Yeni sunucu işletim sistemlerinin, yeni son kullanıcı işletim sistemleri ile birlikte tam uyumluluk sağladığını daha önceki makale, webcast vb. bilgilendirmeleri içinde bahsetmiştik. Yeni Sunucu işletim sistemi Windows Server 2012 R2 ile Windows Client 8.1 son kullanıcı işletim sistemi içindeki özelliklere baktığımız zaman bu geleneğin sürdüğünü görebilmekteyiz. Bu geleneği hatırlattıktan sonra Remote Desktop Protokolünde eklenen yeni özellik Restricted Admin Mode sadece Windows Server 2012 R2 işletim sistemlerinde kullanıldığını hatırlatmak isterim. Windows 8.1 son kullanıcı işletim sisteminden daha önce piyasaya sürülmüş işletim sistemleri için RDP 8.1 sürümüne yükselttikten sonra Windows Server 2012 R2 Sunucu işletim sistemlerine Restricted Admin Mode ile bağlantıyı sağlayabilmekteyiz. Özetlememiz gerekirse RDP 8.1 ile Windows Server 2012 R2 işletim sistemleri bu özellik için uyumludur.
Restricted Admin Mode Nedir, kullanım alanları nelerdir ve gereksinimleri nelerdir vb. soruları bu makale içinde sizlere paylaşacağız.
Restricted Admin Mode özelliği uzaktan bağlantı kurulan Windows Server 2012 R2 işletim sistemlerinin güvenliğini arttırmak için geliştirilmiş bir özelliktir. Geliştirilen bu güvenlik özelliği Pass-the-Hash (PtH) Attacksteknolojisi kullanılarak yapılan saldırıların önüne geçmek için gerçekleştirilmiştir. Bu saldırı tekniği ve önlemleri için Microsoft tarafından yayınlanan Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques dokümanını inceleyebilirsiniz.
PtH saldırısı ağırlıklı olarak Uzak Masa Üstü Protokolü ve PsExec gibi araçların kullanımı sonrasında yapılmaktadır ve geçmişi 1997 yıllarına kadar dayanmaktadır ve Windows işletim sistemlerine gerçekleştirilmektedir. Saldırıyı gerçekleştirecek olan kötü amaçlı kişi Windows işletim sistemlerinde bulunan NTLM şifreleme özelliğini kullanarak bu saldırıyı yapabilmektedir. Windows İşletim Sistemleri üzerinde bulunan geçmişe dönük kullanıcı ve şifre bilgilerinin tutulmuş olduğu veri tabanı çeşitli saldırı araçları kullanılarak ele geçirilmekte ve kimlik bilgilerimiz çalınmaktadır.
Restricted Admin Mode özelliği bu saldırının önüne geçmek için gerçekleştirilmiştir. RDP 8.1 aracımız ile Windows Server 2012 R2 Sunucu işletim sistemlerimize uzaktan bağlandığımız zaman, bağlantıyı gerçekleştirmiş olduğumuz son kullanıcı işletim sistemi ile bağlantıyı yapmış olduğumuz Windows Server 2012 R2 işletim sistemimiz arasında kullanıcı kimlik bilgileri gidip gelmeyecektir.
Bağlantıyı yapmış olduğumuz RDP 8.1 aracına sahip son kullanıcı işletim sistemimiz, bağlantının yapılacak olduğu Windows Server 2012 ile aynı domain içinde değilse veya son kullanıcı işletim sistemimiz çalışma grubu içinde çalışıyorsa kullanıcı adı ve parola bir seferlik sorulacaktır.
Eğer bağlantıyı yapmış olduğumuz RDP 8.1 aracına sahip son kullanıcı bilgisayarımız ile bağlantının yapılacak olduğu Windows Server 2012 R2 sunucu işletim sistemi aynı domain üyesi durumundaysa kullanıcı adı ve parolayı yazmamız gerekmemektedir. Mstsc /restrictedadmin özelliği ile bağlan dediğimiz zaman kullanıcı adı ve parola sorulmaksızın uzaktan bağlantı yapılabilecektir.
Restricted Admin Mode özelliği ile Windows Server 2012 R2 işletim sistemine uzaktan bağlantı yapabilmemiz için bağlantıyı yapacak olduğumuz kullanıcının bağlantının yapılacak olduğu Windows Server 2012 R2 işletim sistemi üzerinde Local Admin Grubunun üyesi olmak zorundadır. Aksi durumda kimlik bilgisi doğrulandıktan sonra yukarıda ki hata ile karşılaşırız.
Bağlantının yapılmak istenildiği Windows Server 2012 R2 işletim sistemimizin olay günlüklerini incelediğimiz zaman hatalı uzak masa üstü isteğinin başarısız olduğunun bilgisini görebilmekteyiz.
Aynı kullanıcımız ile Restricted Admin Mode özelliği kullanılmadan bağlantı yapılmak istenildiği zaman oturumun başarılı bir şekilde açıldığını görebilmekteyiz.
Bu iki olay günlüğü incelendiği zaman Logon Type ’ lerin farklı olduğunu görebiliyoruz. Restricted Admin Mode ile bağlantı yapmak istediğimiz zaman veya bildiğimiz gelenekselleşen yöntem ile bağlantı yapmak istediğimizde oluşan Olay günlüğü 4624 ‘ tür. Başarılı, başarısız oturum açma işlemlerinde bu olay günlüğü altında toplanmaktadır. Restricted Admin Mode ile oturum açıldığı veya açılmaya çalışıldığı zaman olay günlüğünün içinde bulunan Logon Type değeri 10 olacaktır. Gelenekselleşen yöntem ile oturum açıldığı veya açılmak istenildiği zaman Logon Type değeri 3 olacaktır.
Restricted Admin Mode özelliği ile bağlanılmak istenilen Windows Server 2012 R2 Sunucu işletim Sistemimizin Local Admin gruplarına bu özellik kullanılarak bağlantı yapacak kullanıcılarımızı ekliyoruz.
Sunucumuz üzerinde bu değişikliği yaptıktan sonra mstsc /restrictedadmin komutuyla bağlantı yaptığımız zaman oturumun başarılı bir şekilde açıldığını yukarıda ki olay günlüğünde görebilmektesiniz.
Bağlantıyı gerçekleştirmiş olduğumuz kullanıcımızın yetkilerine whoami /groups komutuyla baktığımız zaman Builtin\administrators grubunun üyesi olduğunuz görebiliyoruz.
Kullanıcımız Restricted Admin özelliği ile sunucumuza bağlantıyı gerçekleştirdikten sonra network üzerinde bulunan ve kullanıcımıza gerekli izinler verilmiş olan bir klasörü görebilmektesiniz. Kullanıcımız bu klasör üzerinde Full Control hakkına sahip durumdadır.
Fakat kullanıcımız network üzerinden bu klasöre erişmek istediği zaman yetkilerinin olmadığını söyleyen bir uyarı ile karşı karşıya gelmektedir.
Makalemizin sonunda bu özellik niçin kullanılır?
Kurumumuz içinde bulunan Test Adminler veya dışarıdan hizmet aldığımız danışmanlar, işlemlerini yerine getirilebilmesi için yetkili kullanıcı ve bir takım haklar isteyebilirler. Vermiş olduğumuz bu kullanıcı ile networkümüz içinde bulunan diğer sunuculara erişim yapabilirler. Çünkü bu kişilere kullanıcı adı ve şifreyi paylaşmıştık.
Restricted Admin mode özelliği ile domainimiz içinde bulunan bir bilgisayarı bu kişilere verip ve işlemleri yerine getirecekleri sunucu üzerinde local admin yaptığımız zaman parola bilgisini paylaşmadan isteklerini karşılayabiliyoruz. Ve üstelik paylaşmış olduğumuz bu kullanıcı network üzerinde çok kritik belgelerin bulunduğu bir dosya sunucusu üzerinde haklara sahip olsa bile bu dokümanlara erişim gerçekleştirememektedir.