doğrulama, hem güvenlik hem de performans avantajları sunar. İşte kazandıklarınız:

• Daha Güçlü Kimlik Doğrulama
• CredSSP nedir?
• Azaltılmış Saldırı Yüzeyi
• Brute Force Savunması
• SSO Uyumluluğu
• Daha İyi Sunucu Performansı
• Uyumlu

Daha Güçlü Kimlik Doğrulama

Ağ Seviyesi Kimlik Doğrulama, kullanıcıların herhangi bir uzak masaüstü oturumu başlamadan önce kimliklerini doğrulamalarını gerektirir. Bu ön cephe doğrulaması, yalnızca yetkilendirilmiş kullanıcıların giriş istemine ulaşmasını sağlamak için CredSSP ve TLS gibi güvenli protokoller kullanılarak yapılır. Bu erken adımı zorunlu kılarak, NLA çalınan veya tahmin edilen kimlik bilgileriyle yapılan saldırı riskini önemli ölçüde azaltır.

CredSSP nedir?

Bir Güvenlik Destek Sağlayıcısı olarak, Kimlik Bilgisi Güvenlik Destek Sağlayıcı protokolü (CredSSP), bir uygulamanın kullanıcının kimlik bilgilerini istemciden hedef sunucuya uzaktan kimlik doğrulama için devretmesine olanak tanır.

Bu tür bir erken doğrulama, özellikle hassas verilerin veya altyapının yer aldığı ortamlarda, Microsoft ve NIST gibi kuruluşlar tarafından önerilen siber güvenlik en iyi uygulamalarıyla uyumludur.

Azaltılmış Saldırı Yüzeyi

NLA olmadan, RDP oturum açma arayüzü herkese açık olarak erişilebilir hale gelir, bu da onu otomatik taramalar ve istismar araçları için kolay bir hedef yapar. NLA etkinleştirildiğinde, bu arayüz kimlik doğrulama katmanının arkasında gizlenir ve RDP sunucunuzun ağda veya internette görünürlüğünü önemli ölçüde azaltır.

Bu "varsayılan olarak görünmez" davranış, sıfır gün güvenlik açıklarına veya kimlik bilgisi doldurma saldırılarına karşı savunmada kritik öneme sahip olan en az maruz kalma ilkesine uygundur.

Brute Force Savunması

Kaba kuvvet saldırıları, kullanıcı adı ve şifre kombinasyonlarını sürekli tahmin ederek çalışır. Eğer RDP, NLA olmadan açığa çıkarsa, saldırganlar otomatikleştirilmiş binlerce oturum açma girişimi yapmak için araçlar kullanarak sonsuz bir şekilde denemeye devam edebilirler. NLA, geçerli kimlik bilgilerini önceden talep ederek bunu engeller, böylece kimlik doğrulaması yapılmamış oturumların ilerlemesine asla izin verilmez.

Bu, yalnızca yaygın bir saldırı yöntemini etkisiz hale getirmekle kalmaz, aynı zamanda hesap kilitlenmelerini veya kimlik doğrulama sistemleri üzerindeki aşırı yükü önlemeye de yardımcı olur.

SSO Uyumluluğu

NLA, Active Directory ortamlarında NT Tek Oturum Açma (SSO) desteği sunar. SSO iş akışlarını düzene sokar ve son kullanıcılar için sürtünmeyi azaltarak bir kerelik kimlik doğrulama ile birden fazla uygulama ve web sitesine giriş yapmalarına olanak tanır.

IT yöneticileri için, SSO entegrasyonu kimlik yönetimini basitleştirir ve unutulan şifreler veya tekrar eden oturum açma işlemleriyle ilgili yardım masası biletlerini azaltır, özellikle katı erişim politikalarına sahip kurumsal ortamlarda.

Daha İyi Sunucu Performansı

NLA olmadan, her bağlantı denemesi (kimliği doğrulanmamış bir kullanıcıdan bile) grafiksel giriş arayüzünü yükleyebilir, sistem belleği, CPU ve bant genişliği tüketebilir. NLA, oturumu başlatmadan önce geçerli kimlik bilgileri talep ederek bu yükü ortadan kaldırır.

Sonuç olarak, sunucular daha verimli çalışır, oturumlar daha hızlı yüklenir ve meşru kullanıcılar, özellikle birden fazla eşzamanlı RDP bağlantısının bulunduğu ortamlarda daha iyi bir yanıt süresi deneyimler.

Uyumlu

Modern uyum çerçeveleri (GDPR, HIPAA, ISO 27001 gibi) güvenli kullanıcı kimlik doğrulaması ve hassas sistemlere kontrollü erişim gerektirir. NLA, erken aşama kimlik bilgisi doğrulamasını zorlayarak ve tehditlere maruziyeti en aza indirerek bu gereksinimleri karşılamaya yardımcı olur.

NLA'yı uygulayarak, kuruluşlar erişim kontrolü, veri koruma ve denetim hazırlığına proaktif bir yaklaşım sergilerler; bu, düzenleyici incelemeler veya güvenlik denetimleri sırasında kritik olabilir.

Ağ Düzeyi Kimlik Doğrulamasını Nasıl Etkinleştiririm?

NLA'nın etkinleştirilmesi, çeşitli yöntemler aracılığıyla kolayca gerçekleştirilebilen basit bir işlemdir. Burada, NLA'yı Uzak Masaüstü ayarları ve Sistem ve Güvenlik ayarları aracılığıyla etkinleştirmenin adımlarını açıklıyoruz.

• Windows Ayarları
• Kontrol Paneli
• Grup Politika Düzenleyicisi

Yöntem 1: NLA'yı Windows Ayarları aracılığıyla etkinleştirme

1.        Win + I tuşlarına basarak Ayarlar'ı açın

2. Sistem > Uzak Masaüstü'ne gidin

3.        Uzaktan Masaüstünü Etkinleştir'i Aç/Kapat

4.        Gelişmiş Ayarları Tıklayın

5. Bilgisayarların Ağ Düzeyi Kimlik Doğrulaması kullanmasını gerektir.

Yöntem 2: Kontrol Paneli aracılığıyla NLA'yı Etkinleştirme

1.        Denetim Masası > Sistem ve Güvenlik > Sistem açın

2.        Uzaktan Erişime İzin Ver'i Tıklayın

3. Uzaktan sekmesinde, kontrol edin:
“Yalnızca NLA (önerilen) çalıştıran bilgisayarlardan uzaktan bağlantılara izin ver”

Yöntem 3: Grup İlkesi Düzenleyicisi

1.        Win + R tuşlarına basın, gpedit.msc yazın

2.        Gidin:
Bilgisayar Yapılandırması > Yönetici Şablonları > Windows Bileşenleri > Uzak Masaüstü Hizmetleri > RDSH > Güvenlik

"Uzak bağlantılar için kullanıcı kimlik doğrulamasını NLA kullanarak gerektir" seçeneğini Etkin olarak ayarlayın.

Ağ Düzeyi Kimlik Doğrulamasını Nasıl Devre Dışı Bırakabilirim?

NLA'nın devre dışı bırakılması genellikle güvenlik riskleri nedeniyle önerilmez, ancak gerekli olabilecek belirli senaryolar olabilir: CredSSP desteği olmayan eski sistemler, RDP hatalarını giderme ve üçüncü taraf istemci uyumsuzlukları. İşte NLA'yı devre dışı bırakmanın yöntemleri:

• Sistem Özellikleri
• Kayıt Defteri Düzenleyicisi
• Grup Politika Düzenleyicisi

Yöntem 1: Sistem Özellikleri Kullanarak

Sistem Özellikleri aracılığıyla NLA'nın devre dışı bırakılması, Windows arayüzü üzerinden yapılabilecek doğrudan bir yöntemdir.

Syst Prop'ta Adım Adım Kılavuz

1. Açık Çalıştır Diyaloğu: Basın Win + R Remote Desktop Services (RDS) is a proprietary protocol developed by Microsoft. [, Uzak Masaüstü Hizmetleri (RDS), Microsoft tarafından geliştirilen özel bir protokoldür.] sysdm.cpl Welcome to our website where you can find a wide range of software products for your business needs.
2. Uzak Erişim Ayarlarına Erişim: "Sistem Özellikleri" penceresinde, "Uzak" sekmesine gidin.
3. NLA'yı Devre Dışı Bırak: "Yalnızca Ağ Düzeyi Kimlik Doğrulamalı Uzak Masaüstü çalıştıran bilgisayarlardan bağlantıları izin ver (önerilen)" seçeneğini işaretlemeyin.

Riskler ve Düşünceler

Artan Zayıflık:

NLA'nın devre dışı bırakılması, ön oturum kimlik doğrulamasını kaldırır ve ağı potansiyel yetkisiz erişim ve çeşitli tehditlere maruz bırakır. siber tehditler .

Tavsiye:

NLA'nın yalnızca kesinlikle gerekli olduğunda devre dışı bırakılması ve azaltılan koruma için telafi edici ek güvenlik önlemlerinin uygulanması önerilir.

Yöntem 2: Kayıt Düzenleyici Kullanarak

Kayıt Defteri Düzenleyicisi aracılığıyla NLA'yı devre dışı bırakın, daha gelişmiş ve manuel bir yaklaşım sağlamak için.

RegEdit'te Adım Adım Kılavuz

1. Açık Kayıt Düzenleyici: Basın Win + R Remote Desktop Services (RDS) is a proprietary protocol developed by Microsoft. [, Uzak Masaüstü Hizmetleri (RDS), Microsoft tarafından geliştirilen özel bir protokoldür.] regedit Welcome to our website where you can find a wide range of software products for your business needs.
2. Anahtara Git: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp'e gidin.
3. Değerleri Değiştir: "Güvenlik Katmanı" ve "Kullanıcı Kimlik Doğrulama" değerlerini değiştirin 0 NLA'yı devre dışı bırakmak.
4. Sistem Yeniden Başlatma: Değişikliklerin yürürlüğe girmesi için sisteminizi yeniden başlatın.

Riskler ve Düşünceler

Manuel Konfigürasyon:

Kayıt defterini düzenlemek dikkatli bir dikkat gerektirir, çünkü yanlış değişiklikler sistem kararsızlığına veya güvenlik açıklarına yol açabilir.

Yedekleme:

Her zaman değişiklik yapmadan önce kayıt defterini yedekleyin, böylece gerektiğinde sistemi önceki durumuna geri yükleyebilirsiniz.

Yöntem 3: Grup İlkesi Düzenleyicisi Kullanarak

Grup İlkesi aracılığıyla yönetilen ortamlar için, NLA'nın devre dışı bırakılması Grup İlkesi Düzenleyici aracılığıyla merkezi olarak kontrol edilebilir.

GPEdit'te Adım Adım Kılavuz

1.        Grup Politika Düzenleyicisini Açın: Basın Win + R Remote Desktop Services (RDS) is a proprietary protocol developed by Microsoft. [, Uzak Masaüstü Hizmetleri (RDS), Microsoft tarafından geliştirilen özel bir protokoldür.] gpedit.msc Welcome to our website where you can find a wide range of software products for your business needs.

2. Güvenlik Ayarlarına Gidin: Bilgisayar Yapılandırması -> Yönetim Şablonları -> Windows Bileşenleri -> Uzak Masaüstü Hizmetleri -> Uzak Masaüstü Oturum Ana bilgisayarı -> Güvenlik.

3.        NLA'yı devre dışı bırakın: "Ağ Düzeyi Kimlik Doğrulaması kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektir" adlı politikayı bulun ve "Devre Dışı" olarak ayarlayın.

Riskler ve Düşünceler

Merkezi Yönetim: Grup İlkesi aracılığıyla NLA'nın devre dışı bırakılması, tüm yönetilen sistemleri etkiler ve ağ genelinde güvenlik riskini artırabilir.

Politika Sonuçları: NLA'nın devre dışı bırakılmasının kurumsal güvenlik politikalarıyla uyumlu olduğundan ve alternatif güvenlik önlemlerinin alındığından emin olun.

TSplus ile Güvenliğinizi Nasıl Artırabilirsiniz

TSplus tamamen NLA'yı destekler. Ağ Seviyesi Kimlik Doğrulaması, her oturumun başlangıcında uzaktan masaüstü erişimini güvence altına alır. İki Aşamalı Kimlik Doğrulama (2FA), IP filtreleme, brute-force koruma ve uygulama erişim kontrolü gibi gelişmiş özelliklerle yerel RDP güvenliğini artırarak sağlam, çok katmanlı bir savunma sistemi oluşturur.

Eşlik TSplus yöneticiler basit bir web konsolu aracılığıyla merkezi kontrol elde eder, güvenli, verimli ve ölçeklenebilir uzaktan erişim sağlar. Ekstra karmaşıklık veya lisans maliyetleri olmadan standart RDP güvenliğini aşmayı hedefleyen organizasyonlar için ideal bir çözümdür.

Sonuç

Ağ Düzeyi Kimlik Doğrulama, ön oturum kullanıcı doğrulamasını zorlayarak uzaktan erişim için RDP bağlantılarını güvence altına almanın kanıtlanmış bir yoludur. Bugünün uzaktan çalışma odaklı ortamında, NLA'nın etkinleştirilmesi, RDP kullanan tüm organizasyonlar için varsayılan bir adım olmalıdır. TSplus gibi araçların sunduğu genişletilmiş özelliklerle birleştirildiğinde, güvenli ve verimli uygulama yayıncılığı için güvenilir bir temel sağlar.