Bİlgİsayarin gÜvenlİĞİnİ belİrleme

'Windows XP' forumunda semyav5mitq tarafından 28 Kasım 2008 tarihinde açılan konu

  1. Sponsorlu Bağlantılar
    Bİlgİsayarin gÜvenlİĞİnİ belİrleme konusu BİLGİSAYARIN GÜVENLİĞİNİ BELİRLEME
    Ntfs ile güvenlik haklarını belirleme.
    NTFS'nin FAT32'ye göre sağladığı bir çok avantajı vardır. Diski daha verimli kullanır. En önemlisi de her bir disk dizin ve dosya için kullanıcı bazında kısıtlamalar getirmenize olanak sağlar.

    W2k ve XP'de öne çıkan güvenlik kavramı ancak NTFS kullanıldığı zaman gerçek manasına ulaşır.

    FAT32 ile formatlanmış bir diskte işletim sistemi ister W2k ister XP olsun windows'a login olan her kullanıcı tüm disklere dosyalara dizinlere erişim hakkı kazanır. İstediğini siler kopyalar vs. Eğer windows'u açamıyorsa(kullanıcı adı/şifresi yoksa) bir sistem başlangıç disketini takıp bilgisayarı onunla açar ve yine C: sürücüsüne ve diğer tüm sürücülere istediği gibi müdahale edebilir.

    Sonuç itibariyle eğer bu işletim sistemleriyle güvenli bir ortam oluşturmak istiyorsak dosya sistemimiz NTFS olacak.

    Windows XP Professional bir paylaşım yaptığınızda ağ üzerinden kimlerin bu paylaşıma erişebileceğini kullanıcı bazında kısıtlamanıza izin veriyor. Bununla beraber XP Pro'nun sunduğu bir diğer güvenlik önlemi ise NTFS dosya sisteminin sunduğu disk dizin ve dosya bazında sınırlamalar getirebilme özelliğidir.

    NTFS olarak formatlanmış bir diskte herbir dizin ve dosyanın hem yerel kullanıcılar hem de ağ üzerinden gelen kullanıcılar için geçerli bir güvenlik listesi vardır. Bu listede Administrator kullanıcısı veya Administrators grubu üyesi olan tüm kullanıcılar tüm haklara (dosyaları görme değiştirme silme yeni dosya oluşturma varolan dosyayı değiştirme dizin içeriğini görme vb.) sahipken normal kullanıcılar tehlike arzetmeyen bazı haklara(okuma dizin içeriğini görme gibi silme yok mesela) sahip olurlar.

    Ancak her kullanıcı kendine ait dosyalar ve dizinler üzerinde tüm haklara sahiptir. Normal bir kullanıcı ile login olursanız diskin ana dizininde hiç bir değişiklik yapamadığınızı görürsünüz(yeni bir dosya oluşturamaz windows dizinini silemezsiniz deneyin görün. Ancak My documents içinde kendinize ait dizin altında tüm haklara sahipsinizdir.

    Administrator kullanıcısı tüm dizin ve dosyalar üzerinde istediği kullanıcıya istediği hakkı verip alabilir.

    Şimdi bunu inceleyelim.


    FAT veya FAT32 olarak bölümlenmiş disklerde bu özellik mevcut değil.


    NTFS olarak bölümlenmiş ve formatlanmış bir diskte ise Security tabının olduğunu görüyoruz. Buradan erişim kısıtlamaları yapacağız ancak NTFS ile ayrıca yapabilecekleriniz sadece bununla da sınırlı değil:

    disk / dosya sıkıştırma
    kullanıcıların disk üzerinde kullanabileceği alanı sınırlama (disk Quota)
    özellikleride NTFS ile geliyor.

    Şimdi disk özelliklerinden Security tabına geçtik.
    Group or user names :Bu alanda bu disk üzerinde çeşitli haklara sahip kullanıcıların listesini görüyoruz.
    Bir kullanıcının üstüne tıklarsak alttaki kutuda o kullanıcının bu disk üzerinde sahip olduğu hakları görüyoruz. Örneğin yanda da gördüğünüz gibi Administrator kullanıcısı tüm haklara sahip.

    Diğer grupların kullanıcıları (Users grubu gibi) sadece bazı haklara sahipler.
    Dosyaları okuyabilir ve çalıştırabilirler ama yeni bir dosya oluşturamaz varolan bir dosyayı açıp->değiştirip->kaydemezler ve dosyaları/dizinleri silemezler.
    Şu anda biz bu diskin özelliklerine bakıyoruz. Burada verilen(allow) veya alınan(deny) haklar bu disk içindeki tüm dizin ve dosyalar içinde geçerli olur. Çünkü bu bir dosya veya dizin içinde bulunduğu dizinin ve en üstte diskin security ayarlarını miras alır.


    Administrator haricindeki hiçbir kullanıcının bu disk üzerinde hiçbir hakkı olmasın ama sadece Johannes isimli kullanıcıya bazı haklar vermek istiyorum dersek Users grubunun haklarını kaldırıyoruz yani Allow'ları siliyoruz (Deny yapmıyoruz ama çünkü Deny yaparsak Johannes'e hak vermemizi önler.)
    Sonra Johannes kullanıcısının bazı haklara sahip olmasını istediğim dizinin üstüne sağ tıklayıp>Properties ve Security tabına geçiyorum.
    ADD düğmesine tıklıyorum.
    Kullanıcı listesine kolayca erişmek için önce Advanced'e basıyorum.
    Sonra Find Now ile tüm kullanıcıları bulmasını sağladım.
    Burdan Johannes'i seçiyorum.
    Unutmayın bu dizine ağ üzerinden bu makinanın Administrator'u veya Johannes kullanıcısı olarak(şifreleriyle beraber) login olmadığım bir makinadan da erişemem.
    Yani NTFS güvenlik kısıtları ağ üzerinden gelen kullanıcılar içinde geçerli.

    Güvenlik ilkesi ile güvenlik sağlamaDenetim masası-yönetimsel araçlar-yerel güvenlik ilkesi yerel ilkeler bölümünde güvenlik ilkesini seçerek burda kullanıcıların haklarını kısıtlayabiliriz.
    Hep haklardan bahsediyoruz mesela Administrator olan her hakka sahiptir diyoruz peki nedir bu haklar? Load and unload device drivers yani donanım sürücülerini yüklemek ve kaldırmak bir haktır mesela. Change the system time bilgisayarın saat ayarını değiştirme bir haktır. Daha bunun gibi bir çok haklar vardır. Ve bu haklar Control Panel>Administrative Tools>Local Security Policy içinde teker teker tanımlıdır. Burda aynı zamanda bu hakka hangi kullanıcının veya kullanıcı grubunun sahip olacağı da tanımlıdır. Örneğin Load and unload device drivers hakkı ilk başta sadece Administrators grubuna verilmiştir. O zaman biz bir kullanıcı yaratıp onu Administrator grubu üyesi yaparsak bu hakka sahip olmuş olur.
    Şimdi bu Local Security'ye bir bakalım
    Administrative Tools


    Local Security Policy
    Soldan Security Settings>Local Policies>User Rights Assignment

    Sağ taraftan bir hakkın üzerine çift tıklarsak bu hakka sahip kullanıcıları ve kullanıcı gruplarını görürüz.
    Bu hakkı başka bir kullanıcı veya gruba daha vermek için
    Add User or Group. a tıklayalım.

    Advanced



    Find Now ile tüm kullanıcı ve grupların listesi gelir. İstediğimizi seçeriz.


    Local Security>Account Policies ile password'ler le ilgili bazı güvenlik ayarları yapılabilir.
    Örneğin ilk başta kullanıcılar 42 günde bir şifrelerini değiştirmek zorundadır(User Manager'de kullanıcı ayarlarında password için "never expire" seçilmemişse).


    Maximun password age adı altında tanımlanan bu özelliği değiştirmek için üzerine çift tıklayalım.

    999'a kadar gün sayısını arttırabiliriz.


    0 yaparsak da hiç bir kullanıcının şifresi hiçbir zaman zaman aşımına uğramaz.


    Aynı bölümde şifre belli sayıda üst üste yanlış girilirse kullanıcı hesabının kitlenmesi gibi işlemler de yapılabilir.



    Grup ilkesi ile güvenlik sağlamaBaşlat-çalıştır gpedit.msc yazarak grup ilkesine girelim. Kullanıcı yapılandırması bölümünde yönetim şablonlarını seçelim. Burda hakları belirleyelim.

    Bunun dışında kullanıcı oluştururken sınırlı kullanıcı hakları atayarak bu işlemleri yapabiliriz.
    Tabi bu hakları yukardaki işlemleri kullanarak dahada kısıtlı hale getirebiliriz.
    Computer Management ile kullanıcı ve güvenlik ayarları
    Windows XP Professional'ın sunduğu tüm ayarlara ulaşmak için ise: Control-panel>Administrative Tools



    Kullanıcı ayarları Computer Management'ın bir bölümü olduğu için onu açıyoruz.
    Soldan System Tools>Local Users and Groups>Users :



    Bir kullanıcı isminin üstüne çift tıklarsanız özelliklerine ulaşırsınız.
    Tab: General
    XP'nin policy ayarlarında varsayılan olarak her kullanıcı 42 günde bir şifresini değiştirmek zorundadır.
    Password never expires seçilirse bu özellik bu kullanıcıyı etkilemez.
    User Cannot change Password seçili ise kullanıcı kendi şifresini değiştiremez.
    Account Disabled seçilirse kullanıcı adını silmeden kullanım dışı bırakmış oluruz.

    tab: ProfileBu ekranda kullanıcı her login olduğunda çalışacak bir login script tanımlayabilirsiniz.



    tab : Member ofBu bölümde kullanıcının dahil olduğu grupları ayarlarız.
    Her bir kullanıcıya ayrı ayrı hak tanımlamarı yapmak yerine kullanıcı grupları oluşturur bu gruplara istediğimiz hakları verir ve aynı haklara sahip olacak kullanıcıları bu grupların üyesi yaparız.
    XP ilk yüklendiğinde her birisi değişik haklara sahip önceden tanımlı bazı gruplar kendiliğinden oluşur.
    Bir kullanıcı birden fazla gruba üye olabilir. Üye olduğu grupların haklarının birleşim kümesi kullanıcı için geçerlidir.
    Tüm kullanıcılar oluşturulur oluşturulmaz Everyone grubunun üyesidir. Ancak bu grup bu ekranda gözükmez.
    Add ile bu kullanıcıyı başka grupların üyesi yapabilirsiniz.
    Şimdi buna bir bakalım.


    AddGelen ekranda grup ismini girip ok diyebilirsiniz.
    Eğer grupları listelemek istiyorsanız Advanced.

    Çok büyük bir ağda aradığınız grup ismini diğerlerinden ayırmak için bazı kriterler yazarak aratırsanız kolaylık olur.
    Ancak şu an bizim makinamızda o kadar fazla grup tanımlı olmadığı için biz sadece Find Now diyoruz ve tüm gruplar listeleniyor.



    İstediğimiz grup ismine çift tıklayınca kullancı grubunun bilgisayar ismini de içeren tam ismi karşımıza geldi.
    OK
    Kullanıc şu anda iki grubun birden üyesi. Böylece bu iki grubun haklarına da sahip.


    Windows XP Professional kurulduğunda önceden tanımlı bazı grupları kendisi oluşturuyor:




    Sizde ek gruplar oluşturabilir ve policy'ler ile bu gruplara haklar verebilirsiniz.
    Şifreyi sıfırlamak :
    Computer Management içinden kullanıcının şifresini sıfırlayabilirsiniz ancak önemli bir nokta var.
    Şimdi bir kullanıcının üzerine sağ tıklayıp Set Password diyelim.




    Ancak bu özellik kullanıcı şifresini unuttuğu durumlar için yapılmış bu yolla şifre değiştirmek tavsiye edilmeyen bir durum.


    Bir uyarı ekranı çıkıyor.
    "Şifrenin sıfırlanması geri döndürülemez veri kayıplarına yol açabilir. Güvenlik nedeniyle Windows şifre sırıflandığında bu kullanıcının önceden oluşturduğu bazı bilgilere erişime izin vermeyecektir. Bu özelliği sadece kullanıcı şifresini unutmuşsa ve şifresiyle koruduğu dosyalar yoksa kullanın. Eğer şu anki şifrenizi biliyorsanız Control Panel>User accounts içinden şifrenizi değiştirebilirsiniz."
    Help ile detaylı bilgi alırsak:

    Eğer kullanının şifresi yoksa veya varolan şifre biliniyorsa şifreyi değiştirmek için Control Panel>User Accounts kullanılmalıdır.
    Eğer buradan kullanıcı şifresi sıfırlanırsa;

    Kullanıcının public key ile şifrelediği e-postalar
    Kaydedilmiş ve bilgisayarın hatırladığı internet şifreleri
    Kullanıcının şifrelediği dosyalar
    erişilemez hale gelecektir.
     

Bu Sayfayı Paylaş