Terminal server teknolojisi, bilindiği üzere varsayılan ayar olarak TCP/IP 3389 numaralı iletişim protokolü üzerinden çalışmaktadır. Varsayılan ayarlar değiştirilmediği zaman bir güvenlik açığı teşkil etmektedirler. Bunun nedeni ise çok basitdir. Varsayılan ayarlar ilk kurulum aşamasında, ilgili protokoller için, yazılımcı firma tarafından uygun görülmüş ve sisteme atanmış, herkesin bilmiş olduğu kullanıma hazır ayarlardır. Değiştirilmesi tavsiye edilen varsayılan ayarlara örnek olarak ADSL modemlerimizin erişim IP nosunu, Şifresini, Routerlarımızın şifresini örnek verebiliriz. Biz bu ayarları kendi kurum veya güvenlik önlemlerimiz çerçevesinde değiştirmediğimiz sürece, herkesin bilmiş olduğu bir çalışma ortamında bulunmuş olacağız.
Terminal Server Teknolojisinin kullanmış olduğu 3389 numaralı portunu değiştirerek hizmetimizin daha güvenli olmasını sağlayacağız. Bu işlemleri yapmadan önce terminal server’ dan özet olarak bahsetmemiz gerekirse, günümüzde bir çok şirket bütçe problemi nedeniyle Terminal Server Teknolojisine ihtiyaç duyarlar.
Zamanla büyüyen bir şirket, sahip olmuş olduğu donanım veya yazılımların, ihtiyaçlarına cevap vermemesi durumunda, işlemlerin yürüyebilmesi için, eski bilgisayarlarını, yazılımlarını güncelleme ihtiyacına mecbur kalırlar. Ve bu şekilde yapılın bir güncelleştirme işlemi, şirket bütcesine aşırı maliyete sebeb olmaktadır. Bu bütçe problemini yaşamak istemeyen bir çok şirket, mevcut bulunan envanterini değiştirmek yerine Güçlü bir Server alarak, mevcut bulunan eski makinelerini, thin clientlerini (aptal terminal), bu güçlü servere bağlayarak, Server’un sahip olmuş olduğu hızı ve performansı bu yavaş olan clientlerimizın hizmetine sunarak çözümler bulmaktadırlar.
Mevcut bulunan Server’ımıza, Control Paneli | Ad or Remove Programs | Ad or Remove Windows Components yolunu takip ederek Terminal Server hizmetimizi kuruyoruz. etmenizi öneriyorum..
Terminal server’ımızın kullanıma hazır olduğunu varsayarak, Güvenliğimizi sağlamak için yapılacak olan ilk işlem olan Registry değişikliği için HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp yolunu takip ederek PortNumber anahtarını açıp, istemiş olduğumuz port numarasının decimal değeri olarak değiştirebiliriz.
İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecektir.
Güvenliğimizi sağlamanın haricinde, şirket bünyemizde birden fazla Terminal Server varsa eğer, ilgili Registry anaharını değiştirme ihtiyacı tekrardan duyarız.
Terminal Serverımızı dışarıya publish (yayınlamak) için güvenlik sebebiyle ISA Server 2004 kullanacağım. ISA server üzerinde Terminal Server’ımızı yayınlamak için Create New Server Publishing Rule mizi çalıştırıyoruz.
Publish Rulemize bir isim veriyoruz.
Terminal Serverımızın sahip olduğu İp numarasını yazıyoruz.
Protokol tipi olarak RDP (Terminal Services) Server’ ı seçiyorum. Eğer yayınlamak istemiş olduğumuz Terminal Serverımızın Port numarasını güvenlik sebebiyle değiştirmemiş olsaydık Next diyerek işlemimize devam edebilirdik, fakat güvenlik sebebi nedeniyle DEFAULT port numaramızı değiştirmiş olduğumuz için bu bölümde, PORTS bölümü altında gerekli ayarları yapmamız gerekecek.
Değiştirmiş olduğumuz port numaralarını giriyoruz.
Birden fazla Terminal Server yayınlama ihtiyacı duyduğumuz zaman, Resim 3 de yapmış olduğumuz gibi Terminal Serverımıza belirtmiş olduğumuz port numarasını buradan tanımlıyoruz. Biz güvenliğimizi sağlamak için değiştirmiş olduğumuz yeni RDP 3390 port numaramızı tanımlayıp ok diyerek ilgili bölümden çıkıyoruz ve next diyerek ilerliyoruz.
Kuralımızı Finish diyerek bitiriyoruz
Kuralımızı uyguladıktan sonra localde yapacak olduğumuz yapılandırmalarımızı tamamladık. Sıra son aşama olan Client Makinelerimizi yapılandırmaya geldi.
Client makinemizden Terminal Serverimiza bağlanmaya çalışıyoruz.
Client makinemizin üzerinde varsayılan ayar olarak, RDP protokolü TCP/IP 3389 tanımlı olduğu için istek Terminal Serverında 3389 numaralı portuna gitmektedir. Fakat bu portumuzu Güvenlik sebebiyle değiştirdiğimiz için Terminal Server yapılandırmamızı yapmış olsak bile istek başarısız duruma düşüyor.
Bu problemi aşmak için Başlat | Çalıştır | mstsc –v Termimal Server İP nosu : atamış olduğumuz port numarası yazmamız bizlere çözüm olacaktır.
Fakat bu şekilde yapmış olduğumuz uygulama, değiştirmiş olduğumuz yeni RDP port numarasını, browserimizda göstermekte ve çalışmamızın bir anlam ifade etmediğini bizlere söylemektedir.
Bu problemi de ortadan kaldırmak için, Terminal Serverımızda yapmış olduğumuz Registry değişikliğinin aynısını Client makinemizde yaparak çözüm bulabiliriz. İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecek.
Makinemiz tekrardan açıldıktan sonra, terminal server ip numarasının sonuna :port numarası yazmamıza gerek kalmadan ve terminal servere bağlandıktan sonra browser üzerinde port numarasını göstermeden hizmet vermekte ve Terminal Serverimizin güvenliğini sağlamaktadır.
Fatih KARAALİOĞLU
Çözüm Park Bilişim Portalı Kurucu Üyesi
