Windows RDP Hack ve Önlemleri

22 Ağustos 2011 ile admin

Herşey bir müşterimin benim XP makinam “Security Event Log Full” hata mesajı veriyor demesi ile başladı.Acaba ne doldurmuştur diye olay görüntüleyiciye baktığımda başarısız birçok logon girişimi hata mesajı ile karşılaştım. 
Başarılı Logon    –> 528: Successful Logon
Başarısız Logon –> 529: Logon Failure – Unknown user name or bad password


sonra bilgisayarda Uzak Masaüstünün açık olduğunu gördüm ve nedenini sorduğumda kullanıcısının evden akşamlarıda sisteme bağlanıp çalıştığı söylendi ve 3389 nolu portun ADSL modemin NAT ayarlarından bu bilgisayarı  gösterdiğini gördüğümde sorun netleşmişti, birisi çeşitli yöntemler ile modemler üzerinde 3389 nolu uzakmasa üstü portu açık olan cihazları buluyor ve sonra kullanıcı adı ve şifreleri deneyerek sonuca ulaşmaya çalışıyordu.

Müşterime hemen bu port numarasını değiştirmemiz gerektiğini ve adsl modem üzerinde nat işleminin yeni port numarasına göre yapılması gerektiğini söyledim öncelikli olarak aşağıdaki adresten Microsoftun port değiştirmek için çıkarmış olduğu yamayı indirdim ve çift tıkladım.
Adres: http://support.microsoft.com/kb/306759

Mevcut Uzak masaüstü port numarasını gördüm

Bu numarayı 7777 diye bir numara ile değiştiridim.

Kapat deyip yama işlemini bitirdim.

Sistemi yeniden başlattım.

Bilgisayar açıldığında güvenlik duvarının durumuna baktım devredışı idi ve bu port değişikliği yaptığım için önemliydi.
Ya böyle bırakacaktım yada açıp güvenlik duvarı üzerinden gerekli ayarları yapacaktım.

Güvenlik duvarını açtım.

Özel Durumlar sekmesine geçtim.

Bağlantı noktası ekle diyerek biraz önce girmiş olduğum port numarasına Bilgisayar üzerindeki güvenlik duvarınındanda izin vermiş oldum.

sonra ADSL modem üzerinde 3389 olan port numarasını 7777 olarak aynı bilgisayara yönlendirdim.

Dışardaki bir bilgisayardan aynı ip adresine bu sefer sonuna  yeni port numarası ekleyerek bağlantı yaptığımda her hangi bir sorun ile karşılaşmadığımda işlem tamam dedim.

Yapılacak ayarlar bitmişti.Bir kez daha Auditing yapmanın ne kadar yararlı birşey olduğunu görmüş oldum eğer ilk başta oturum açma olaylarını takip ettirmemiş olsam bunun farkına varılmayacaktı.

Bu arada en kolay uzak masaüstü yapabilen serverları bulma yolu yine www.google.com.tr den geçiyor. 🙂