Tüm sistemler çalışır durumda 21 kabul edilen kripto paralar · Monero hoş karşılanır KYC'siz politika
ChainVPS

Eğitimler

Windows RDP Sunucusu Nasıl Kurulur ve Güvenli Hale Getirilir

Temiz kurulmuş bir Windows sunucusundan sıkılaştırılmış, offshore bir uzak masaüstüne — saldırganları gerçekten durduran ayarlar ve sunucuyu adınızdan uzak tutan tedarik tercihleri.

Eğitimler7 dakikalık okuma readChainVPS ekibi

Windows RDP Sunucusu Nasıl Kurulur ve Güvenli Hale Getirilir

Bir Windows RDP sunucusu, ancak onu sıkılaştırdığınız gün kadar güvenlidir — bu rehber sizi sıfır bir makineden, gerçekten güvenebileceğiniz, kilitli ve offshore bir uzak masaüstüne taşır.

Remote Desktop Protocol (RDP), herhangi bir yerden tam bir Windows ortamı çalıştırmanın en hızlı yoludur, ancak aynı zamanda internette en acımasızca taranan servislerden biridir. Varsayılan yapılandırma hem pratik hem de aynı ölçüde tehlikelidir.

Bu rehber asıl işi ele alır: ilk Windows RDP kurulumu, kaba kuvvet saldırılarını ve istismarı gerçekten durduran ayarlar ve sunucuyu tedarikten günlük kullanıma kadar tamamen offshore tutmanın yolları.

Aslında ne kurduğunuz

RDP, her Windows Server sürümü ve Windows Pro ile birlikte gelir. Varsayılan olarak TCP 3389 portu üzerinden grafiksel bir masaüstü sunar ve bu, yalnızca sizin yapılandırdığınız — ya da yapılandırmayı ihmal ettiğiniz — kimlik bilgileri ve ağ kurallarıyla korunur.

Protokol

RDP, masaüstünü ve girişleri şifreli bir kanal üzerinden aktarır. Ancak şifreleme tek başına istemciyi kimlik doğrulamaz — bunun için NLA vardır.

Risk

3389 portu sürekli olarak toplu şekilde taranır. Zayıf parolaya sahip, dışa açık bir sunucu haftalar değil, saatler içinde ele geçirilir.

Hedef

Yalnızca sizin erişebildiğiniz, masaüstü yüklenmeden önce kimliği doğrulanan ve gerçek kimliğinizle hiçbir bağı olmayan bir sunucu.

Adım 1 — RDP'yi doğru şekilde etkinleştirin ve yapılandırın

  1. 1

    Uzak Masaüstünü etkinleştirin

    Sistem > Uzak Masaüstü yolunu izleyip özelliği açın. Ya da PowerShell karşılığını çalıştırın: Terminal Server kayıt defteri anahtarında fDenyTSConnections değerini 0 olarak ayarlayın.

  2. 2

    Ağ Düzeyinde Kimlik Doğrulamayı zorunlu kılın

    İstemcilerin bir oturum oluşturulmadan önce kimlik doğrulaması yapmasını sağlamak için NLA'yı etkinleştirin. Bu tek başına, kimlik doğrulama öncesi saldırıların büyük bir kısmını engeller.

  3. 3

    Özel bir yönetici hesabı oluşturun

    RDP'yi asla yerleşik Administrator hesabıyla çalıştırmayın. Adlandırılmış bir hesap oluşturun, ona uzun bir parola cümlesi verin ve yalnızca bu hesabı Remote Desktop Users grubuna ekleyin.

  4. 4

    Varsayılan Administrator hesabını devre dışı bırakın

    Otomatik araçların bilinen bir kullanıcı adını hedef alamaması için yerleşik Administrator hesabını yeniden adlandırın veya devre dışı bırakın.

NLA, bu listedeki tek başına en değerli ayardır. İstemciniz NLA'yı desteklemiyorsa istemciyi düzeltin — sunucuda NLA'yı devre dışı bırakmayın.

Adım 2 — Ağ yolunu kilitleyin

RDP ele geçirmelerinin çoğu akıllıca istismarlar değil, tüm internete açık bırakılmış bir porta yönelik kimlik bilgisi saldırılarıdır. Önce bu açıklığı küçültün.

  • Dinleme portunu 3389'dan farklı bir porta değiştirin — bu, otomatik tarayıcıların büyük bölümünü durdurur, ancak bu gerçek bir güvenlik önlemi değil, sadece gizlemedir.
  • Bağlanacağınız sabit bir adresiniz varsa, Windows Firewall'daki RDP kuralını belirli kaynak IP'lerle sınırlayın.
  • Daha da iyisi, RDP'yi hiç açık internete maruz bırakmayın — bir VPN veya WireGuard arayüzü üzerinden tünelleyin ve 3389 portunu güvenlik duvarında yalnızca o arayüze kısıtlayın.
  • Etkileşimli oturum açmaya ihtiyaç duymayan sunucularda RDP'yi tamamen devre dışı bırakın.

Uyarı: portu değiştirmek, hedefli bir saldırgana karşı yalnızca kozmetik bir önlemdir. Bunu IP izin listesi veya bir VPN ile birleştirin — standart olmayan bir portu asla bir güvenlik sınırı olarak görmeyin.

Adım 3 — Kimlik doğrulamayı sıkılaştırın

Saldırganların er ya da geç portu bulacağını varsayın. Bir sonraki savunma hattı, kimlik bilgilerini tahmin etmeyi işe yaramaz, kaba kuvvetle kırmayı da acı verici hale getirmektir.

Uzun parola cümleleri

Akıllıca görünen parolalar yerine 20 karakterden uzun rastgele parola cümleleri kullanın. Modern kırma yöntemlerine karşı uzunluk, karmaşıklıktan daha etkilidir.

Hesap kilitleme politikası

Tekrarlanan başarısız denemelerin hesabı belirli bir süre için dondurması için bir kilitleme eşiği belirleyin. Bu, kaba kuvvet saldırısını saldırganın kendi ilerlemesini engelleyen bir mekanizmaya dönüştürür.

RDP kullanıcılarını sınırlayın

Yalnızca Remote Desktop Users grubundaki hesaplar oturum açabilir. Bu grubu fiziksel olarak mümkün olduğunca küçük tutun — idealde tek bir hesap.

İkinci bir faktör ekleyin

İş akışınız izin verdiğinde RDP'nin önüne bir MFA çözümü veya bir sertifika/ağ geçidi katmanı ekleyin. Tek başına bir parola, tek bir arıza noktasıdır.

Adım 4 — Yamalayın, kayıt tutun ve izleyin

RDP'nin ciddi kimlik doğrulama öncesi güvenlik açıkları geçmişi vardır. Yaması yapılmamış bir sunucu, parolanız ne kadar güçlü olursa olsun istismar edilebilir.

  • Windows Update'i güncel tutun — en kötü RDP CVE'leri solucan gibi yayılabilen türdendi ve yaygın şekilde istismar edilmeden çok önce yamalanmıştı.
  • Oturum açma olaylarının denetimini etkinleştirin, böylece Security olay günlüğünde başarısız ve başarılı girişleri görebilirsiniz.
  • Event ID 4625'i (başarısız girişler) ve 4624'ü (başarılı girişler) düzenli olarak inceleyin — 4625'te ani bir artış, sunucunuzun yoklandığı anlamına gelir.
  • Sürekli kaba kuvvet saldırılarını etkisiz hale getirmek için tekrarlanan başarısızlıklardan sonra IP'leri otomatik olarak engelleyen bir araç kullanmayı düşünün.

Offshore hale getirmek

Sıkılaştırma sunucuyu korur. Gizlilik ise sizi korur. Bu ikisi ayrı sorunlardır ve çoğu RDP rehberi ikincisini tamamen göz ardı eder.

Gizlilik, tedarik aşamasında başlar

Gizliliği işlem bittikten sonra sonradan eklemeniz mümkün değildir. Sunucu gerçek adınız, e-postanız ve kartınızla sipariş edildiyse, makine teknik olarak sıkılaştırılmış olsa da kişisel olarak açıkta kalır. Kimlik izi, ödemeyi yaptığınız an oluşur.

  • Bir sunucu başlatmak için KYC veya kişisel doğrulama gerektirmeyen bir sağlayıcı üzerinden tedarik yapın.
  • Adınıza bağlı bir kart yerine ön ödemeli bir kripto bakiyesinden ödeme yapın — özellikle Monero, herkese açık defterde hiçbir iz bırakmaz.
  • Hesap için ana e-posta kutunuz yerine özel bir e-posta takma adı kullanın.
  • Gerçek IP'nizin asla 3389 portuna doğrudan dokunmaması için hazır sunucuya bir VPN veya Tor uyumlu bir yol üzerinden bağlanın.

ChainVPS tam olarak bu model üzerine kurulmuştur. Offshore RDP sunucularımız KYC olmadan tedarik edilir ve Monero dahil 21 coin arasından ön ödemeli bir kripto bakiyesiyle ödenir; böylece makine hiçbir zaman gerçek dünyadaki bir kimlikle ilişkilendirilmez — güncel Windows yapılandırmaları için /offshore-rdp sayfasına bakın.

Önemli çıkarım: gerçek kimliğiniz altında sipariş edilen güvenli bir RDP sunucusu yine de bir gizlilik riski taşır. Gizlilik, kurulum sonrası işaretlenecek bir kutu değil, bir tedarik kararıdır.

Sunucunun bulunduğu yeri seçmek

Gizlilik öncelikli bir kurulum için yargı bölgesi, yapılandırma kadar önemlidir. Güçlü veri koruması olan ve aşırı veri saklama uygulamaları bulunmayan bir konumdaki sunucuya baskı yapmak belirgin şekilde daha zordur.

Gizlilik odaklı lokasyonlarNL, CH, RO, IS, MD, LU
Toplam lokasyon sayısıDünya genelinde 15
Bant genişliğiSınırsız
DDoS korumasıVarsayılan olarak dahil
Ödeme modeliÖn ödemeli bakiye yükleme, Monero dahil 21 coin

İsviçre veya İzlanda gibi gizlilik odaklı bir bölge seçmek, yukarıdaki teknik sıkılaştırmayı buna saygı gösteren bir yasal ortamla birleştirir. Daha ağır etkileşimli iş yükleri için aynı offshore model, dedicated ve GPU sunucularımıza da uzanır.

Sıkı bir başlangıç öncesi kontrol listesi

  • NLA etkinleştirildi ve zorunlu kılındı.
  • Yerleşik Administrator hesabı devre dışı bırakıldı; Remote Desktop Users grubunda tek bir adlandırılmış hesap var.
  • RDP açık internete maruz bırakılmadı — VPN, IP izin listesi veya her ikisi de kullanılıyor.
  • Uzun rastgele parola cümlesi ve hesap kilitleme politikası mevcut.
  • Windows tamamen yamalı ve oturum açma denetimi etkin.
  • Sunucu KYC olmadan tedarik edildi ve ön ödemeli kripto bakiyesinden ödendi.
RDP portunu 3389'dan değiştirmek onu güvenli hale getirmeye yeter mi?

Hayır. Bu, sizi rastgele tarayıcılardan gizler ama tüm portları tarayan hedefli bir saldırgana karşı hiçbir işe yaramaz. Bunu bir gürültü azaltma önlemi olarak görün ve NLA, IP kısıtlamaları veya bir VPN ile güçlü bir hesap kilitleme politikasıyla birleştirin.

Ağ Düzeyinde Kimlik Doğrulama (NLA) nedir ve neden önemlidir?

NLA, Windows bir masaüstü oturumu oluşturmadan önce istemcinin kimlik doğrulaması yapmasını zorunlu kılar. Bu, kimlik doğrulama öncesi saldırıların geniş bir kısmını engeller ve bir saldırganın tüketebileceği kaynakları azaltır; bu yüzden asla kapatılmamalıdır.

Bir RDP sunucusu gerçekten offshore olabilir mi?

Evet, ama yalnızca gizlilik tedarik aşamasından itibaren dahil edilmişse. KYC istemeyen bir sağlayıcıdan sipariş verin, Monero gibi ön ödemeli bir kripto bakiyesinden ödeyin, bir e-posta takma adı kullanın ve gerçek IP'nizin sunucuya asla dokunmaması için bir VPN üzerinden bağlanın.

Özel (private) bir RDP sunucusu için hangi lokasyonu seçmeliyim?

Güçlü veri koruması olan, gizlilik odaklı bir yargı bölgesi — ChainVPS, 15 lokasyon arasında NL, CH, RO, IS, MD ve LU seçeneklerini sunar. Güçlü bir yasal ortamı yukarıdaki sıkılaştırma adımlarıyla birleştirmek size en iyi genel duruşu kazandırır.

Uygulamaya geçirin.

$3.49/mo'dan başlayan bir offshore sunucu dağıtın · 21 kripto para birimi · KYC yok.