RDP(Uzak Masaüstü) Bağlantılarını İzleme

-


Uzak Masaüstü Protokolü (RDP), uzaktan yönetim için güçlü bir araçtır, ancak aynı zamanda saldırganların uzaktan erişim elde etmesi içinde en populer zafiyetlerden bir tanesidir.


Bilgisayarınıza yapılan/Bilgisayarınızdan yapılan uzaktan bağlantıları veya bağlantı girişimlerini hem Kayıt Defteri'nde hem de Olay Günlükleri'nde ipuçlarının nerede aranacağının aşağıda anlatmaya çalıştım...

1. RDP Bağlantıları için Kayıt Defteri Analizi 

Windows, RDP oturumlarıyla ilgili ayrıntıları kullanıcının kayıt defterine ("NTUSER.DAT") kaydeder. 

• Giden Bağlantılar:
En Son Kullanılan (MRU) Listesi: En son bağlanan IP adreslerinin veya ana bilgisayar adlarının listesini görmek için 'MRU' anahtarına bakmamız gerekiyor.
 
Bunu şu konumda bulabilirsiniz: 
'HKCU\SOFTWARE\Microsoft\Terminal Server Client\Default'.

Kullanıcı Adı İpuçları:Her bağlantı için hangi kullanıcı adlarının kullanıldığını bulmak için şuraya bakın: 
'HKCU\SOFTWARE\Microsoft\Terminal Server Client\Servers\'. 

Her sunucunun 'UsernameHint' değerine sahip bir alt anahtarı olacaktır.

• Gelen Bağlantılar:
Bir sistemin gelen RDP bağlantılarına izin verecek şekilde yapılandırılıp yapılandırılmadığını belirlemek için şu anahtarı kontrol edin: 

'HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server'. 'fDenyTSConnections'

değeri anahtardır: '0' değeri, gelen bağlantılara izin verildiği, '1' ise reddedildiği anlamına gelir.

2. RDP Bağlantıları için Olay Günlüğü Analizi 

• Giden (İstemci) Olayları:

*Günlük Dosyası: 'Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx'
* Önemli Olay Kimlikleri: '1024' bağlantı girişimini gösterir ve '1102' başarılı bir oturumu onaylar.

• Gelen (Sunucu) Olaylar:

* Gelen RDP olayları, başta Güvenlik ve TerminalServices işlem günlükleri olmak üzere çeşitli günlüklere yayılır.
* Önemli Olay Kimlikleri:
**'4624' (Oturum Açma Türü 10): Başarılı bir uzaktan etkileşimli oturum açma.
**'1149': Uzak bir ana bilgisayardan başarılı bir RDP bağlantısı.
**'21': Başarılı bir oturum açma.

Kayıt defteri ve olay günlüğü analizini birleştirerek, bir sistemdeki tüm RDP etkinliğinin kapsamlı bir resmini oluşturabilir ve araştırmanız için önemli kanıtları ortaya çıkarabilirsiniz.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Uzak Masaüstü Bağlantı (RDP) Kısayol Oluşturma

-
Resim
Sık kullandığınız Uzak Masaüstü bilgisayarlarınız her bağlanmanız gerektiğinde bağlantı bilgilerini tekrar tekrar yazmak yerine  aşağıdaki yöntemle çok basit bir şekilde masaüstümüzde kısayol oluşturarak kullanabiliriz Masaüstümüzdeyken sağ tık kısayol oluştur diyelim.  Bu alana tercihinize göre bilgisayar adı ya da ip kullanarak dolduralım. mstsc.exe /v:BilgisayarAdı   veya   mstsc.exe /v:IPADRESI Hepsi bu kadar....
Devamı

Domainden Düşen Bilgisayarların Resetlenmesi

-
Resim
Biz sistem yöneticilerinin sürekli başına gelen ve can sıkan bir durum olan Bilgisayarların etki alanında oturum açamama sorununu(Halk Dilinde; Domainden Düşme) bilgisayarı domainden düşürmeden nasıl düzeltebiliriz onu anlatmaya çalışacağım.... Domaini dahil edilmiş bir sunucu veya bilgisayar Domain Controller ile güvenli haberleşmesi sağlanamıyorsa (Network tarafında bir sorun yok ise) ve " The Trust Relationship between this workstation and primary domain failed " hatası alıyorsanız bilgisayarı domainden çıkartıp tekrar dahil etmeye gerek yok.(Genelde Domainden düşürüp tekrar dahil edilir)Bilgisayar hesabını resetleyerek sorunu çözebiliriz. Peki bilgisayar hesabını nasıl resetleyebiliriz? Bu işlem için etki alanında hangi yetkilerimiz olması gerekir? Bilgisayar hesabını resetleme işlemini yapmak için etki alanında Account Operators, Domain Admins, veya Enterprise Admin gruplarından birinin üyesi olmak gerekmektedir.Aşağıda bu yöntemleri sırası ile anlatacağım.. 1. Yöntem : ...
Devamı

Dosya formatının varsayılan program olarak açılmaması

-
Profil bozulmalarından dolayı bilgisayarda var olan dosyalar varsayılan programlar ile açılmıyor ise aşağıdaki işlemi yapmanız yeterlidir. regeditin bir yedeğini almayı unutmayın ne olur ne olmaz... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts registry da bulunan dosya uzantısını silin  tekrar dosyayı açmak istediğiniz de size yine program soracak ve seçtikten sonra varsayılan olacaktır.
Devamı