Restricted Admin Modu Nedir?
Windows işletim sisteminde sunulan Restricted Admin Modu, özellikle uzaktan masaüstü bağlantılarında güvenliği artırmak için geliştirilmiş bir oturum açma modudur. Sistem yöneticilerine yönelik olarak tasarlanan bu özellik, bağlantı sırasında kullanıcı kimlik bilgilerini bellekte saklamayarak kimlik bilgisi hırsızlığı gibi tehditlere karşı etkili bir koruma sağlar. Siber saldırılara karşı hassas olan sistemlerde kimlik bilgilerinin güvenliğini sağlamayı hedefler.
İlk olarak Windows 8.1 ve Windows Server 2012 R2 sürümlerinde tanıtılan bu mod, “Pass-the-Hash” ve “Pass-the-Ticket” gibi saldırılara karşı güçlü bir savunma mekanizması sunar. Kullanıcı adı ve parolalar yerine yalnızca yetki token’ları kullanıldığı için hassas kimlik bilgileri bellekte depolanmaz. Bu durum, sistem yöneticilerinin kimlik doğrulama verilerini saldırganlara karşı korumalarına olanak tanır.
Standart RDP oturumları sırasında yönetici kimlik bilgilerinin oturum açılan cihazın belleğinde saklanması, kötü niyetli kişilere bu bilgilere ulaşarak sistemlere sızma fırsatı tanır. Birçok kullanıcının eriştiği uzak masaüstü sunucularında bu durum, saldırganlar için cazip bir hedef oluşturur. Kimlik bilgisi hırsızlığına karşı güvenlik sağlayan bu mod, yönetici kimlik bilgilerini bellekten saklamadan yalnızca yetki token’ları ile oturum açılmasına imkan tanır; böylece saldırganlar hassas bilgilere ulaşamaz.
RDP bağlantısında Restricted Admin Modu ile bir bilgisayara bağlandığınızda, kimlik doğrulaması yapılır ancak kimlik bilgileriniz bellekte depolanmaz. Böylece uzak sunucuda kötü amaçlı yazılım veya kötü niyetli kullanıcı varsa kimlik bilgileriniz bu tehditlerden korunur, güvenlik seviyesi artırılmış olur.
Yukarıdaki tablodan da görülebileceği gibi, sıkılaştırma yapılmamış varsayılan Active Directory domain ortamlarında kullanılan birçok kimlik doğrulama ve bağlantı yönteminde, parolalar bellek üzerinde açık olarak saklanmaktadır.
Bu Özelliği Kullanırken Dikkat Edilmesi Gerekenler
Sınırlı Yönetici modu ile uzak bir bilgisayara bağlandığınızda, kimlik bilgileriniz o sunucuda saklanmaz. Örneğin, kendi bilgisayarınızdan SERVER01 adlı bir sunucuya bağlandığınızı düşünelim. SERVER01 üzerindeki uzak masaüstü oturumunuzda gerçekleştirdiğiniz tüm işlemler, doğrudan sizin kimliğiniz yerine SERVER01 bilgisayar hesabı üzerinden yürütülür. Dolayısıyla, SERVER01 sunucusundan başka bir ağ kaynağına erişmeye çalışırsanız, kimlik bilgileri saklanmadığı için bu erişim sizin hesabınızla değil, $SERVER01 bilgisayar hesabı ile yapılır.
Microsoft belgelerinde bu durum şöyle açıklanmaktadır: “Kısıtlı mod, kimlik bilgileri devredilmediği için hedef bilgisayarın ötesindeki diğer sunucularda veya ağlarda bulunan kaynaklara erişimi sınırlayabilir.“
Yani, kendi bilgisayarınızdan SERVER01 sunucusuna bağlanıp, bu uzak masaüstü oturumundan SERVER02 sunucusundaki yönetici paylaşımına erişmeye çalışırsanız, bağlantı sizin hesabınız yerine $SERVER01 bilgisayar hesabı kullanılarak yapılacaktır.
Yukarıdaki görselde görüleceği üzere standart bir RDP oturumunda, ilk olarak destek personeli, Uzak Masaüstü istemcisine bağlanmak için kimlik bilgilerini girer. Bu kimlik bilgileri, RDP istemcisi aracılığıyla şifrelenmeden, düz metin olarak uzak sunucuya gönderilir. Bu işlem sonrasında, uzak sunucuda oturum açıldığında, kullanıcı, kendi kimlik bilgileriyle sunucu kaynaklarına erişebilir.
Restricted Admin Modu etkinleştirildiğinde ise kullanıcı, RDP istemcisine bağlanmak için kimlik bilgilerini girer, ancak bu mod aktif olduğu için kullanıcı bilgileri sunucuya gönderilmez. RDP istemcisi, kimlik bilgilerini iletmeden bağlantıyı kurar ve sunucuya bağlanıldığında, kullanıcı yerine bağlanan makinenin kimliği kullanılarak kaynaklara erişilir. Bu durumda, kullanıcının kimlik bilgileri bellekte saklanmadığından güvenlik seviyesi artırılmış olur. Ancak, oturum açıldıktan sonra başka kaynaklara erişilmek istendiğinde, bu erişim bağlanan makine hesabı ile yapılacağı için SSO işlevi devreye girmez.
Restricted Admin Modunu Kullanmanın Artıları ve Eksileri
Bu mod, kimlik bilgilerini koruma açısından önemli avantajlar sağlasa da bazı sınırlamaları da beraberinde getirir. Sistem güvenliğini artıran ve yönetici oturumları için daha güvenli bir ortam yaratan bu modun avantajlarını ve dezavantajlarını şu şekilde özetleyebiliriz:
Artı Yönleri
- Yüksek Güvenlik: Restricted Admin Modu, oturum açma sırasında kimlik bilgilerini bellekte saklamadığı için yönetici hesaplarının çalınma riskini büyük ölçüde azaltır. Bu, özellikle hassas sistemlerde siber saldırılara karşı önemli bir güvenlik katmanı sağlar.
- Pass-the-Hash Koruması: Kimlik bilgileri bellekte saklanmadığı için, Pass-the-Hash saldırılarına karşı dirençlidir. Bu özellik, kimlik doğrulama sürecinde güvenliği daha da artırarak sistemin korunmasını sağlar.
- Merkezi Yönetim ve Uyum Kolaylığı: Birden fazla sunucuya ve sisteme erişimde aynı güvenlik politikasını uygulayarak merkezi yönetim ve uyum avantajı sunar. Özellikle büyük ölçekli organizasyonlarda, kimlik bilgisi güvenliğini sağlamak için kullanımı yaygındır.
Eksi Yönleri
- Desteklenmeyen Sistemlerde Kullanılamaması: Restricted Admin Modu yalnızca Windows 8.1, Windows Server 2012 R2 ve üstü sürümlerle uyumlu olduğundan, eski sistemlerle uyumsuzdur. Bu da bazı kullanıcılar için sınırlayıcı olabilir.
- Uyumluluk Problemleri: Restricted Admin Modu tüm kimlik doğrulama protokollerini desteklemediğinden dolayı bazı uygulamalarla uyumsuz olabilir. Özellikle eski protokoller veya uygulamalar kullanılıyorsa, Restricted Admin Modu beklenen güvenliği sağlamayabilir.
- Yalnızca RDP için Geçerlilik: Restricted Admin Modu yalnızca RDP bağlantıları için geçerli olduğundan, diğer bağlantı türleri için ek güvenlik önlemleri gerektirir. Örneğin, uzaktan dosya paylaşımı veya diğer uzak bağlantılar bu mod ile korunmaz.
Protected Users Grubu ile Arasındaki Farklar
Protected Users Grubu ve Restricted Admin Modu, her ne kadar benzer güvenlik ihtiyaçlarına hitap etse de farklı özelliklere sahiplerdir. Protected Users Grubu, Active Directory üzerinde kullanıcıyı doğrudan etkileyen bir güvenlik önlemidir ve NTLM, Kerberos gibi çeşitli kimlik doğrulama protokollerini sınırlayarak güvenliği artırır. Öte yandan Restricted Admin Modu, doğrudan bir RDP bağlantısında devreye girer ve kimlik bilgilerini bellekte saklamaz.
| Özellik | Restricted Admin | Protected Users Grubu |
|---|---|---|
| Kapsam | RDP bağlantılarında kimlik bilgilerinin korunması için geliştirilmiştir. | Kimlik doğrulama yöntemlerini daha güvenli hale getirmek için tasarlanmış bir grup. |
| Güvenlik Sağlayıcıları | Kimlik bilgileri bellekte saklanmaz; yalnızca kimlik doğrulama token’ları kullanılır. | NTLM, Kerberos, ve Digest gibi protokolleri sınırlayarak güvenliği artırır. |
| Uygulama Yöntemi | RDP komutu ile aktifleştirilir. | Active Directory üzerinde kullanıcıyı “Protected Users” grubuna ekleyerek uygulanır. |
| Esneklik | Yalnızca RDP bağlantıları ile sınırlıdır. | Kullanıcıyı diğer kimlik doğrulama sistemleri için de koruma altına alır. |
Nasıl Aktif Edilir ?
1.Yöntem
Hedef sunucu üzerinde yapacağımız bu değişiklikle varsayılan olarak kapalı gelen Restricted Admin modunu etkinleştirmiş olacağız. Bu özellik, varsayılan olarak devre dışı olarak gelmektedir. Restricted Admin Modu, Group Policy Object (GPO) veya Regedit aracılığıyla etkinleştirilebilir. Aşağıdaki kayıt defteri anahtar ayarlarını oluşturarak bu modu hedef sunucularda etkinleştirebilirsiniz:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LsaDisableRestrictedAdmin (REG_DWORD) adında yeni bir değer oluşturuyoruz. Bu değeri “0” olarak ayarladığımızda, uzaktan bağlanan istemciler için Restricted Admin modunu etkinleştirir. “1” olarak ayarladığımızda ise bu işlevselliği devre dışı bırakır.
Bu değişiklikleri yaptıktan sonra, ayarların etkili olması için sistemin yeniden başlatılması gerekebilir.
Restricted Admin modunu etkin şekilde kullanabilmek için, uzaktan masaüstü istemci uygulamasına belirli bir parametre ile çalıştırmak gerekir. Bu özelliği kullanmak için, Windows Remote Desktop Protocol (RDP) uygulaması olan mstsc.exe‘yi her defasında /RestrictedAdmin parametresiyle çalıştırmanız gerekir. Bu sayede, kullanıcı parolası ağ üzerinden gönderilmeden güvenli bir oturum açılır. Bu işlemi CMD, PowerShell veya Run uygulamasında aşağıdaki komutla gerçekleştirebilirsiniz:
mstsc /restrictedadmin
2.Yöntem
RDP uygulaması olan mstsc.exe dosyasını her defasında /RestrictedAdmin parametresi ile çalıştırmak mümkün olmayabilir. Bunun yerine GPO uygulayarak kullanıcıları buna zorunlu tutabilirsiniz. Bu sayede kullanıcılar mstsc.exe uygulamasını normal bir şekilde çalıştırmış dahi olsalar yinede sınırlandırılmış yetki ile oturum açabileceklerdir.
GPO oluştururken dikkat edilmesi gereken önemli bir nokta, bu GPO’nun yalnızca RDP bağlantısı yapması planlanan client sistemlere uygulanması gerektiğidir. Hedef sunuculara herhangi bir policy uygulamamıza gerek yoktur. Örneğin, eğer BT personelleri sunucu sistemlere RDP ile bağlanıyorsa, oluşturduğumuz GPO’yu BT personellerinin bilgisayarlarının yer aldığı Organization Unit (OU) yapısına uygulamamız gerekmektedir. Bu sayede, sadece ilgili kullanıcılar için Restricted Admin Mode etkin hale getirilmiş olur.
Restricted Admin Mode özelliğini Grup İlkesi (GPO) kullanarak client sistemlerde etkinleştirmek için aşağıdaki adımları takip edebilirsiniz:
Yeni bir Group Policy Object (GPO) oluşturduktan sonra, oluşturduğunuz GPO’yu çift tıklayarak açın.
Sol menüde bulunan;
Configuration/Policies/Administrative Templates/System/Credentials Delegationbölümünü açın ve sağ tarafta yer alan seçeneklerden “Restrict delegation of credentials to remote servers” seçeneğine çift tıklayın.
Enabled seçeneğini seçtikten sonra, Use the following restricted mode menüsünden Require Restricted Admin seçeneğini seçin ve ardından OK butonuna tıklayarak pencereyi kapatın. Bu ayar, RDP oturumları sırasında istemci kimlik bilgilerinin uzak sunucuya gönderilmesini kısıtlar ve Restricted Admin Modu’nun etkinleşmesini sağlar.
İlgili GPO değişikliklerini client sistemlere uyguladıktan sonra, uzak masaüstü bağlantısı kurduğunuzda Restricted Admin Mode‘un aktif olduğunu doğrulamanın birkaç yolu vardır. Bu yollardan biri, Event Viewer üzerinden Security loglarında 4624 Event ID‘ye sahip logları filtrelemektir. Aşağıdaki ekran görüntüsünde de görüleceği üzere, Restricted Admin Mode‘un aktif olduğu bu loglarda belirtilmiştir.
Bu yöntem, güvenli oturum açma işleminin başarıyla gerçekleştirildiğini ve Restricted Admin Mode‘un etkinleştirildiğini doğrulamanıza olanak tanır.
Bir makalenin daha sonuna geldik. Umarım faydalı olmuştur. Başka bir makalede görüşmek üzere 🙂