Uzak Masaüstü Protokolü (RDP), uzaktan erişim için yaygın olarak kullanılan bir araçtır, ancak genellikle gizlilik ve güvenlik için bir endişe olabilecek kullanıcı etkinliği izlerini bırakır.
Son zamanlarda, RDP istemcisi MSTSC’de “/genel” komut satırı seçeneğinin kullanılması, web tarayıcılarındaki gizli moduna benzer bir “genel modu” etkinleştirme yeteneği için dikkat çekti.
Bu özellik, kullanıcıların kimlik bilgilerinin, oturum ayrıntılarının ve önbelleğe alınmış görüntülerin depolanmasını önlemek istedikleri paylaşılan veya genel bilgisayarlarda özellikle kullanışlıdır.
RDP genel modunu anlamak
Kamu modu etkinleştirildiğinde, MSTSC birkaç temel özelliğin yerel olarak depolanmasını önler.
Örneğin, bağlantı ayarları, genellikle bu bilgileri saklamak için kullanılan gizli varsayılan.rdp dosyasına kaydedilmez.
Ayrıca, kimlik bilgisi önbellekleme devre dışı bırakılır, yani daha önce aynı sunucuya bağlanmış olsalar bile, kullanıcılar her bağlandıklarında kimlik bilgileri istenecektir.
Kayıtlı kimlik bilgileri gibi komutlar kullanılarak listelenebildiğinden, bu, gizliliği korumak için çok önemlidir. cmdkey /list | ? { $_ -Match "TERMSRV/" } ve yetkisiz taraflar tarafından erişilirse bir güvenlik riski olabilir.
Kamu modundan etkilenen bir diğer önemli husus, kalıcı Bitmap önbelleğidir.
Devrim Blog Raporuna göre, bu önbellek, önbelleğe alınmış görüntüleri yeniden kullanmak yerine yeniden kullanarak performansı artırmak için önceki oturumlardan bitmap parçalarını depolar.
Bununla birlikte, genel modu, gizlilik için faydalı olabilecek ancak performansı biraz etkileyebilecek bu özelliği devre dışı bırakır.
BCACE24.BMC ve CACHE0000.BIN gibi önbellek dosyaları altında saklanır. %LOCALAPPDATA%\Microsoft\Terminal Server Client\Cacheve değerli adli bilgiler sağlayabilseler de, geçmiş oturumları yeniden yapılandırmak için güvenilir bir yöntem değildir.
Adli analiz ve güvenlik üzerindeki etkisi
Adli analistler için, RDP’nin geride bıraktığı izler kötü niyetli faaliyetlerin araştırılmasında paha biçilmez olabilir.
Bununla birlikte, kamu modu etkinken, bu izler önemli ölçüde azalır.
En son kullanılan (MRU) sunucu listesi, sunucu kullanıcı adı ipuçları ve sunucu sertifikası istisnaları gibi özellikler devre dışı bırakılır ve kayıt defterinde saklanmasını önler.
Bu, adli analistlerin kullanıcı etkinliğini izlemesini ancak meşru kullanıcılar için gizliliği ve güvenliği artırmasını daha zor hale getirir.
Güvenlik açısından, genel modu, genellikle sertifika uyarılarını atlamak için kullanılan “Bu bilgisayara bağlantıları tekrar istemeyin” onay kutusunu da devre dışı bırakır.
Bu, kullanıcıların her zaman sunucu özgünlüğünü doğrulamalarını ve güvenilmeyen sunuculara bağlanma riskini azaltmalarını sağlar.
Genel olarak, RDP’de genel modun etkinleştirilmesi, her oturumdan sonra geride kalan verileri en aza indirerek paylaşılan bilgisayarlarda gizliliği ve güvenliği korumak için sağlam bir yol sağlar.
Önbelleğe alınmış görüntülerin eksikliği nedeniyle performansı biraz etkileyebilse de, güvenlik ve mahremiyet açısından faydalar, onu dijital ayak izlerinden ayrılmakla ilgili kullanıcılar için değerli bir araç haline getirir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free