Windows Server'a uzaktan bağlanmak için kullanılan Uzak Masaüstü Protokolü (RDP), sunucu yönetiminin en temel araçlarından biridir. Ancak yeni kurulan bir sunucuda RDP genellikle varsayılan olarak kapalıdır ve bağlanmaya çalıştığınızda "Kimlik doğrulama hatası oluştu. İstenen işlev desteklenmiyor. Bu, CredSSP şifreleme oracle düzeltmesi nedeniyle olabilir" mesajıyla karşılaşabilirsiniz. Bu rehberde, hem RDP'yi sunucuda doğru ve güvenli biçimde etkinleştirmeyi hem de bu yaygın CredSSP hatasını kalıcı olarak çözmeyi adım adım anlatıyoruz.
Neden Olur?
CredSSP (Credential Security Support Provider), RDP oturumlarında kimlik bilgilerinizi güvenli biçimde sunucuya ileten bir kimlik doğrulama bileşenidir. Microsoft, 2018 yılında CredSSP protokolündeki CVE-2018-0886 kodlu uzaktan kod yürütme açığını kapatan bir güvenlik güncellemesi yayımladı. Bu güncelleme, Şifreleme Oracle Düzeltmesi (Encryption Oracle Remediation) adlı bir ilke aracılığıyla çalışır.
Hata genellikle şu durumda ortaya çıkar: Bağlanan istemci bilgisayar güncellenmiş, ancak hedef sunucu güncellenmemiştir (veya tam tersi). Güvenlik güncellemesine sahip ve ilkesi "güncel istemcileri zorla" durumunda olan bir istemci, açık barındıran (güncellenmemiş) bir sunucuya bağlanmayı reddeder ve bağlantıyı bloke eder. Yani sorun çoğu zaman bağlantının iki ucundaki güncelleme seviyelerinin uyuşmamasıdır.
RDP'yi Sunucuda Etkinleştirme Adımları
Önce sunucunun uzak bağlantıları kabul edecek şekilde yapılandırıldığından emin olalım.
1. Arayüzden açma: Sunucuda Sunucu Yöneticisi > Yerel Sunucu ekranını açın, "Uzak Masaüstü" satırındaki Devre Dışı bağlantısına tıklayın. Açılan Sistem Özellikleri > Uzak sekmesinde "Bu bilgisayara uzaktan bağlantılara izin ver" seçeneğini işaretleyin.
2. PowerShell ile açma (önerilen): Yönetici olarak açtığınız PowerShell'de aşağıdaki komutla RDP'yi etkinleştirin. Bu kayıt defteri değeri varsayılan olarak 1'dir (bağlantılar reddedilir); 0 yaparak uzak bağlantılara izin verirsiniz: ````
3. Güvenlik duvarı kuralını açma: RDP varsayılan olarak 3389 numaralı TCP portunu kullanır. Windows Güvenlik Duvarı'nda ilgili kural grubunu etkinleştirin: ````
4. Ağ Düzeyi Kimlik Doğrulamasını (NLA) zorunlu kılma: NLA, oturum kurulmadan önce kullanıcının kimliğini doğrulayarak ek bir güvenlik katmanı sağlar ve önerilir. Değeri 1 yaparak etkinleştirin (0 devre dışı bırakır): ````
5. RDP kullanıcı grubunu yapılandırma: Yöneticiler dışındaki kullanıcıların bağlanabilmesi için, ilgili hesapları Uzak Masaüstü Kullanıcıları (Remote Desktop Users) yerel grubuna eklemeniz gerekir. Arayüzde Sistem Özellikleri > Uzak sekmesindeki Kullanıcıları Seç ile veya PowerShell'den ekleyebilirsiniz: ```ALANADI\kullanici`, yerel hesaplarda ise yalnızca kullanıcı adını uygun biçimde girin. Bu gruba ya da yerel Yöneticiler grubuna dahil olmayan standart kullanıcılar bağlanamaz.
CredSSP Hatasının Çözümü
RDP açık olmasına rağmen "CredSSP şifreleme oracle düzeltmesi" hatası alıyorsanız aşağıdaki adımları izleyin.
6. Asıl çözüm — her iki tarafı da güncelleyin: Microsoft'un önerdiği kalıcı çözüm, hem bağlanan istemcide hem hedef sunucuda eksik CredSSP/Windows güvenlik güncellemelerinin kurulmasıdır. Ayarlar > Windows Update üzerinden tüm güvenlik güncellemelerini yükleyin ve her iki makineyi yeniden başlatın. Güncellemeler tamamlandığında bağlantı güvenli biçimde kurulur ve hata ortadan kalkar. Bu, güvenliği zayıflatmayan tek doğru yöntemdir.
7. Geçici çözüm — Grup İlkesi (yalnızca zorunluysa): Sunucuyu hemen güncelleyemiyorsanız, bağlanan istemcide geçici olarak güvensiz bağlantıya izin verebilirsiniz. 'yi açın ve şu yolu izleyin: Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Kimlik Bilgisi Delegasyonu (Credentials Delegation). Buradaki Şifreleme Oracle Düzeltmesi (Encryption Oracle Remediation) ilkesini Etkin yapın ve Koruma Düzeyi (Protection Level) değerini Savunmasız (Vulnerable) olarak seçin. Bu ilkenin üç koruma düzeyi vardır: *Güncel İstemcileri Zorla (Force Updated Clients — en güvenli, kayıt değeri 0)*, *Hafifletilmiş (Mitigated — 1)* ve *Savunmasız (Vulnerable — 2)*. Sunucu güncellenir güncellenmez bu ayarı tekrar güvenli bir seviyeye çekmeniz önemlidir.
8. gpedit yoksa kayıt defteri ile: Grup İlkesi Düzenleyicisi'ne erişiminiz yoksa aynı geçici ayarı kayıt defterinden yapabilirsiniz. Yönetici olarak açtığınız komut isteminde: ```20` (güvenli/zorunlu mod) yapmanız güvenlik açısından gereklidir.
Önleme ve İpuçları
Kalıcı ve güvenli bir kurulum için sunucularınızda otomatik Windows güncellemelerini etkin tutun; böylece CredSSP gibi açıkları kapatan yamalar gecikmeden uygulanır. Geçici "Savunmasız" ayarını çözüm olarak kalıcılaştırmayın — yalnızca güncelleme yapılana kadar köprü olarak kullanın. RDP portunu (3389) doğrudan internete açmak yerine VPN veya bir RDP ağ geçidi (RD Gateway) arkasında tutmanız, NLA'yı zorunlu kılmanız ve yalnızca gerekli kullanıcıları Uzak Masaüstü Kullanıcıları grubuna eklemeniz, sunucunuzu yetkisiz erişimlere karşı belirgin biçimde güçlendirir. Değişikliklerden sonra ayarların tam uygulanması için ilgili makineleri yeniden başlatmayı unutmayın.
Enlisans olarak Windows Server ve Office ürünlerinde %100 orijinal lisans ve hızlı destek sunuyoruz; sunucunuzu sorunsuz biçimde lisanslamak ve teknik sorularınızda yanınızda olmak için buradayız.















