Uzak Masaüstü
Uzak masaüstü güvenliği: E2E şifreleme, 2FA ve denetim kaydı
12 Temmuz 2026 · Zoprey ekibi · ← Tüm yazılar
Uzak masaüstü bağlantısı, doğası gereği en yüksek yetkili erişim türlerinden biridir: karşı tarafa ekranınız, klavyeniz ve dosyalarınız açılır. Bu rehber, bir uzak masaüstü aracını güvenli kullanmanın dört temel katmanını — şifreleme, kimlik doğrulama, gözetimsiz erişim koruması ve denetim kaydı — sade bir dille anlatır ve sonda uygulanabilir bir kontrol listesi verir.
Katman 1: Şifreleme — trafiği kim çözebiliyor?
Her modern araç “şifreli” olduğunu söyler; kritik soru şifrenin nerede çözüldüğüdür.
Taşıma şifrelemesi (TLS)
Veri, cihaz ile sunucu arasında şifrelidir. Ancak trafik sağlayıcının sunucusundan geçerken çözülüp yeniden şifrelenebilir. Sağlayıcıya ve altyapısına güvenmek zorunda kalırsınız.
Uçtan uca şifreleme (E2E)
Şifreleme anahtarları yalnızca iki uç cihazda bulunur; aracı sunucu sadece eşleştirmeye yardım eder, içeriği göremez. WebRTC tabanlı araçlarda bu, DTLS-SRTP protokol ikilisiyle sağlanır: DTLS anahtar değişimini yapar, SRTP ekran ve veri akışını şifreler.
Seçim yaparken ürünün teknik dokümantasyonunda “end-to-end” ifadesinin hangi katman için kullanıldığını doğrulayın — pazarlama sayfası ile teknik gerçek her zaman örtüşmez. Bu ayrım, alternatif seçim rehberimizdeki birinci kriterdir.
Katman 2: Kimlik doğrulama — bağlanan gerçekten siz misiniz?
Sağlam bir kurulumda üç mekanizmanın bir arada olması beklenir:
- Tek kullanımlık oturum şifresi: Anlık destek bağlantılarında, her kabulden sonra kendini yenileyen şifre. Ekran görüntüsüyle sızan eski şifre işe yaramaz hâle gelir.
- Karşı taraf onayı: Başında insan olan makinede bağlantıyı “izin ver / yalnız izleme / reddet” seçenekleriyle karşı taraf onaylamalıdır.
- İki faktörlü doğrulama (2FA): Parolaya ek olarak TOTP kodu. Özellikle gözetimsiz erişimde parola tek başına yeterli sayılmamalıdır.
Katman 3: Gözetimsiz erişim parolası — en zayıf halka olmasın
Gözetimsiz erişim (başında kimse olmayan makineye bağlanma) en riskli senaryodur, çünkü onay verecek insan yoktur. Burada iki tasarım sorusu belirleyicidir:
- Parola sunucuda mı saklanıyor? İyi tasarımda gözetimsiz erişim parolası sunucuya hiç gönderilmez; doğrulama uç cihazda yapılır. Böylece sunucu sızsa bile parolanız sızmaz.
- 2FA zorunlu mu, opsiyonel mi? Opsiyonel 2FA çoğu zaman açılmaz. Gözetimsiz erişimde 2FA’yı zorunlu kılan araçlar, insan tembelliğini denklemden çıkarır.
Kurulum adımları ve iyi uygulamalar için gözetimsiz erişim rehberine bakın.
Katman 4: Denetim kaydı — kim, ne zaman, hangi makineye?
Güvenlik yalnızca saldırıyı engellemek değil, olanı görebilmektir. Denetim kaydı şu üç soruya her an cevap verebilmenizi sağlar:
- Bu makineye kim bağlandı?
- Ne zaman ve ne kadar süre bağlı kaldı?
- Hangi modda bağlandı — tam kontrol mü, yalnız izleme mi?
Bu kayıtlar olmadan bir güvenlik olayını fark etmek çoğu zaman imkânsızdır. Kayıtların değiştirilemez biçimde tutulması ve makul süre saklanması da politikanızın parçası olmalıdır.
Sık yapılan üç hata
- RDP’yi internete açmak: 3389 portunu doğrudan dışarı açmak, makinenizi otomatik tarama botlarının ve kaba kuvvet denemelerinin hedefi yapar. RDP kullanılacaksa VPN arkasında kalmalıdır.
- Aynı parolayı her makinede kullanmak: Bir makinenin parolası sızarsa hepsi düşer. Makine başına ayrı, uzun parola kullanın.
- Eski sürümde kalmak: Uzak erişim araçlarındaki güvenlik açıkları hızla istismar edilir. Otomatik güncellemeyi kapatmayın.
Pratik kontrol listesi
Mevcut kurulumunuzu bu maddelerle karşılaştırın:
- Bağlantı uçtan uca şifreli (ör. WebRTC DTLS-SRTP) ve bunu dokümantasyondan doğruladım.
- Anlık destek oturumlarında tek kullanımlık, kendini yenileyen şifre kullanılıyor.
- Gözetimsiz erişim parolası sunucuda saklanmıyor; makine başına ayrı ve uzun.
- Gözetimsiz erişimde TOTP tabanlı 2FA aktif (tercihen zorunlu).
- Her oturum denetim günlüğüne yazılıyor; kayıtlara erişimim var.
- İnternete açık RDP portum yok.
- İstemci ve sunucu tarafı otomatik güncelleniyor.
- Yetkisi biten kişilerin (ayrılan çalışan, biten proje) erişimi kaldırıldı.
Zoprey.Team bu katmanları nasıl uyguluyor?
Şeffaflık için kendi ürünümüzün yaklaşımını da yazalım: Zoprey.Team’de bağlantı WebRTC DTLS üzerine uygulama katmanı kimlik doğrulamayla kurulur; gözetimsiz erişim parolası sunucuya hiç gönderilmez ve gözetimsiz erişimde TOTP 2FA zorunludur. Her oturum denetim günlüğüne yazılır. Teknik ayrıntılar ve karşılaştırma team.zoprey.com/karsilastirma sayfasındadır. Hangi aracı seçerseniz seçin, yukarıdaki kontrol listesi geçerlidir.
Sık sorulan sorular
DTLS-SRTP nedir, neden önemli?
DTLS-SRTP, WebRTC tabanlı bağlantılarda kullanılan şifreleme protokol ikilisidir: DTLS anahtar değişimini, SRTP medya akışının (ekran görüntüsü dahil) şifrelenmesini sağlar. Anahtarlar iki uç cihaz arasında üretildiği için aracı sunucu trafiği çözemez. Uzak masaüstünde ekranınızın tamamı karşıya aktarıldığından, bu uçtan uca koruma sıradan taşıma şifrelemesinden daha güçlü bir garantidir.
2FA uzak masaüstü için gerçekten gerekli mi?
Gözetimsiz erişim kullanıyorsanız evet. Parola tek başına sızabilir, tahmin edilebilir veya yanlış kişiyle paylaşılabilir. TOTP tabanlı ikinci faktör, parolayı ele geçiren birinin yine de bağlanamamasını sağlar. Karşıda onay verecek biri olmadığı senaryolarda 2FA, pratikte son savunma hattıdır.
RDP portunu internete açmak neden risklidir?
Doğrudan internete açılan RDP (3389) portları otomatik botlar tarafından sürekli taranır ve kaba kuvvet parola denemelerine maruz kalır. RDP kullanılacaksa VPN arkasında tutulmalı; alternatif olarak port açmayı hiç gerektirmeyen, aracı sunucu üzerinden eşleşen ve uçtan uca şifreli çalışan modern uzak masaüstü araçları tercih edilmelidir.
Denetim kaydı (audit log) küçük işletme için fazla değil mi?
Değil. Denetim kaydı yalnızca kurumsal uyum için değil, sorun çözmek için de gerekir: 'bu makineye dün gece kim bağlandı?' sorusuna cevap veremiyorsanız, bir güvenlik olayını fark etmeniz de mümkün olmaz. Kim, ne zaman, hangi modda bağlanmış — bu üç bilgiyi tutan bir araç seçmek maliyetsiz bir kazançtır.
Blogdan diğer rehberler