Uzak Masaüstü Protokolü (RDP) Kullanarak Windows Sunucunuza Giriş Yapma

Uzak Masaüstü Protokolü (RDP), TCP port 3389 üzerinden uzaktaki bir Windows makinesine şifreli, tam grafik erişimi sağlayan tescilli bir Microsoft ağ protokolüdür. Sunucudan istemciye ekran çıktısını, istemciden sunucuya ise klavye/fare girişini ileterek fiziksel olarak bulunmadığınız bir makinede canlı etkileşimli bir oturum açmanızı sağlar.

Sunucu yöneticileri için RDP, bir Windows Server örneğini yönetmenin birincil yöntemidir; ister veri merkezindeki bare-metal bir makine, ister VPS Hosting ortamı, isterse Windows Server 2019, 2022 veya sonraki sürümleri çalıştıran bir Dedicated Server olsun. Bu kılavuz, RDP’yi etkinleştirme, gerçek dünya saldırı vektörlerine karşı güvenliğini sağlama, Windows, macOS ve Linux’tan bağlanma ve yöneticileri hazırlıksız yakalayan hataları teşhis etme gibi eksiksiz iş akışını kapsamaktadır.

RDP Arka Planda Nasıl Çalışır?

Tek bir yapılandırma ayarına dokunmadan önce, protokolün mimarisini anlamak sorun giderme sürecinde büyük fayda sağlar.

RDP, TCP üzerinden (ve multimedya yönlendirmesi için isteğe bağlı olarak UDP üzerinden) çalışır ve tüm modern Windows Server sürümlerinde aktarım şifrelemesi için TLS 1.2/1.3 kullanır. Oturum yığını, farklı veri türlerini eş zamanlı olarak taşıyan birkaç sanal kanaldan oluşur:

• Grafik kanalı — RemoteFX veya GDI hızlandırma kullanılarak sıkıştırılmış ekran güncellemeleri
• Giriş kanalı — klavye ve fare olayları
• Pano kanalı — çift yönlü pano paylaşımı
• Sürücü/yazıcı yönlendirme kanalları — yerel kaynakların uzak oturuma eşlenmesi
• Ses kanalı — uzak ses oynatma ve kayıt yönlendirmesi

Her kanal, varsayılan olarak port 3389‘e yönelik tek bir TCP bağlantısı üzerinden çoğullanır. Sunucu tarafındaki bileşen TermService (Remote Desktop Services) olup dinleyici, çekirdek düzeyinde RDPWinST.sys tarafından yönetilir. Dinleme portunu değiştirdiğinizde, bu sürücünün hizmet başlangıcında okuduğu bir kayıt defteri değerini değiştirmiş olursunuz.

Ağ Düzeyi Kimlik Doğrulama (NLA), CredSSP (Credential Security Support Provider) kullanarak oturum öncesi bir kimlik doğrulama katmanı ekler. NLA etkinleştirildiğinde, sunucu tam bir masaüstü oturumu tahsis etmeden önce istemcinin geçerli kimlik bilgileriyle kimliğini doğrulaması gerekir; bu da oturum açma ekranına yönelik hizmet reddi ve kaba kuvvet saldırılarının saldırı yüzeyini önemli ölçüde azaltır.

Ön Koşullar Kontrol Listesi

Bağlantı denemeden önce aşağıdaki her öğeyi doğrulayın:

• RDP etkin bir Windows Server örneği (2016, 2019 veya 2022)
• Sunucu için genel IPv4 adresi veya çözümlenebilir bir ana bilgisayar adı
• Sunucuda geçerli bir yönetici düzeyinde hesap
• Yerel makinenizde yüklü bir RDP istemcisi
• Hem işletim sistemi güvenlik duvarında hem de yukarı akış ağ güvenlik duvarı veya güvenlik grubunda açık olan port 3389 (veya özel portunuz)
• İstemci tarafında NLA desteği (tüm modern Windows, macOS ve Linux RDP istemcilerinde varsayılan olarak etkindir)

Adım 1: Windows Server’da RDP’yi Etkinleştirme

RDP, yeni Windows Server kurulumlarında varsayılan olarak devre dışıdır. Etkinleştirmek için iki güvenilir yöntem mevcuttur.

Yöntem A: GUI (Sistem Özellikleri)

1. Server Manager‘ı açın veya Win + R tuşuna basın, sysdm.cpl yazın ve Enter’a basın.
2. Remote sekmesine gidin.
3. Remote Desktop altında Allow remote connections to this computer seçeneğini seçin.
4. Allow connections only from computers running Remote Desktop with Network Level Authentication seçeneğinin işaretli olduğundan emin olun.
5. OK‘a tıklayın.

Yöntem B: PowerShell (Otomasyon için Tercih Edilen)

Başsız veya betikli dağıtımlar için PowerShell daha hızlı ve betiklenebilirdir:

# Enable RDP
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' `
    -Name "fDenyTSConnections" -Value 0

# Enable NLA
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "UserAuthentication" -Value 1

# Allow RDP through Windows Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Confirm the service is running
Set-Service -Name TermService -StartupType Automatic
Start-Service TermService

Güvenlik Duvarı Kuralını Doğrulama

Yerleşik güvenlik duvarı kural grubu “Remote Desktop”, gerekli gelen kuralları kapsar. Şu komutla doğrulayın:

Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select-Object DisplayName, Enabled, Direction

Bir bulut sağlayıcısının güvenlik grubunun arkasındaysanız (cPanel ile VPS veya yönetilen VPS ortamlarında yaygındır), sağlayıcının harici güvenlik duvarı panelinde de port 3389‘i açmanız gerekir; yalnızca işletim sistemi güvenlik duvarı yeterli değildir.

Adım 2: Sunucunun Genel IP Adresini Bulma

Sunucu Konsolundan

Yükseltilmiş bir Komut İstemi açın ve şunu çalıştırın:

ipconfig /all

Etkin ağ bağdaştırıcısı altındaki IPv4 Address değerini arayın. Birden fazla NIC’e sahip bir sunucuda (özel donanımda yaygındır), varsayılan ağ geçidiyle çapraz referans yaparak genel ağa bağlı bağdaştırıcıyı belirleyin.

Daha temiz bir çıktı için PowerShell kullanın:

Get-NetIPAddress -AddressFamily IPv4 | Where-Object { $_.IPAddress -notlike "127.*" } |
    Select-Object InterfaceAlias, IPAddress

Hosting Kontrol Panelinizden

Sunucuyu bir hosting sağlayıcısı aracılığıyla temin ettiyseniz, genel IP kontrol paneli panosunda listelenir. AlexHost Dedicated Servers için IP, sağlama işleminin hemen ardından istemci alanında görüntülenir.

Önemli uç durum: Sunucunuz NAT’ın arkasındaysa (örneğin özel bir bulut veya dahili ağa sahip bir hipervizör), ipconfig tarafından gösterilen IP özel bir RFC 1918 adresi olacaktır. NAT ağ geçidinin genel IP’sine bağlanmanız ve port 3389 üzerinde sunucunun özel IP’sine port yönlendirmesi yapılandırmanız gerekecektir.

Adım 3: RDP Üzerinden Sunucuya Bağlanma

Windows’tan

Yerleşik istemci mstsc.exe (Microsoft Terminal Services Client)’tır. Çalıştır (Win + R) veya Başlat menüsünden başlatın:

mstsc /v:YOUR_SERVER_IP:3389

Sürücü yönlendirmesi devre dışı bırakılmış tam ekran oturumu için (güvenlik odaklı bir varsayılan):

mstsc /v:YOUR_SERVER_IP /f /nodrives

GUI’de:

1. Sunucu IP’sini Computer alanına girin.
2. Ekstra kimlik bilgisi istemini önlemek için kullanıcı adını önceden doldurmak üzere Show Options‘a tıklayın.
3. Experience sekmesi altında, oluşturmayı optimize etmek için uygun bağlantı hızını seçin.
4. Connect‘e tıklayın, ilk bağlantıda sertifika uyarısını kabul edin (güvenlik kritikse sertifika parmak izini doğrulayın) ve parolanızı girin.

macOS’tan

Microsoft’un resmi Microsoft Remote Desktop uygulaması (Mac App Store’da ücretsiz olarak mevcuttur) önerilen istemcidir.

1. Uygulamayı açın ve + düğmesine, ardından Add PC‘ye tıklayın.
2. Sunucu IP’sini PC Name alanına girin.
3. User Account altında Add User Account‘a tıklayın ve kimlik bilgilerinizi girin.
4. İsteğe bağlı olarak Display ayarlarını ve Devices & Audio yönlendirmesini yapılandırın.
5. Oturumu başlatmak için kaydedilen bağlantıya çift tıklayın.

Linux’tan

Linux’ta iki olgun seçenek mevcuttur:

Remmina (GTK tabanlı, masaüstü ortamları için önerilir):

sudo apt install remmina remmina-plugin-rdp   # Debian/Ubuntu
sudo dnf install remmina remmina-plugin-rdp   # RHEL/Fedora

Remmina’yı başlatın, yeni bir bağlantı oluşturun, protokol olarak RDP‘yi seçin, sunucu IP’sini ve kimlik bilgilerini girin ve bağlanın.

FreeRDP (komut satırı, betikleme veya başsız istemciler için idealdir):

sudo apt install freerdp2-x11
xfreerdp /v:YOUR_SERVER_IP /u:Administrator /p:'YourPassword' /cert:ignore /dynamic-resolution

/cert:ignore bayrağı sertifika uyarısını bastırır; kontrollü bir ortamda kabul edilebilir, ancak üretim ortamında uygun sertifika sabitlemeyle değiştirilmelidir.

RDP İstemci Karşılaştırması

Adım 4: RDP’yi Gerçek Dünya Tehditlerine Karşı Güçlendirme

RDP, internette en aktif hedef alınan hizmetlerden biridir. Shodan sürekli olarak milyonlarca açık RDP uç noktasını dizine ekler ve otomatik kaba kuvvet kampanyaları 7/24 çalışır. Aşağıdaki önlemler, herhangi bir üretim sunucusu için isteğe bağlı değildir.

Varsayılan Dinleme Portunu Değiştirme

3389‘den standart dışı bir porta geçiş, otomatik tarayıcıların büyük çoğunluğunu ortadan kaldırır. Kayıt defterini düzenleyin:

$newPort = 54321  # Replace with your chosen port
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "PortNumber" -Value $newPort -Type DWord

# Update firewall rule
New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound `
    -Protocol TCP -LocalPort $newPort -Action Allow

# Disable the default rule
Disable-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Restart-Service TermService

Yeni porta izin vermek ve 3389‘i engellemek için bulut güvenlik grubunuzu güncellemeyi unutmayın.

IP Adresine Göre Erişimi Kısıtlama

Yönetim iş istasyonunuzun statik bir IP’si varsa, RDP’yi yalnızca o IP ile sınırlayın:

Set-NetFirewallRule -DisplayName "RDP Custom Port" `
    -RemoteAddress "YOUR_ADMIN_IP"

Hesap Kilitleme İlkesini Uygulama

Hesap kilitleme eşiği yapılandırarak kaba kuvvet saldırılarını önleyin. Grup İlkesi’nde (gpedit.msc):

• Hesap kilitleme eşiği: 5 geçersiz deneme
• Hesap kilitleme süresi: 30 dakika
• Hesap kilitleme sayacını sıfırla: 15 dakika sonra

Veya PowerShell aracılığıyla:

net accounts /lockoutthreshold:5 /lockoutduration:30 /lockoutwindow:15

Ağ Geçidi Olarak VPN veya SSH Tüneli Dağıtma

En sağlam yaklaşım, RDP’yi genel internete hiç açmamaktır. RDP’yi bir VPN (WireGuard veya OpenVPN) veya SSH tünelinin arkasına yerleştirin. Yöneticiler önce VPN’e bağlanır, ardından sunucunun özel IP’sine RDP yapar. Bu, saldırı yüzeyini tamamen ortadan kaldırır.

Windows Defender Credential Guard’ı Etkinleştirme

Windows Server 2016 ve sonrasında Credential Guard, kimlik bilgisi karmalarını sanallaştırma tabanlı bir güvenlik bölgesinde izole ederek güvenliği ihlal edilmiş bir RDP oturumundan pivot yapabilecek pass-the-hash saldırılarını önler.

RDP Oturumlarını Denetleme ve Günlükleme

Grup İlkesi aracılığıyla Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Logon/Logoff altında denetimi etkinleştirin. Hem başarı hem de başarısızlık olaylarını günlüğe kaydedin. Günlükleri bir SIEM’e iletin veya en azından Event Viewer’da Event ID 4624 (başarılı oturum açma) ve Event ID 4625 (başarısız oturum açma) olaylarını düzenli olarak inceleyin.

Adım 5: Yaygın RDP Bağlantı Hatalarını Giderme

Bağlantı Reddedildi (Hata Kodu 0x204 / “Uzak bilgisayara ulaşılamıyor”)

Bu neredeyse her zaman bir güvenlik duvarı veya yönlendirme sorunudur.

# Test from the client machine (replace with your server IP and port)
Test-NetConnection -ComputerName YOUR_SERVER_IP -Port 3389

TcpTestSucceeded False döndürürse, port engellenmiştir. Şunları kontrol edin:

1. Sunucudaki işletim sistemi güvenlik duvarı (Get-NetFirewallRule -DisplayGroup "Remote Desktop")
2. Bulut sağlayıcısının güvenlik grubu veya ACL’si
3. İstemci ile sunucu arasındaki ara donanım güvenlik duvarı

Kimlik Doğrulama Hatası (“Bir kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor.”)

Bu genellikle istemcinin sunucu tarafından gereken Credential Security Support Provider (CredSSP) sürümünü desteklemediği anlamına gelir; genellikle bir Windows güvenlik güncellemesinin (CVE-2018-0886 yaması) ardından ortaya çıkar. Sunucuda düzeltme:

# Temporary workaround — update the client instead when possible
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters' `
    -Name "AllowEncryptionOracle" -Value 2 -Type DWord

Kalıcı düzeltme, güncellenmiş CredSSP protokolünü destekleyen yamalı bir sürüme RDP istemcisini güncellemektir.

“Kullanılabilir Uzak Masaüstü Lisans Sunucusu olmadığından uzak oturum kesildi”

Bu durum, sunucuya Remote Desktop Session Host (RDSH) rolü yüklendiğinde ancak hiçbir RD Lisanslama sunucusu yapılandırılmadığında ortaya çıkar. Basit yönetimsel erişim için (çok kullanıcılı RDSH dağıtımları değil), RDSH rolünü kaldırın veya 120 günlük bir yetkisiz kullanım süresi yapılandırın:

# Check licensing mode
(Get-WmiObject -Namespace root/CIMV2/TerminalServices -Class Win32_TerminalServiceSetting).LicensingType

2 değeri Cihaz Başına, 4 değeri Kullanıcı Başına anlamına gelir. Yalnızca yönetici erişimi için değer 5 (yapılandırılmamış / yetkisiz kullanım süresi) olmalıdır.

Oturum Açtıktan Sonra Siyah Ekran

RDP bağlantısında siyah ekran genellikle üç nedenden birini gösterir:

• Explorer.exe çökmesi: Görev Yöneticisi’ni açmak için Ctrl + Alt + End tuşuna basın, ardından Dosya > Yeni Görev Çalıştır’dan explorer.exe‘i çalıştırın.
• Ekran sürücüsü çakışması: Grup İlkesi aracılığıyla RDP oturumunda donanım hızlandırmayı devre dışı bırakın.
• GPU uzaktan erişim sorunu: Özel GPU’lu sunucularda (GPU Hosting iş yükleri için geçerli), RemoteFX vGPU bağdaştırıcısının düzgün yapılandırıldığından emin olun.

Yavaş veya Gecikmeli RDP Oturumu

mstsc‘deki bağlantı deneyimi ayarlarını düzenleyerek performansı optimize edin:

mstsc /v:YOUR_SERVER_IP /f

Experience sekmesinde LAN (10 Mbps or higher) seçeneğini belirleyin ve yüksek gecikmeli bağlantılarda maksimum yanıt hızı için Desktop background, Font smoothing ve Desktop composition seçeneklerini devre dışı bırakın.

RDP ve Alternatif Uzaktan Erişim Protokolleri

Windows Server yönetimi için RDP, performans, yerel entegrasyon ve özellik derinliği açısından üstün seçenek olmaya devam etmektedir. SSH, Linux tabanlı VPS Hosting ortamları için tercih edilen protokoldür.

Birden Fazla RDP Oturumunu ve Kaydedilen Kimlik Bilgilerini Yönetme

RDP Bağlantı Dosyalarını Kaydetme

mstsc, sürüm kontrolü yapabileceğiniz düz metin dosyaları olan .rdp yapılandırma dosyalarını destekler:

full address:s:YOUR_SERVER_IP:3389
username:s:Administrator
prompt for credentials:i:1
audiomode:i:0
redirectdrives:i:0
redirectclipboard:i:1

server.rdp olarak kaydedin ve başlatmak için çift tıklayın ya da şu şekilde çağırın:

mstsc server.rdp

Kimlik Bilgisi Yöneticisi

Windows’ta kaydedilen RDP kimlik bilgileri Credential Manager‘da (control keymgr.dll) saklanır. RDP erişimine ihtiyaç duyan otomatik betikler veya CI/CD ardışık düzenleri için cmdkey yardımcı programını kullanın:

cmdkey /generic:YOUR_SERVER_IP /user:Administrator /pass:YourPassword
mstsc /v:YOUR_SERVER_IP
cmdkey /delete:YOUR_SERVER_IP

Kalıcı kimlik bilgisi ifşasını önlemek için kullanımdan hemen sonra kimlik bilgilerini silin.

Pratik Temel Çıkarım Kontrol Listesi

Bunu dağıtım öncesi ve olay sonrası doğrulama matrisi olarak kullanın:

İlk Kurulum

• Kayıt defterinde fDenyTSConnections = 0 aracılığıyla RDP etkinleştirildi
• NLA zorunlu kılındı (UserAuthentication = 1)
• TermService Otomatik olarak ayarlandı ve çalışıyor
• Doğru port için güvenlik duvarı kuralı etkin

Ağ ve Erişim Kontrolü

• Varsayılan port 3389 standart dışı bir portla değiştirildi
• Bulut güvenlik grubu yeni portu yansıtacak şekilde güncellendi
• Güvenlik duvarı kuralında IP izin listesi yapılandırıldı
• RDP doğrudan internete açık değil (VPN ağ geçidi tercih edilir)

Kimlik Doğrulama ve Güçlendirme

• Hesap kilitleme ilkesi yapılandırıldı (5 deneme / 30 dakika kilitleme)
• RDP erişimi olan tüm hesaplar için güçlü, benzersiz parola
• Windows Server 2016+ üzerinde Credential Guard etkinleştirildi
• RDP erişimi yerleşik Administrators grubu veya özel bir RDP grubuyla sınırlandırıldı

İzleme

• Oturum Açma/Kapatma olayları için denetim ilkesi etkinleştirildi
• Tekrarlanan başarısızlıklar için Event ID 4625 uyarıları yapılandırıldı
• Oturum günlükleri periyodik olarak incelendi veya bir SIEM’e iletildi

İstemci Tarafı

• RDP istemcisi en son sürüme güncellendi
• .rdp dosyaları güvenli şekilde saklandı ve genel depolara işlenmedi
• Credential Manager’daki kaydedilen kimlik bilgileri düzenli olarak gözden geçirildi ve temizlendi

Sıkça Sorulan Sorular

RDP hangi portu kullanır ve değiştirilebilir mi?

RDP varsayılan olarak TCP port 3389‘i dinler. HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp altındaki PortNumber DWORD değerini değiştirerek ve TermService hizmetini yeniden başlatarak bunu değiştirebilirsiniz. Güvenlik duvarı kurallarınızı buna göre güncelleyin.

Ağ Düzeyi Kimlik Doğrulama (NLA) nedir ve her zaman etkinleştirilmeli midir?

NLA, sunucu tam bir masaüstü oturumu oluşturmadan önce istemcinin CredSSP aracılığıyla kimliğini doğrulamasını gerektirir. Bu, kimliği doğrulanmamış kullanıcıların Windows oturum açma ekranına ulaşmasını önleyerek kimlik bilgisi doldurma ve hizmet reddi saldırılarına maruz kalmayı önemli ölçüde azaltır. Belirli bir eski istemci uyumluluk gereksiniminiz olmadığı sürece üretim sunucularında her zaman etkinleştirilmelidir.

RDP bağlantım neden belirli bir süre hareketsizlikten sonra kesiliyor?

Oturum zaman aşımları, Grup İlkesi’nde Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits altında kontrol edilir. İlgili ilkeler Set time limit for disconnected sessions ve Set time limit for active but idle Remote Desktop Services sessions‘dır. Bunları varsayılan değerlerde bırakmak yerine operasyonel gereksinimlerinize göre ayarlayın.

Birden fazla kullanıcı aynı anda RDP aracılığıyla bir Windows Server’a bağlanabilir mi?

Standart bir Windows Server kurulumu iki eş zamanlı yönetimsel RDP oturumunu destekler. Daha fazla eş zamanlı kullanıcı için Remote Desktop Session Host (RDSH) rolüne ve geçerli Remote Desktop Services İstemci Erişim Lisanslarına (RDS CAL) ihtiyacınız vardır. Uygun lisanslama olmadan sunucu, bağlantıları reddetmeden önce 120 günlük bir yetkisiz kullanım süresine girer.

RDP’yi doğrudan genel internete açmak güvenli midir?

Hayır. RDP’yi port 3389 üzerinden internete doğrudan açmak, otomatik kaba kuvvet saldırılarını, fidye yazılımı dağıtım kampanyalarını (RDP, fidye yazılımları için önde gelen ilk erişim vektörüdür) ve yamalanmamış güvenlik açıklarının istismarını davet eder. Minimum temel olarak RDP’yi her zaman bir VPN’in arkasına yerleştirin, IP’ye göre erişimi kısıtlayın, varsayılan portu değiştirin ve NLA ile hesap kilitleme ilkelerini uygulayın.