Windows Server 2012 R2 işletim sistemi yüklü sunucularda önerilen güvenlik yapılandırmaları aşağıdaki gibidir.
Windows Firewall aktif duruma getiriniz.
Denetim masasından (Control Panel) Windows Firewall çalıştırınız.
Windows Firewall with Advanced Security penceresinde Overview bölümünde bulunan Windows Firewall Properties linkine tıklayınız.
Açılan pencerede Domian Profile, Private Profile ve Public Profile de firewall state bölümünü off dan on duruma getiriniz. Apply butonuna basınız.
Windows Firewall with Advanced Security penceresinde Inbound Rules tıklıyoruz.
RDP izin vermek için Remote Desktop – User Mode (TCP-In) ve Remote Desktop – User Mode (UDP-In) kurallarınız aktif duruma getiriyoruz. Burada dikkat etmeniz gereken detay profile sütununda bulunan domain ve public seçeneğidir. Sunucunuz bir domain controller yapısına bağlı çalışıyorsa domin olan kuralı seçerek işlem gerçekleştirmeniz gerekiyor. Eğer sunucunuz bir domain yapısına dahil değil ise public olan kuralı enable rule etmeniz yeterlidir.
RDP erişim iznini sadece belli IPler ile limitlemek isterseniz Remote Desktop – User Mode (TCP-In) kuralını çift tıklayarak açınız.
Remote Desktop – User Mode (TCP-In) Properties penceresinde Scope sekmesine tıklayınız. Remote IP adress bölümünde These IP adresses: seçeneğini işaretleyiniz. Add… butonuna basınız.
IP Adress penceresinde This IP address or subnet seçeneği işaretleyerek IP adresinizi veya IP bloğunuzu giriniz. OK butonuna basınız. Remote Desktop – User Mode (TCP-In) Properties penceresinde Apply butonuna basınız.
Bu işlemler sonrası RDP erişiminiz sadece belirlemiş olduğunuz IP veya IP adresleri üzerinden sağlanacaktır.
Ping atıldığında sunucunuzun ping taleplerine cevap vermesini istemiyorsanız yada istiyorsanız aşağıdaki işlemleri uygulayabilirsiniz. Ping isteklerine Windows sunucularda ICMPv4 servisi cevap vermektedir. Bunun için Windows Firewall with Advanced Security penceresinde Inbound Rules sağ tıklayarak New Rule tıklayınız.
New Inbound Rule Wizard penceresinde Rule Type adımında Custom seçeneğini işaretleyip Next butonuna basıyoruz.
New Inbound Rule Wizard penceresinde Program adımında All programs seçeniğini işaretliyoruz. Next butonuna basıyoruz.
New Inbound Rule Wizard penceresinde Protocol and Ports adımında Protoclo type seçeniğini ICMPv4 seçiyoruz. Next butonuna basıyoruz.
New Inbound Rule Wizard penceresinde Scope adımında statik IP tanımlaması yaparak ilgili kuralın hangi IPlere uygulanmasını istiyorsanız IP yada IP adreslerini bu bölümden girebilirsiniz. Local IP adresleri için üst bölümü uzak IP erişimleri için aşağıdaki bölümü kullanmanız gerekmektedir. Biz bu dokümanda Any IP address olarak bırakıyoruz. Tüm IPlere action bölümünde belirleyeğimiz kritere göre uygulamasını sağlamış olacağız.
New Inbound Rule Wizard penceresinde action adımında yapmak istediğimiz izin yada bloklama işlemini seçiyoruz. ICMPv4 servisinin dışardan engellenmesini istiyorsanız block the connection izin verilmesini istiyorsak allow the connection seçeneğini seçerek işlemimize next butonuna basarak devam ediyoruz. Biz bu doküman için engelleme yaptığımızdan dolayı block the connection seçeneğini işaretliyorum.
Profile adımında domain, private ve public seçeneğini seçiyor next butonuna basıyoruz.
Name adımında kuralımıza isim tanımlayarak finish butonuna basıyoruz. Bu işlemde finish butonuna basmadan önce sunucu IP adresine, başka bir bilgisayar yada sunucu üzerinden ping atmanızı öneririm bu şekilde kuralın aktif olduğunu test etmiş olursunuz.
Powershell açıyoruz.
ping “IP adresiniz” –t şeklinde yazarak ping işlemini izliyoruz.
Finish butonuna basabilirsiniz.
Powershell pencremizi kontrol ediyoruz. Gördüğünüz gibi ping artık cevap vermiyor Kuralımız başarı ile tanımlanmıştır.
RDP portuna çok fazla login denemesi (bruteforece) alıyorsanız REDP portunu değiştirerek güvenlik önlemlerini arttırabilirsiniz.
RDP portunu değiştirmek için Başlat, arama kutucuğuna regedit yazarak Kayıt Defteri Düzenleyicisi’ni başlatın.
Registry editor penceresi açılacaktır. Bu pencerede HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber dizinini açınız.
PortNumber sağ tıklayıp modify… basınız. Edit DWORD (32-bit) value penceresi açılacaktır.
Base bölümünden Decimal seçeneğini seçiniz. Value data bölümüne RDP portunu yapmak istediğiniz. Port numarasını yazını size tavsiyem en az 4 haneli bir rakam girmenizdir. (varsayılan port 3389 dur)
Ok butonuna basarak sisteminizi yeniden başlatınız. Sistem yeniden başlatıldıktan sonra RDP portunuz yeni girmiş olduğunuz değer ile bağlantı kurabilirsiniz.
Not: Base menüsünden decimal (ondalık sistemi) seçtiğinizden emin olarak port numaranızı değiştiriniz.
Port number bölümünde data sütununda bulunan parantes içindeki rakamlar yeni port numaranızdır.
Temel Windows server 2012 R2 güvenlik önlemlerini almış bulunuyorsunuz. Kullandığınız uygulama ve servislere göre güvenlik önlemlerinizi temel olarak bu yapıda düzenleyebilirsiniz.