Microsoft’un Uzak Masaüstü Protokolü (RDP), /genel komuta satırı parametresi aracılığıyla ortak dilde “Gizli Modu” olarak adlandırılan daha az bilinen ancak kritik bir güvenlik özelliği tanıttı.
Resmi olarak kamu modu olarak adlandırılan bu işlevsellik, müşterinin hassas oturum eserlerini depolamasını önler – siber güvenlik, dijital adli tıp ve işletme BT yönetimi için önemli etkileri olan bir gelişme.
Devolutions’a göre, kamu modu MSTSC.EXE’yi (Microsoft Terminal Hizmetleri İstemcisi) başlatırken /genel bayrağıyla etkinleştirilir ve temel veri saklama mekanizmalarını devre dışı bırakır:
Bağlantı Ayarları: Normalde Gizli %Userprofile %\ Documents \ Default.rdp dosyasında saklanır, Public Mode bu yapılandırma deposundaki güncellemeleri engeller:
Yöneticiler, Not Defteri “~ \ Documents \ Varsayılan.rdp” ile manuel olarak düzenleyebilir, ancak oturuma özgü değişiklikler ayrışma sonrası buharlaşır.
Kimlik Bilgisi Önbellek: Windows kimlik yöneticisi genellikle RDP kimlik bilgilerini terimler/ girişler altında saklar. Public modu, her seferinde manuel kimlik doğrulamasını zorlayarak hem alımı hem de depolamayı devre dışı bırakır. Adli analistler genellikle bunları kullanarak sorgular:
Raporu okuduğundan, bu komut kamu oturumlarında eski olmaz.
Kalıcı Bitmap önbelleği: RDP, %localAppdata %\ microsoft \ Terminal Server istemcisi \ cache içinde ekran parçalarını önbelleğe alarak performansı optimize eder.
Public Mode bunu devre dışı bırakır, ancak yöneticiler BitmapCachepersistenable: i: 0 RDP dosyalarında bağımsız olarak devre dışı bırakabilir.
BMC-Tools (GitHub/ANSSI-FR) gibi adli araçlar, kamu modunun inert hale getirdiği bu önbelleklerden bitmap artefaktlarını çıkarır.
Sonuçlar ve karşı önlemler
Kamu modu, olay araştırmaları için kritik olan kayıt defteri etkileşimlerini değiştirir:
MRU Sunucu Listesi: HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server istemcisi \ Varsayılan olarak saklanan en çok kullanılan 10 sunucu, güncellemeyi durdurur. Uzaklıklı sistemlerden yararlanan saldırganlar yeni IP/DNS izleri bırakmaz.
Kullanıcı adı ipuçları: HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server istemcisi \ sunucuları gibi kayıt defteri anahtarları
Sertifika İstisnaları: TLS Trust, genellikle HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server istemcisi \ sunucuları altında CERTHash değerlerinde kaydedilen geçersiz sertifikalar için geçersiz kılınır.
Bu, kimlik bilgilerini, bitmap önbellekleri ve kayıt defteri girişlerini siler.
Öneriler
Kamu Modu kullanılabilirlik değişimleri tanıtıyor:
- Tekrarlanan kimlik bilgisi girişi iş akışlarını yavaşlatır
- MRU Sunucu Listelerinin Kaybı Hampers Hızlı Yeniden Bağlantılar
- Bitmap önbellek devre dışı bırakma, yüksek gecikmeli ağlardaki performansı azaltabilir
Siber güvenlik uzmanları:
- Katmanlı Güvenlik için Ağ Düzeyi Kimlik Doğrulaması (NLA) ile birleştirme /genel.
- Tam zamanında erişim kontrolleri için kurumsal sınıf ayrıcalıklı erişim yönetimi (PAM) çözümlerinin dağıtılması.
- Varsayılan.rdp ve Terminal Server istemci kayıt defteri anahtarlarının düzenli denetimleri
RDP, 2024’teki tüm kaba kuvvet saldırılarının% 32’sini oluşturan birincil hedef olarak kaldığı için, bu özellik düşük sofistike tehditlere karşı kritik hafifletme sağlar.
BT ekipleri için dengeleme eylemi devam ediyor: verimliliği sakatlamadan güvenliği en üst düzeye çıkarmak. Bununla birlikte, Public Mode’un adli avantajları, paylaşılan kiosklar veya üçüncü taraf satıcı erişim noktaları gibi yüksek riskli ortamlar için vazgeçilmez hale getirir.
Uzaktan çalışma genişledikçe, bu tür ayrıntılı kontroller bir sonraki son nokta güvenliği dönemini tanımlayacaktır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free