Uzaktan erişimlerde akla gelen ilk konu güvenliktir. Özellikle bir sistem yöneticileri için bu durum rahatsız edici ve oldukça düşündürücüdür. Windows Server 2008 ile gelen TS gateway özelliği RDP bağlantılarını güvenli hale getirmiştir. Bu makalemizde TS Gateway’e bir SSL (Secure Socket Layer) sertifikası ile güvenli RDP bağlantısı yapıp giden gelen trafiği SSL ile koruma altına nasıl alınır onu inceleyeceğiz. Aşağıda anlatılanları test ortamınızda yapabilmeniz için 3 adet işletim sistemine ihtiyacınız olacaktır. Bunlar;
NYC-CLI1: Windows Vista Enterprise (Client 1)
NYC-CLI2: Windows Vista Enterprise (Client 2)
Bu aşamada TS GAteway server’ı a erişim için bir sertifika oluşturup bunu TS Gateway rolüne sahip sunucuya map edeceğiz. Bunun için aşağıdaki adımları uygulayabilirsiniz.
1) NYC-DC1 sunucusunda TS Gateway Manager’ı açın. Actions menüsünden Properties’e tıklayın.
Resim-1
2) NYC-DC1 Properties diyalog kutusunda SSL Certificate tabına gelin ve Create a self-signed certificate for SSL encryption kutucuğunu işaretleyin.
Resim-2
3) Create Certificate kutucuğuna basın ve oluşturacağınız sertifikanın export edileceği bir klasör seçip Ok tuşuna basın. Sertifikanın kaydedildiğine dair diyalog kutusunu ok ile kapatın.
Resim-3
4) Bir mmc konsolu açın ve Add/Remove Snap-in bölümünden Certificates konsolunu işaretleyin, Add tuşuna basın ve Computer account kutucuğunu işaretleyip Next tuşuna basın. Select computers diyalog kutusundan local computer seçeneğini tıklayın ve Finish ile tamamlayın.
Resim-4
5) MMC konsolunda sırasıyla, Certificates, Trusted Root Certification Authority bölümlerini genişletin Certificates seçeneğine sağ tıklayın ve All Tasks bölümünden Import’a tıklayın.
Resim-5
6) Certificate Import Wizard ekranını next ile geçin, File to import ekranında 3.ncü adımda oluşturduğumuz sertifikanın yolunu gösterin ve next ile devam edin, Certificate Store ekranında Place all certificates in the following store seçeneğini seçin ve next ile devam edin. Finish ile wizard’ı kapatın.
Resim-6
Bu aşamadan sonra oluşturduğumuz bu güvenlik sertifikasını group policy ile dağıtma işlemini yapacağız.
7) Group policy management konsolunu açın. Default domain policy’i editleyin. Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies, bölümlerini genişletin. Trusted Root Certification Authorities seçeneğine tıklayın. Action menüsünden Import seçeneğine tıklayın.
Resim-7
8) Certificate Import Wizard penceresini next ile geçin, File to import penceresinde oluşturduğumuz sertifikanı yolunu yazıp, Next tuşuna basın, Next ve Finish ile wizard’ı sonlandırın.
Resim-8
9) NYC-CLI2 bilgisayarına log on olun ve Remote Desktop tabında Allow connections from computers … (less secure) seçeneğini işaretleyin ve Select Users bölümünden düşük güvenlik bağlantısı ile bağlanacak kullanıcıları ekleyin.
Resim-9
Bu aşamada TS Gateway üzerinde Connection Authorization Policy (CAP) oluşturarak Terminal Services Gateway’e bağlanacak kullanıcılara izin vereceğiz.
NOT: CAP ayrıca daha detaylı bağlantı istekleri, domain üyeliği ve smart card istekleri ile ilgili gereksinimlere de destek vermektedir.
10) TS Gateway Manager konsolundan policies bölümünü genişletin, Connection Authorization Policies’e tıklayın ve Action bölümünden Create a new policy ile sihirbazı başlatın.
Resim-10
11) Sihirbaz başladıktan sonra, Authorization Policies ekranında Create only a TS CAP kutucuğunu işaretleyin ve next tuşuna basın.
Resim-11
12) TS CAP için bir isim verin ve Next tuşuna basın.
Resim-12
13) Requirements ekranında authentication metodu olarak Password, User Group Membership bölümüne de daha önce oluşturduğumuz uzak kullanıcılar grubunu ekleyin. (bu grupta uzaktan bağlanmasını istediğim kullanıcıları bu gruba üye yapmıştım.) Client computer group membership bölümüne ekleme yapmadan Next tuşuna basın. (Resim-13) Finish ile sihirbazı kapatın.
Resim-13
14) Device Redirection ekranında Enable device redirection for all client drivers seçeneğini işaretleyip Next tuşuna basın.
Resim-14
Bu aşamada, TS Gateway’e gelen uzak bağlantı isteklerini bizim istediğimiz bilgisayarların bağlanması için bilgisayar grubu oluşturacağız. Bu yapılandırma bize belirttiğimiz bilgisayarlar dışındakilerin bağlantısına izin vermeyecektir.
15) TS Gateway Manager’dan policies’i genişletin ve Resource Authorization Policies’e tıklayın. Buradan Manage Local Computer Groups seçeneğine tıklayın.
Resim-15
16) Açılan ekranda Create Group tuşuna basın ve açılan pencerede oluşturacağınız grup için bir isim verin. Network Resources tabında NYC-CLI-01,02 ve NYC-DC01 bilgisayarlarını ekleyin.
Resim-16
Bu aşamada Resource Authorization Policy (RAP) oluşturacağız. RAP, TS Gateway’e hangi bilgisayarların TS Gateway’e bağlanacağını belirler.
17) TS Gateway Manager’dan Policies’i genişletin, Resource Authorization Policies’e sağ tıklayın ve create a new policy ile yeni bir policy sihirbazı başlatın.
Resim-17
18) Create only a TS RAP kutucuğunu işaretleyin ve Next tuşuna basın.
Resim-18
19) TS RAP için bir isim verin ve Next tuşuna basın.
Resim-19
20) Computer Group ekranında An existing TS Gateway-managed computer group, or create a new one kutucuğunu işaretleyip Next tuşuna basın. Select an existing TS Gateway-managed computer group kutucuğu işaretleyip Next tuşuna basın.
Resim-20
21) Allowed ports bölümünde Allow connections only through TCP port 3389 kutucuğunu işaretleyip Next tuşuna basın. Finish ile sihirbazı kapatın.
Resim-21
22) TS Gateway yapılandırmasını tamamladıktan sonra artık sıra uzak masaüstü ile bağlanmaya geldi. NYC-CLI-01 bilgisayarına ahmetmutlu2 kullanıcısı ile log on olun. Windows firewall’dan 3389 portu ile erişime izin verin. RDP ekranını açın ve NYC-CLI02 ye uzak masaüstü bağlantısı yapmaya çalışın. Olmadığını göreceksiniz.
Remote desktop connection ekranında advanced tabına gelin ve Settings kutucuğuna tıklayın. Use these TS Gateway server settings kutucuğunu seçin ve TS Gateway’in IP adresini yazın, logon method olarak Ask for password seçeneğini seçin.
Resim-22
23) RDP ekranında General sekmesine gelin ve NYC-CLI-02 yazıp, kullanıcı adı ve parolasını giriniz. (ahmetmutlu2 kullanıcısı ile tekrar log on olmaya çalışın.)
Resim-23
24) Bağlantı sağlandıktan sonra resimdeki gibi artık rdp bağlantılarınız şifreli olarak gidip gelecektir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
