Windows XP Teknik Genel Bakış - 5 Güçlendirilmiş Güvenlik Korumaları

İşletim Sistemi Windows XP Teknik Genel Bakış - 5
Microsoft Corporation - Yayın Tarihi:  Mayıs 2001

Güçlendirilmiş Güvenlik Korumaları

Bu bölümde, Windows XP’deki yeni ve geliştirilmiş güvenlik özelliklerinden bazıları açıklanmaktadır.

Internet Bağlantısı Güvenlik Duvarı

Windows XP, Internet güvenliğini, ev kullanıcıları ve küçük işyerleri için tasarlanmış Internet Bağlantısı Güvenlik Duvarı adlı yerleşik bir özellik yoluyla sağlar. Internet Bağlantısı Güvenlik Duvarı dinamik bir paket süzgecidir. Doğrudan Internet’e bağlı veya Internet Bağlantısı Güvenlik Duvarı çalıştıran bir Internet Bağlantısı Paylaşımı yapan ana bilgisayara bağlı bilgisayarları korur. Internet Bağlantısı Güvenlik Duvarı etkinleştirildiğinde Internet’ten gelen tüm istenmeyen bağlantıları durdurur. Güvenlik duvarı bunu gerçekleştirmek için, bir ağa veya yerel ana makineye gelen erişim isteklerini doğrulayan Ağ Adresi Çeviricisi (NAT) mantığını kullanır. Ağ iletişimi korunmuş ağdan başlamıyorsa veya bağlantı noktası eşlemesi oluşturulmamışsa, gelen veriler atlanacaktır.

Internet Bağlantısı Güvenlik Duvarı aşağıdaki bağlantı türlerinde kullanılabilir: Yerel Alan Ağı (LAN), Ethernet üzerinden Noktadan Noktaya (PTPOE), Sanal Özel Ağ (VPN) veya çevirmeli bağlantı. Internet Bağlantısı Güvenlik Duvarı, bağlantı noktalarının ve kaynakların (dosya ve yazıcı paylaşımı) dış kaynaklar tarafından taranmasını engeller. Örneğin, Internet üzerindeki bir kişi genel bağlantınız üzerinde bir tarama programı çalıştırırsa veya sistem kaynaklarınıza bağlanmaya çalışırsa, güvenlik duvarı bilginin, bağlantı noktalarından ve ağınızdaki kullanılabilir hizmetlerinden geçmesini engelleyecektir.

Denetimli Ağ Erişimi

Windows XP, “konuk” düzeyinde haklara sahip herhangi birinin ağdan bilgisayarınıza erişmeye çalışmasını sınırlayarak, davetsiz konukları engelleyen yerleşik bir güvenlik sağlar. Davetsiz konuk, bilgisayarınıza girmek ve parolaları deneyerek yetkilendirilmediği haklara sahip olmak isterse başarısız olacak veya yalnızca konuk düzeyinde sınırlı erişim hakkı elde edebilecektir.

Yazılım Kısıtlama İlkeleri

Windows XP’deki yazılım kısıtlama ilkeleri, sizi e-posta ve Internet ile yayılan çeşitli virüslere, truva atlarına ve parazitlere karşı koruyan bir yöntemle, güvensiz ve büyük olasılıkla zararlı kodları yalıtmak ve kullanmak için kolay anlaşılabilir bir yol sağlar. Bu ilkeler, sisteminizdeki yazılımı yönetme şeklinizi seçmenize izin verir. yazılım “tam olarak yönetilir”, (kodun nasıl, ne zaman ve nerede çalışacağına karar verirsiniz) veya yazılım “yönetilmez” (belirli kod yürütülmemek üzere yasaklanır).

Güvenilmeyen kodu ve komut dosyalarını ayrı bir yerde (kum havuzu olarak bilinen yer) yürüterek, yayılan kodun zarara yol açmamasına sağlayıp, güvenilmeyen kodun veya komut dosyalarının faydalı yerlerinden yararlanabilirsiniz. Örneğin, güvenilmeyen kodun, güvenli olarak doğrulanana kadar e-posta göndermesi, dosyalara erişmesi veya normal bilgi işlem işlevlerini gerçekleştirmesi engellenebilir.

Yazılım sınırlandırma ilkeleri, virüslü e-posta eklerine karşı koruma sağlar. Bunlar katıştırılmış nesneler veya komut dosyaları olabileceği gibi, geçici bir klasöre kaydedilen dosya ekleri de olabilir. Internet Explorer veya başka bir uygulamayı başlatabilecek ve güvenli olmayan katıştırılmış komut dosyası içeren bir Web sayfasını yükleyebilecek URL/UNC bağlantılarına karşı da korunmuş olursunuz. Web’den yüklenen ActiveX™ denetimleri de izlenir ve gerekirse etkisiz hale getirilebilir.

Ethernet veya Kablosuz LAN’lardaki Sunucular için Güvenlik Geliştirmeleri

Güvenli Kablosuz/Ethernet LAN, güvenli kablolu veya kablosuz yerel alan ağları (LAN) oluşturmanıza yardımcı olur. Bu işlem, Ethernet’teki veya Kablosuz LAN’daki sunucuların dağıtımı etkinleştirilerek yapılır.

Güvenli Kablosuz/Ethernet LAN ile, bilgisayar, kullanıcı oturum açana kadar ağa erişemez. Ancak, bilgisayarda “makine doğrulaması” etkinse, makine IAS/RADIUS sunucusu tarafından doğrulanıp yetkilendirildikten sonra LAN erişimi elde edebilir.

Windows XP’deki Güvenli Kablosuz/Ethernet LAN IEEE 802.11 özelliklerine dayanan kablolu ve kablosuz LAN’lar için güvenlik sağlar. Bu işlem, otomatik kayıt veya akıllı kartlar tarafından dağıtılan genel sertifikaların kullanımıyla desteklenir. Bu işlem, büyük alışveriş merkezleri veya havaalanları gibi genel alanlardaki kablolu Ethernet veya kablosuz IEEE802.11 ağlarının erişim denetimini sağlar. Bu IEEE 802.1X Ağ Erişim Denetimi güvenlik özelliği, Genişletilmiş Kimlik Doğrulama İletişim Kuralı (EAP) işletim ortamındaki bilgisayarların kimlik doğrulamalarını da destekler.

IEEE 802.1X, hem kablolu Ethernet hem de kablosuz IEEE 802.11 LAN’lara kimlik doğrulamalı erişim sağlamak üzere bir sunucuya izin atayan yöneticiye izin verir. Bu şekilde, sunucu bir ağ üzerine yerleştirilirse, yönetici bu sunucunun yalnızca kimliğinin başarıyla doğrulanması durumunda ağa erişebilmesinden emin olmak ister. Örneğin, konferans odasına erişim yalnızca belirli sunucular için sağlanmalı, diğerlerine yasaklanmalıdır.

Microsoft Passport ile Tek bir Oturum Açma

Windows XP’de, işletim sisteminin Passport kimlik doğrulamasını kullanmasına izin vererek, bilgisayarınızın farklı konumlardan veri almasını sağlayan WinInet DLL’sine Passport kimlik doğrulama iletişim kuralları eklenmiştir. Microsoft Passport hesabınız varsa, Passport’u destekleyen herhangi bir Web sitesine oturum açma veya katılan Web sitelerinden ürün satın alma gibi çeşitli görevlerde otomatik olarak Passport kullanabilirsiniz.

Kimlik Bilgisi Yönetimi

Kimlik Bilgisi Yönetimi özelliği, kullanıcıların parolalarını ve X.509 sertifikaları gibi kimlik bilgilerini güvenli şekilde saklayabilecekleri bir ortam sağlar. Bu şekilde, gezici kullanıcılar da dahil olmak üzere, kullanıcılara tutarlı tek bir oturum açma deneyimi sağlanmış olur. Uygulamaya şirket ağından eriştiyseniz, ilk denemeniz kimlik doğrulaması gerektirir ve kimlik bilgilerini vermeniz istenecektir. Verdiğiniz kimlik bilgileri, ilgili uygulama ile ilişkilendirilecektir. Bu uygulamaya bundan sonraki erişimlerde, kimlik bilgilerinizi yeniden girmeniz istenmeden, kaydedilen kimlik bilgileri kullanılacaktır. Üç bileşeni vardır: kimlik bilgileri için güvenli saklama ortamı sağlayan Kimlik Bilgisi Yöneticisi; kullanıcıdan kimlik bilgileri soran API kümesini sağlayan Kimlik Bilgileri Toplama Kullanıcı Arabirimi ve kullanıcılara Kimlik Bilgisi Yöneticisi’nde kimlik bilgileri ekleme, kaldırma ve düzenleme olanağı veren Anahtarlık.

Dosya Sistemini Şifreleme

Dosya Sistemini Şifreleme (EFS) genel anahtar şifrelemeye dayanır ve Windows XP’nin CryptoAPI yapısının avantajlarını sunar. EFS’nin varsayılan yapılandırması yönetici gerektirmez; dosyaları şifrelemeye hemen başlayabilirsiniz. EFS, kullanıcı için bulunmuyorsa, otomatik olarak bir şifreleme anahtarı çifti oluşturur.

EFS şifreleme algoritması olarak geliştirilmiş Veri Şifreleme Standardı (DESX) veya Triple-DES (3DES) kullanır. Şifreleme hizmetleri Windows Explorer’dan bu yana kullanılmaktadır.

Dosyayı veya klasörü, dosyalardaki ve klasörlerdeki salt-okunur, sıkıştırılmış veya gizli gibi herhangi bir özelliği ayarladığınız şekilde, şifreleme özelliğini ayarlayarak şifreleyebilirsiniz. Klasörü şifrelediğinizde, şifrelenmiş klasörde oluşturulmuş veya eklenen tüm dosyalar ve alt klasörler de otomatik olarak şifrelenir. Klasör düzeyinde şifreleme yapmanız önerilir.

Internet’te Güvenli Veri Depolama

Windows XP, şifrelenmiş dosyaları Web sunucularında depolamanıza izin verir. Bu dosyalar Internet’ten şifreli olarak aktarılır ve sunucularda şifrelenmiş bitler olarak depolanır. Dosyalarınızı kullanmak istediğinizde, dosyaların şifreleri bilgisayarınızda uygun şekilde çözülür. Bu şekilde, duyarlı verilerinizi, iletilirken verinizin çalınmasından veya okunmasından endişe etmeden Web sunucularınızda güvenli olarak depolayabilirsiniz. Web sunucusuna erişebilenler—sunucu yöneticisi bile—dosyalarınızı okuyamaz. Güvenli olarak depolanan bu dosyaları istediğiniz kişiyle—aile bireyleri, arkadaşlar veya iş yerindeki iş arkadaşlarınızla—paylaşabilirsiniz.

Kolay Yönetilebilirlik

Bu bölüm, Windows XP’nin dosyaları ve ayarları hızla yeni bilgisayara geçirmenin yanı sıra, dosyalarınızın, klasörlerinizin ve masaüstünüzün yönetimini nasıl kolaylaştırdığını açıklamaktadır. Buna ek olarak, Terminal Hizmetleri teknolojisinin Uzak Masaüstü ve Hızlı Kullanıcı Değiştirme’yi etkinleştirdiğini açıklamaktadır.

IntelliMirror

Windows XP bilgisayarınız Active Directory™ hizmeti kullanan bir ağın parçasıysa, kişisel bilgi işlem ortamınız için “beni izle” işlevleri sağlayan IntelliMirror® yönetim teknolojisine erişiminiz olabilir. Kullandığınız bilgisayardan ve ağa bağlı olup olmamanızdan bağımsız olarak, verinizin güvenle tutulduğu ve kullanılabilir olduğu güveniyle tüm bilgilerinize ve yazılımlarınıza sabit erişiminiz olur.

Grup İlkesi

Grup İlkesi ayarları, IT yöneticilerine, bölümler veya yerler gibi mantıksal birimler düzenleyerek ve gruptaki tüm çalışanlara güvenlik, görünüm ve yönetim seçenekleri gibi ayarların aynısını atayarak kullanıcıların veya nesnelerin yönetimini basitleştirir. Bu yaklaşım tüm grup üyelerinin sabit ayarlara sahip olmalarını da sağlar. Windows 2000 Professional için kullanılabilenlere ek olarak Windows XP Professional için kullanılabilen 300’den fazla yeni ilke vardır.

İlke Sonuç Kümesi     

Windows XP Professional içindeki İlke sonuç Kümesi (RSoP) aracı yöneticilerin hedef kullanıcı veya bilgisayarda Grup İlkesi etkilerini görmelerine izin verir. RSoP ile, yöneticiler Grup İlkesi’ni planlamak, izlemek ve sorunlarını gidermek için güçlü ve esnek bir temel araç sahibi olurlar.       

Grup İlkesi

Windows XP Professional, kullanıcı ve bilgisayar ayarlarını daha iyi özelleştirmenizi sağlayan Yerel Grup İlkesi’ne ek ilkeler eklemiştir. Bu güçlü yönetim özelliği, masaüstünüzü ayarlamanıza ve kilitlemenize izin vererek birçok farklı özelleştirilmiş senaryo olanağı sunar. Yerel Grup İlkesi yapabilecekleriniz şunlardır:

·         Masaüstü, Başlat menüsü ve araç çubuğu için yapılandırmalar belirleyerek kullanıcı arabirimini özelleştirme.

·         Kişisel Güvenlik Duvarı veya Windows Messenger gibi belirli işletim sistemi bileşenlerinin kullanımını yasaklama.

·         Yazılım Kısıtlama İlkesi Ayarları kullanarak virüslerden korunma.

Not: Bilgisayarınız Active Directory etkin ağın parçasıysa, etki alanı tabanlı Grup İlkesi, Yerel Grup İlkesi ayarlarınızı geçersiz kılabilir. Ayrıca, Windows XP Home Edition, Yerel Grup İlkesi sağlamaz. 

Dosyaları ve ayarları geçirme

Windows XP, eski bilgisayarın değiştirilmesini Dosya ve Ayar Aktarma Sihirbazı kullanımı ile kolaylaştırır. Dosyaları, belgeleri ve ayarları bir disketten (veya herhangi bir kaldırılabilir ortamdan), ev yerel ağ bağlantısından veya bilinen bir UNC yolundan geçirmenizi sağlayabilir. Windows XP bilgisayarınızdaki sihirbaz, eski bilgisayarınızda bulunan ayarları, dosyaları ve belgeleri toplamak üzere sihirbazı çalıştırma işleminde yol gesterir.  Ayrıca yeni bilgisayarınızda bu dosyaların, ayarların ve belgelerin uygulanmasında da yol gösterir.  Sihirbaz aktarılacak ek dosyalar, dosya türleri veya klasörleri seçmenizi de sağlar.

Microsoft Office de dahil olmak üzere sınırlı sayıda uygulamanın ayarları da desteklenir. Sihirbazın uygulamaları geçirmediğine dikkat edin; yüklenmedilerse, uygulamaları yeni bilgisayara yeniden yüklemeniz gerekecektir.

Varsayılan olarak geçirilen öğeler şunlardır: Internet Explorer ayarları, Outlook Express ayarları, saklı Outlook ayarları, saklı çevirmeli ağ bağlantıları, telefon ve modem seçenekleri, erişilebilirlik, klasik masaüstü (isteğe bağlı) ekran koruyucu ayarları, yazı tipleri, klasör seçenekleri, görev çubuğu ayarları, fare ve klavye ayarları, ses ayarları, bölgesel seçenekler, ofis ayarları, ağ sürücüleri ve yazıcılar masaüstü klasörü, belgelerim klasörü, resimlerim klasörü, sık kullanılanlar klasörü, tanımlama bilgileri klasörü, ortak ofis dosya türleri. Windows XP çıkana kadar başka uygulamaların da geçirilmesi desteklenecektir.

Windows XP, Windows 2000 Kaynak Seti’nin parçası olarak kullanılan komut satırı aracı Kullanıcı Durumu Geçiş Aracı’nın (USMT) güncelleştirilmiş sürümünü de bulundurur. Hem sihirbaz hem de komut satırı aracının yeni sürümü, belirli bir iş ortamına daha uygun olmak veya ek öğeleri geçirmek üzere IT profesyonelleri tarafından özelleştirilebilecek INF dosyaları tarafından sürülür.

Hesap Yönetimi İyileştirmeleri

Denetim Masası içindeki hesap yönetimi özelliği, bilgisayarın kullanıcı hesapları ve parolalarını eklemenizi, silmenizi ve değiştirmenizi sağlar. Bu, ailenin diğer üyelerinin bilgisayarı kullanmalarına izin vermek isteyen ev kullanıcıları için yararlıdır. Not: Bir şirket ağının parçası olarak bağlantı kuruyorsanız, etki alanı işlevselliği için Kullanıcılar ve Parolalar Denetim Masası’nı kullanmalısınız.

Bölgesel Seçenekler İyileştirmeleri

Denetim Masası bölge ve dil seçenekleri için, Giriş Dili ve klavye düzenlerini ekleme ve değiştirmeyi, tarihleri, miktarları ve para birimlerini görüntülemek için Standartlar ve Biçimler arasında geçiş yapmayı, Web içeriği için varsayılan Konum’u ayarlamayı ve Unicode olmayan Programlar için Dil değiştirmeyi kolaylaştırmak üzere yeniden tasarlanmıştır. En sık kullanılan seçenekleri bulmak ve kullanmak artık kolaylaşmıştır.

Konumuzla ilgili Web içeriğini almak üzere konum ayarlarını yapılandırabilirsiniz.

64-Bit Desteği

Bu bölümde, karmaşık bilimsel problemleri çözmeyi, yüksek performanslı tasarımlar ve mühendislik uygulamaları geliştirmeyi veya 3-B animasyonlar oluşturmayı hedefleyenler için yüksek performans sağlayan bir iş istasyonu olan Windows XP 64 Bit Edition açıklanmaktadır.

64-bit edition, yeni Intel Itanium 64-bit (IA-64) işlemcinin gücünden ve verimliliğinden yararlanacak şekilde tasarlanmıştır. Windows XP’nin 32 bit sürümünde yer alan özelliklerin ve teknolojilerin birçoğu 64-bit sürümünde de bulunmaktadır (özel durumlar: kızılötesi desteği, Sistem Geri Yükleme, DVD desteği ve çalışırken yuvalama gibi mobil bilgisayarlara özgü özellikler). 64-bit sürüm, WOW64 32-bit alt sistemi ile 32-bit uygulamaların çoğunu destekleyecek ve Windows 32-bit sistemleriyle birlikte çalışabilecektir. Her iki sürüm de ağdan bağımsız çalışmaktadır.

Windows XP 64-Bit Edition, Win64™ API’ye dayanan yeni kuşak uygulamalar için ayarlanabilir, yüksek performanslı bir platform sağlamaktadır. 32-bit sistemlerle karşılaştırıldığında, yapısı, sekiz terabayta kadar sanal belleği destekleyerek çok büyük miktarda verinin çok daha verimli şekilde işlenmesini sağlamaktadır. Uygulamalar, 64-bit Windows ile, IA-64 işlemcisi tarafından daha hızlı erişilebilmesi için çok fazla veriyi sanal önceden belleğe yükleyebilir. Bu, veriyi sanal belleğe yükleme veya veri depolama aygıtlarını tarama, okuma ve yazma süresini kısaltarak, uygulamaların daha hızlı ve verimli çalışmasını sağlamaktadır. 64-bit sürüm geliştiricilere tek bir kod tabanı sağlayarak, standart Win32 sürümüyle aynı programlama modeline göre oluşturulmuştur.

Windows XP 64-Bit Edition özellikle aşağıdaki senaryolarda kullanıcılara avantaj sağlayacaktır:

·         Mekanik Tasarım ve Çözümlemeler. Yoğun kayan noktalara sahip uygulamalarda, gigabaytlar büyüklüğünde verileri yönetmek.

·         Sayısal İçerik Oluşturma. Daha fazla bilgi işlem gücü gerektiren HDTV ve DTV’yi ortaya çıkaran karmaşık 3-B grafikler ve animasyon.

·         Diğer teknik pazarlar. Finansal, elektronik ve diğer bilimsel veya mekanik uygulamalar.

İleriye Bakma: Microsoft.NET Platformu

Bu bölüm, size ağ ve Internet bağlantıları olarak daha fazla olanak sunan yeni bir bağlanabilirlik düzeyi sağlama hedefi bulunan, bilgi işlemin geleceğinin önemli bir parçası Microsoft .NET Platformu’nda Windows XP’nin nasıl önemli bir yer aldığı hakkında genel kavramsal bir bakış sunmaktadır. Kullanılmakta olan, yalnızca Web’i taramakla sınırlandırılmış eski model PC’ler, akıllı, servis gerektirmeyen, ağ ile ilgili çevrimiçi olup olmadığınızı veya ne kadar bant genişliğine sahip olduğunuzu “bilen” bilgisayarların ve aygıtların oluşturduğu yeni bir ortamın yolunu açmıştır. Windows XP ile, PC’niz ana “hizmet merkeziniz”—yalnızca bilgi almak için değil, ayrıca bilgiyi kullanıp üzerinde işlem de yapmanıza olanak veren zengin bir iki yönlü arabirim—haline gelmiştir. Bu ortam aşağıdaki çekirdek hizmet ve iletişim kuralı grubuyla oluşturulmuştur:

·   XML. Genişletilmiş Biçimlendirme Dili, yapılandırılmış verilerin tek biçimli ve uygulamalardan ve üreticilerden bağımsız olmasını sağlar; bu nedenle, Web Hizmetleri bütünleştirilmesi için ideal bir buluş olarak nitelendirilir. 

·    SOAP. Web’deki yapılandırılmış ve yazılmış bilginin değişimi için tasarlanmış XML tabanlı iletişim kuralı. SOAP, paylaştırılmış ve açık Web altyapısına dayanan zengin ve otomatikleştirilmiş Web hizmetlerini etkinleştirir.

·    UDDI. Evrensel Buluş Açıklaması ve Bütünleştirmesi, Web Hizmetleri hakkındaki bilgileri bulmak ve yayımlamak için kullanılır.

Web Hizmetleri, elektronik ticaretin programlama alt yapısı olarak, .NET ve Windows XP kullanabilmeniz için gerekenlerin özüdür. Örneğin, bir Web sitesinden finansal bilgiler alabilir, bunları otomatik olarak Excel’e aktarabilir ve bilgileri finansal planlamada kullanabilirsiniz. Ayrıca, Hızlı İleti’yi akıllı aygıtlarla bütünleştirdiğinizde elde edebileceğiniz olanakları düşünün. Kolayca bir otomobil alarmı senaryosu düşünebiliriz. Birisi otomobilinizin camını kırdı ve alarmı çalıştırdı. Bir sonraki adımda yapaklarınızla ilgili seçenekler sunan bir Anlık İleti alırsınız. Polis çağırabilir, alarmı göz ardı edebilir veya susturabilirsiniz.

Akıllı Aygıtları Bütünleştirme

Windows XP ile PC, aygıt denetiminin ve çok sayıda çeşitli yolla yönetilebilecek akıllı aygıtın koordinasyonu için bir merkez haline gelmektedir. Örneğin, artık PC’nize sayısal kameranızdaki dosyaları yüklemeniz gerekmeyecek. Bunun yerine, sayısal kamerayı bağlamak, size resimleri doğrudan kameradan bastırma, yüklemeden önce tarama veya otomatik olarak e-posta ile gönderme veya anında Web’de yayımlama seçenekleri sunmaktadır. Bu tür bağlantılar PC’de yeni deneyimleri olanaklı kılmaktadır.

Daha fazla bilgi için http://www.microsoft.com/net/ adresindeki Microsoft’un .NET Web sitesine bakın.