Remote Desktop Services Yüksek Erişilebilirlik Çözümleri Bölüm 18 RD Gateway Politikalarinin Belirlenmesi RAP ve CAP
Remote Desktop Services Yüksek Erişilebilirlik Çözümleri makale serimizin bu bölümünde RDS farmımız içine dâhil ettiğimiz RD Gateway sunucumuz üzerinde güvenlik politikalarımızı belirleyeceğiz.
Bu makalede yapılandıracak olduğumuz işlemlerden sonra RD Gateway üzerinden RDS ortamına bağlantı kurabilecek kullanıcıları, kullanıcı bilgisayarlarını, kullanıcı ayarlarını, süresini vb. birçok politikaları oluşturmuş olacağız.
İlk önce şunu belirteyim. Çözümleri Bölüm 16 RDS Farmına RD Gateway Sunucusunun Eklenmesi makalemiz içinde belirtilen son adımı Configure the Deployment yapılandırmasını yaptıysanız hiçbir kullanıcı bu makale içinde belirtilen işlemleri gerçekleştirmeden RDS ortamına bağlantı gerçekleştiremeyecektir ve yukarıdaki hata ile karşılaşacaktır. RD Gateway üzerinde oluşturulan varsayılan politikalar bağlantıların kabul edilmemesi yönündedir.
RD Gateway üzerinde birçok RD RAP ve RD CAP politikaları oluşturabiliriz. Bu oluşturma işlemlerini tek bir sihirbaz ile yapabildiğimiz gibi her bir politika için ayrı sihirbazları kullanabiliriz. RD Gateway sunucumuz tek bir tane RDS ortamını yöneteceği için bir adet RAP ve bir adet CAP politikaları benim için yeterli olacaktır, bu sebepten mevcut politikaları düzenlemeyi uygun görüyorum.
Connection Authorization Policies ile RD Gateway üzerinden Remote Desktop Bağlantısı kurabilecek kullanıcıları, kullanıcı kimlik doğrulama yöntemlerini, bağlantı sürelerini ve bağlantıları sırasında kullanabilecekleri kaynakları belirleyebilmekteyiz.
Varsayılan değerde oluşturulmuş RDG_CAP_ALLUsers isimli politikamızı düzenliyoruz. İlk olarak bu policynin ismini değiştiriyorum ve RD Gateway CAP Policy 1 ismini veriyorum. Bu policy ismini değiştirmeden önce zaten aktif durumdaydı ve Enable this policy kutusu üzerinde bir değişiklik yapmıyor, aktif olarak bırakıyorum.
Requirements bölümünde Oluşturulan/Düzenlenen bu CAP policysini kullanarak RD Gateway sunucumuza bağlantı gerçekleştirecek kullanıcıları ve gruplarımızı belirliyorum. Bu gruplar RD Gateway üzerinde oluşturulacak yerel kullanıcı ve gruplar olabildiği gibi önerilen etki alanımız içinde bulunan kullanıcı ve grupların kullanılmasıdır. RD Session Host sunucumuza bağlantı izinlerini vermiş olduğum grupları bu bölümde ekliyorum. Her bir grup yetkilerini farklı-farklı denetlemek farklı yetkiler vermek isteseydim ayrı politikalar hazırlayarak bu ihtiyacı karşılayabilirdim. Client computer group membership (optional) bölümünde ise bağlantı yapabilecek bilgisayarları belirleyebilir ve güvenliğimi arttırabilirim. Optional bölüme ekleyecek olduğumuz clientların en az RDP 7.0 aracına sahip olmaları gerekmektedir. Windows Authentication yöntemi olarak Password kutusunu işaretliyorum.
Device Redirection bölümünde RDP bağlantılarında, bağlantıyı kuran bilgisayar üzerindeki hangi kaynakların RDP oturumunda kullanılıp-kullanılmayacağını belirliyoruz. Enable device rediretion for all client devicesseçimini gerçekleştirirsek hiçbir kaynak engellenmeden RD Gateway üzerinden oturuma bağlantı sağlanacaktır. Disable device redirection fort he following client devices types bölümünde seçmiş olduğumuz kaynaklar RD Gateway üzerinde engellenecek ve RD Session Host üzerine yapılan RDP bağlantılarında kullanılmayacaktır. Bölüm 12 Collection Yapılandırılması makalesi içinde Client Settings bölümünde bu kaynaklardan bahsetmiştik.
Bir senaryo düşünelim. Collection yapılandırmamız içinde varsayılan ayarı bıraktık yani bütün kaynaklara izin verdik. CAP politikamızda ise yukarıda görüldüğü gibi Ports (Com and LPT) ve Plug and Play Devices özellikli aygılatımızın engellenmesini istedik. Bağlantılar RD Gateway üzerinden yapıldığı zaman disable olarak yapılandırmış olduğumuz kaynaklar hiçbir şekilde oturuma gitmeyecektir. Ama oturumlar RD Gateway kullanılmadan direk olarak RD Session Host üzerine gerçekleştirilirse Collection üzerinde yapmış olduğumuz yapılandırmalar geçerli olacaktır. Only allow client connections to Remote Desktop Session Host servers that enforce RD Gateway device redirection kutusunu işaretlediğimiz zaman belirlemiş olduğumuz bilgisayarlar bu yapılandırmadan etkilenmeden kaynaklarını oturum içinde kullanabileceklerdir.
Timeouts bölümü Bölüm 12 Collection Yapılandırılması makalesi içinde Client Settings bölümünde Session yapılandırmalarından bahsetmiştik. RD Gateway üzerinde ki Timeouts yapılandırması buna denk gelmektedir. RD Gateway üzerinde belirlemiş olduğumuz Enable idle timeout bölümünü 10 dakika olarak belirledik. Kullanıcımız 10 Dakika boyunca RDP oturumunda bir işlem yapmazsa RD Gateway tarafından oturum sonlandırılacaktır. Enable Session Timeout bölümünü yapılandırmıyoruz. Bu bölüm içinde yer alan oturum zamanlamaları RD Session Host üzerinde yapmış olduğumuz zaman yapılandırması ile beraber çalışacaktır. Önerim bu yapılandırmaların Collection Seviyesinde yapılandırılmasıdır. Sebebini bir senaryolaştıralım. RD Gateway üzerinde Idle zamanını 10 dakika verdik Collection yapılandırmasında 15 Dakika olarak belirledik. Kullanımız RD Gateway üzerinden RDP bağlantısı kurdu ve 10 dakika boyunca bir işlem yapmadı. Bunun sonrasında RD Gateway bağlantıyı kesecektir, hâlbuki Collection yapılandırılmasında idle zamanının dolması için 5 dakikalık bir zaman dilimi daha var. 10 dakika sonrasında RD Gateway bağlantıyı Idle olarak algılayıp kesecek RD Session Host ise idle olarak bekleyen oturumun bağlantısı kesildiği için Disconnected from session ayarlarını devreye alacaktır.
Özet olarak CAP politikaları ile RDP bağlantılarımızı daha güvenli ve merkezi olarak yönetebiliyoruz. Fakat burada yaptığımız CAP Politikalarımızı Collection yapılandırması ile birlikte, uyumlu yapılması daha sağlıklı ve güvenli bağlantıları bizlere sağlayacaktır.
Resources Authorization Policies ile RD Gateway üzerinden Remote Desktop Bağlantısı kurabilecek bilgisayarları, bilgisayarların barınmış olduğu networkü ve bağlantı kuracakları RDP belirleyebilmekteyiz.
Varsayılan değerde oluşturulmuş RDG_RAP_ALLComainComputers isimli politikamızı düzenliyoruz. İlk olarak bu policynin ismini değiştiriyorum ve RD Gateway RAP Policy 1 ismini veriyorum. Bu policy ismini değiştirmeden önce zaten aktif durumdaydı ve Enable this policy kutusu üzerinde bir değişiklik yapmıyor, aktif olarak bırakıyorum.
User Group CAP Policysinde olduğu gibi RD Gateway sunucusu kullanarak RDP Oturumuna bağlantı kuracak kullanıcılarımızı User Group Altına ekliyorum.
Network Resources bölümünde RD Gateway üzerinden RDP oturumuna bağlantı kuracak bilgisayarları ve networkleri belirliyoruz. Select an Active Directory Domain Services network resource grup ile etki alanımız içinde bulunan ve RDP oturumu gerçekleştirecek olan bilgisayarları ekleyebiliriz. Select ans existing RD Gateway-managed group or create new one özelliği ile RD Gateway üzerinde oluşturmuş olduğumuz local bilgisayarları ekleyebilir veya bu bölümde RDP bağlantısı gerçekleştirecek bilgisayarları oluşturabiliriz. Bizim gerçekleştirecek olduğumuz seçim Allow users to connect to any network resource özelliğidir. Bu özellik ile RDP bağlantısını gerçekleştirecek olan bilgisayarların herhangi bir networkten ve herhangi bir RDP aracı yüklü bulunan bir aygıttan yapılmasını sağlıyoruz.
Allowed Ports bölümü Rd Gateway üzerinden RD Session Host sunucularımıza yapılacak olan RDP portlarını belirleyebiliriz. Allow connections only to port 3389 ile varsayılan değer kullanılarak bağlantının yapılmasını isteyebiliriz. Güvenliğimiz için RDP portunu değiştirmediysek bu bölüm seçilmelidir. Allow connections to these ports ile farklı, birden fazla portu belirleyebilmekteyiz. RD Gateway sunucumuz birden fazla RD Session host veya RDP özelliği aktif duruma getirilmiş birden fazla sunucunun RDP oturumunu denetleyecekse ve portları farklılık gösteriyorsa bu bölümü seçmeliyiz ve RD Session host sunucumuz üzerinde düzenlemiş olduğumuz portları bu bölüme eklemeliyiz. Birden fazla port yazılma işlemi ; karakteri ile ayrılmalıdır. Allow connection to any port ile herhangi bir port sınırlandırılması olmadan bağlantının yapılmasını belirleyebiliriz.
RAP ve CAP politikalarımızı düzenledik ve artık RD Gateway sunucumuz üzerinde RDP bağlantıları sağlanabilir duruma geldi. Monitoring ekranını kontrol ettiğimiz zaman hangi bilgisayarın, hangi RD Session Host sunucusuna ne zaman, hangi port kullanılarak bağlandığı gibi detaylı bilgileri görebilmekteyiz ve bu oturumları yönetebilmekteyiz.