Uzak Masaüstü Protokolü (RDP), Windows sistem yöneticileri tarafından Windows Server sistemlerini uzaktan yönetmek için kullanılan Microsoft’a özel bir uzaktan erişim protokolüdür. RDP’yi örneğin Windows PowerShell veya Secure Shell (SSH) uzaktan iletişiminden ayıran şey, Şekil 1’de gösterildiği gibi tam grafik masaüstünün varlığıdır.
Varsayılan olarak, RDP sunucu bileşeni, güvenlik nedenleriyle yönetici tarafından değiştirilebilmesine rağmen, varsayılan olarak 3389 numaralı TCP bağlantı noktasından gelen bağlantıları dinler.
Emin olmak için, Microsoft’un şu anki baskısı, yöneticilerin RDP’ye olan bağımlılıklarını azaltmaları ve bunun yerine (a) Windows Sunucularını Sunucu Çekirdeği veya Nano modunda dağıtmaları; ve (b) RDP yerine Windows PowerShell komut satırı uzaktan yönetimini kullanmak.
Microsoft’un bu tavsiye için gerekçesi iki yönlüdür:
Bir GUI katmanı gereksiz sistem kaynaklarını tüketir
Bir GUI katmanı, sunucularınızın saldırı yüzeyini genişletir
Ne olursa olsun, birçok yönetici RDP tabanlı uzaktan yönetime alışkındır ve yeni çıkan Windows Server 2016 işletim sisteminde bile bunu yapmaya çalışır. Server 2016’da RDP’nin nasıl etkinleştirileceğini öğrenelim (tl;dr: işlem Windows Server 2012 R2 ile aynıdır).
Sunucu Yöneticisi
Sunucu Yöneticisi konsolunu açın, Yerel Sunucu düğümüne gidin ve Şekil 2’de gösterildiği gibi Uzak Masaüstü köprüsüne tıklayın.
Uzak Masaüstü köprüsü, Sistem Denetim Masası öğesinden Sistem Özellikleri sayfasına giden bir kısayoldur. Bu bilgisayara uzak bağlantılara izin ver’i seçin ve isteğe bağlı olarak Yalnızca Uzak Destkop’u Ağ Düzeyinde Kimlik Doğrulama ile çalıştıran bilgisayarlardan bağlantılara izin ver (önerilir) seçeneğini etkinleştirin.
Ağ Düzeyinde Kimlik Doğrulama (NLA), sunucu tarafından herhangi bir grafik oturumu oluşturulmadan önce kimlik doğrulamanın yapılmasını gerektirerek Windows Server’ı hizmet reddi (DoS) saldırılarına karşı korur. NLA ayrıca sunucu sistem kaynaklarını da korur.
Windows PowerShell’i
Daha düşük düzeyde bir perspektiften, gelen RDP bağlantıları bir sunucuda iki Kayıt Defteri değeri ve bir Windows Güvenlik Duvarı kuralı aracılığıyla etkinleştirilir.
Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki komutları çalıştırın. Bu ilki, fDenyTSConnections değerini oluşturur ve onu 0 (kapalı) olarak ayarlar. Bu mantıklı çünkü Terminal Hizmetleri (TS) bağlantılarını reddetmek istemiyoruz.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
Sonraki komut, UserAuthentication (Ağ Katmanı Kimlik Doğrulaması) değerini oluşturur ve etkinleştirir; NLA iyi bir fikirdir ve sunucularınızda varsayılan olarak etkinleştirmeyi düşünmelisiniz.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Ad ‘UserAuthentication’ -Değer 1 -PropertyType dword -Force
Sonraki komut, önceden tanımlanmış “Uzak Masaüstü” Windows Güvenlik Duvarı kuralını etkinleştirir. Ardından, Şekil 3’te gösterildiği gibi doğrulamak için Get-NetFirewallRule PowerShell cmdlet’ini çağırabiliriz.
Enable-NetFirewallRule -DisplayGroup ‘Uzak Masaüstü’
Grup ilkesi
RDP davranışını tüm altyapı sunucularınızda standart hale getirmek isteme şansınız yüksektir. Bu nedenle, bu hedefi gerçekleştirmek için Grup İlkesi’ne dönüyoruz.
RDP sunucu ayarlarını paylaşması gereken sunucuları hedefleyen yeni bir Grup İlkesi Nesnesi (GPO) oluşturarak, bağlayarak ve kapsam belirleyerek başlayın.
Ardından, aşağıdaki Grup İlkesi yoluna gidin ve yeni bir Kısıtlı Gruplar girişi ekleyin (Şekil 4’te gösterilmektedir):
Bilgisayar Yapılandırma İlkeleriWindows AyarlarıGüvenlik AyarlarıKısıtlı Gruplar
Üyeliği, sunucuların yerleşik Uzak Masaüstü Kullanıcıları grubunda özelleştirebilirsiniz; bu grubun üyeleri sunucuya RDP oturumları kurabilir. Yerel Yöneticiler grubuna (ve uzantı olarak, Etki Alanı Yöneticileri genel grubuna) Active Directory’de bu ayrıcalığın otomatik olarak verildiğini unutmayın.
Aşağıdaki üç Grup İlkesi ayarı geçerlidir:
Windows Güvenlik Duvarı gelen RDP istisnaları
RDP oturumları oluşturmak için kullanıcı hakkı
NLA gerektiren
Bilgisayar YapılandırmasıYönetim ŞablonlarıAğAğ BağlantılarıWindows Güvenlik DuvarıEtki Alanı ProfiliWindows Güvenlik Duvarı: Gelen Uzak Masaüstü istisnalarına izin ver
Bilgisayar YapılandırmasıYönetim ŞablonlarıWindows BileşenleriUzak Masaüstü HizmetleriUzak Masaüstü Oturumu Ana BilgisayarBağlantılarıKullanıcının Uzak Masaüstü Hizmetlerini kullanarak uzaktan bağlanmasına izin ver
Bilgisayar YapılandırmasıYönetim ŞablonlarıWindows BileşenleriUzak Masaüstü HizmetleriUzak Masaüstü Oturumu HostSecurityNLA kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektirir
İstemci Bağlantısını Oluşturma
Windows İstemcisi ve Windows Sunucusu, Uzak Masaüstü Bağlantısı adı verilen Microsoft RDP istemcisini içerir. Bu aracı çağırmanın en sevdiğim yolu şudur:
WINDOWS TUŞU+R’ye basın
mstsc (“Microsoft Terminal Hizmetleri İstemcisi” anlamına gelir) yazın
Enter’a bas
Şekil 5’te size Uzak Masaüstü Bağlantısı kullanıcı arayüzünü gösteriyorum.
RDP istemcilerinin güzel yanı, hemen hemen her masaüstü veya mobil işletim sistemi için mevcut olmalarıdır. İşte temsili bir liste:
Android: Microsoft Uzak Masaüstü
iOS: Microsoft Uzak Masaüstü
Linux: rdesktop
macOS: Microsoft Uzak Masaüstü
Windows Phone: Microsoft Uzak Masaüstü
Windows Server’ın aynı anda yalnızca iki eşzamanlı RDP oturumunu desteklediğini unutmayın. Bundan daha fazlasına ihtiyacınız varsa, Uzak Masaüstü Hizmetleri (RDS) Oturum Ana Bilgisayarı sunucu rolünü yüklemeniz ve Microsoft’tan ek RDS bağlantı lisansları satın almanız gerekir.
Son düşünceler
RDP’yi önceki Windows Server sürümlerinde yapılandırdıysanız, Windows Server 2016’nın da aynı şekilde davrandığını göreceksiniz. Bununla birlikte, Microsoft’un sürekli genişleyen “ihlal varsay” güvenlik duruşu ve hibrit bulut senaryosu ve beraberindeki “evcil hayvanları değil sürüleri yönet” felsefesini benimsemesinin, vurgunun açık-kapalı RDP yerine komut satırı otomasyonu üzerinde olduğu anlamına geldiğini unutmayın. GUI oturumları.
Windows Server 2016’daki En İyi 10 Yeni Özellik
BT Uzmanları için Windows 10: Öğreticiler, İpuçları ve Püf Noktaları
BT Profesyonelleri için En İyi 6 Windows 10 Uygulaması