Windows 8.1 ve Windows Server 2012 R2 ile birlikte sunulan Restricted Admin Mode, RDP (Remote Desktop Protocol) kullanarak gerçekleştirilen oturumlarda “pass-the-hash” gibi saldırılara karşı geliştirilen önemli bir güvenlik özelliğidir. Özellikle yöneticiler için, uzak sunuculara yapılan bağlantılarda kimlik bilgisi hırsızlığını önlemek amacıyla tasarlanmıştır.
Geleneksel RDP Bağlantılarındaki Güvenlik Sorunları
Bir sunucuya RDP ile bağlandığınızda, kimlik bilgileriniz uzak sunucuda saklanır. Özellikle yönetici hesaplarıyla gerçekleştirilen bağlantılar, bu bilgilerin ele geçirilmesi halinde ciddi güvenlik açıklarına yol açabilir. Uzak masaüstü sunucuları, genellikle birden fazla kullanıcının erişim sağladığı ve bu nedenle kötü amaçlı yazılımların kolayca yerleşebileceği sistemlerdir. Bu sunucular, saldırganlar için yüksek değerli hedeflerdir.
Örneğin, bir yönetici hesabıyla uzak bir sunucuya bağlandığınızı düşünün. Bu bağlantı sırasında, kimlik bilgileriniz uzak sunucuda geçici olarak saklanır. Eğer bu sunucuya bir kötü amaçlı yazılım bulaşmışsa, saldırganlar bu kimlik bilgilerini ele geçirip daha fazla sisteme erişim sağlayabilir.
Restricted Admin Mode’un Farkı
Restricted Admin Mode sayesinde, mstsc.exe /RestrictedAdmin komutunu kullanarak bir sunucuya bağlandığınızda kimlik bilgileriniz uzak sunucuda saklanmaz. Bu, oturum sırasında kimlik bilgilerinizin kötü niyetli yazılımlar tarafından ele geçirilmesini önler. Ancak bu modun bazı operasyonel sınırlamaları bulunmaktadır:
- Kimlik Bilgilerinin Kullanımı: Bağlantı sırasında, kimliğiniz yalnızca hedef sunucu üzerindeki işlemler için kullanılır. Hedef sunucudan başka bir ağa veya kaynağa erişim sağlamak istediğinizde, kimlik doğrulama için uzak sunucunun bilgisayar hesabı ($SRV1) kullanılır.
Microsoft’un Belirttiği Kısıtlamalar
Microsoft’un dökümantasyonu şu şekilde bir uyarıda bulunur:
“Restricted Admin Mode, hedef bilgisayar dışındaki sunuculara veya ağlara erişimi sınırlayabilir, çünkü kimlik bilgileri yetkilendirilmez.”
Bu nedenle, uzak sunucudan başka bir ağa erişim gerektiren durumlarda bu modun kısıtlamaları göz önünde bulundurulmalıdır.
Grup İlkesi (GPO) ile Yönetim
Restricted Admin Mode’u etkinleştirmek ve zorunlu kılmak için grup ilkesi (GPO) kullanılabilir. Ancak bu ayarın, uzak bağlantıyı başlatan cihazlara uygulanması gerekmektedir. Örneğin, yardım masası çalışanlarının bu modu kullanarak bağlanmasını zorunlu kılabilirsiniz.
GPO Ayarının Konumu:
Computer Configuration > Administrative Templates > System > Credential Delegation > Restrict delegation of credentials to remote servers.
Bu ayar, belirli cihazların sadece Restricted Admin Mode kullanarak bağlantı yapmasını sağlayabilir.
Güvenlik Avantajları ve Sınırlamaları
Avantajları
- Pass-the-Hash Saldırılarının Önlenmesi: Restricted Admin Mode, kimlik bilgilerinizin saklanmaması sayesinde, bu tür saldırılara karşı etkili bir koruma sağlar.
- Sadece Yöneticiler için Geçerli: Bu mod yalnızca yönetici hesapları ile kullanılabilir.
Sınırlamaları
- Ağ Kaynaklarına Erişim: Bu modda, uzak sunucudan başka bir ağa erişim sağlamak, kimlik bilgileri taşınmadığı için mümkün olmayabilir.
- Destek Gereksinimi: Bağlanılan hedef sunucunun Restricted Admin Mode’u desteklemesi gerekmektedir.
Güvenlik Perspektifi: Pass-The-Hash Tartışması
Restricted Admin Mode’un temel avantajı, kimlik bilgilerinin uzak sunucuda saklanmamasıdır. Ancak bu durum, bazı durumlarda saldırganlara fırsat da sunabilir:
- Pass-The-Hash Saldırıları: Önceden, saldırganlar bir yönetici hash bilgisini kullanarak SMB veya RPC protokolleri üzerinden sunuculara erişim sağlayabiliyordu. Günümüzde bu portlar genellikle kapalı olduğundan, saldırganlar RDP protokolü üzerinden hash bilgilerini kullanabilir hale gelmiştir.
- Kimlik Bilgisi Gerekliliği: Normal RDP bağlantılarında, bağlantının kurulması için kullanıcı kimlik bilgilerinin aktarılması zorunluydu. Ancak Restricted Admin Mode’da, kimlik bilgisi aktarılmadan bağlantı kurulabilir.