Share-level Security’de (Paylaşım Düzeyli) ağdan erişimlerde kaynaklar kullanıcı ve şifre seviyesindedir. Hem NTFS hem de FAT’te kullanılır.
File-level Security’de (Dosya Paylaşım Düzeyli) yerel yönetimde sadece NTFS dosya sisteminde kullanıcılar için dosya ve dizin seviyesinde paylaşım yapabilir.
PAYLAŞIM GÜVENLİK SEVİYELERİ
FULL CONTROL
|
|
CHANGE
|
|
READ
|
|
NO ACCESS
|
|
C2 GÜVENLİK DÜZEYİ
1) Kaynak erişim kontrolü kaynağın sahibinde olmalı.
2) Denetim: Sistem yöneticileri güvenlikle ilgili olayları ve kulanıcıları denetleyebilmelidir. Denetim sadece yetkili kişiler tarafından yapılabilmelidir.
3) Tanımlama: Her kullanıcı kendini tanımlamalıdır. Sistem kullanarak kullanıcının aktivitelerini kontrol eder.
Windows NT C2 güvenlik standartlarına uyacak şekilde tasarlanmıştır. Ama en büyük dez avantajıda “plug and play” değil “plug and pray” olmasıdır.
NTFS FOLDER (Klasör) İZİNLERİNDE KULLANICI NELER YAPABİLİR
READ (R)
|
* Klasör ismini, sahibini, özelliklerini, ve izinlerini görebilir.
|
WRITE (T)
|
* Dosya ve klasörlere bilgi ekleyebilir, özelliklerini değiştirebilir; izinleri ve sahibini görebilir.
|
EXECUTE
|
* Klasörün özelliklerini, sahibini ve izinlerini görebilir. Eğer çalıştırılabilir dosya ise çalıştırabilir.
|
DELETE (D)
|
* Klasörü silebilir.
|
CHANGE (P) PERMİSSİON
|
* Klasörün izinlerini değiştirebilir.
|
TAKE (O)
OWNERSHİP
|
* Klasörü sahiplenebilir.
|
NTFS DOSYA İZİNLERİNDE KULLANICI NELER YAPABİLİR
READ (R)
|
* Dosya içeriğini, sahibini, izinlerini, özelliklerini görebilir.
|
WRİTE (W)
|
*Sahibini ve izinlerini görebilir; özelliklerini ve içindeki bilgileri değiştirebilir.
|
EXECUTE(E)
|
* Sahibini, özelliklerini ve izinlerini görebilir. Eğer çalıştırılabilir bir dosya ise çalıştırabilir.
|
DELETE (D)
|
* Dosyayı silebilir.
|
CHANGE (P) PERMİSSİON
|
* Dosyanın izinlerini değiştirebilir.
|
TAKE (O) OWNERSHİP
|
* Dosyayı sahiplenebilir.
|
NO ACCESS DIŞINDA BÜTÜN İZİNLER CUMULATIVE’ DİR. (Örneğin: X dosyası için Ahmet kullanıcısına okuma izni verilmiş olsun. Ayrıca Muhasebe grubuna da yazma izni verilmiş olsun. Eğer Ahmet kullanıcısı muhasebe grubuna dahil ise Ahmet kullanıcısının hem okuma hem de yazma hakkı olacaktır.)
Yeni bir dosya yaratıldığında hangi kalsör altında yaratılırsa onun izinlerini alır.
Dosyaların Kopyalama ve Taşıma Sonrasındaki Durumları
Bir dosya hangi folder içine kopyalanırsa o folderın izinleri dosyanın izinlerinin üzerine yazılır. Yani dosya izinleri kabolur.
Her hangi bir folder içinde bir dosya yaratırsanız o dosya otomatikolarak içinde yaratıldığı folderın izinlerini alır.
Copying Within a Partition
|
Eğer dosya aynı partition içinde kopyalanıyorsa izinler olarak kopyalandığı klasörün izinlerini alır.
|
Moving within a partition
|
Eğer dosya aynı partition’da move edilirse izinler aynı kalır. Sadece directory pointerlar’ı ubdate edilir.
|
Moving across partition
|
Eğer farklı partition’a dosyayı taşırsak; dosya taşındığı klasörün izinlerini alır.
|
GLOBAL GROUP:
İçinde aynı haklara ve gereksinimlere sahip kullanıcılar bulunan group. Sadece Domain Kontrollerda yaratılabilir. Specific bir domaindeki kullanıcıları içerir. Başka group taşıyamaz. Başka domainlerin kullanıcılarını içeremez. Trust Relationship’lerde bir domain’den diğerine geçişlerde kullanılır. Bir çok domain’de aynı anda kullanılır bu nedenle büyük bir kolaylık sağlar. NT Workstationda yaratılamaz.
LOCAL GROUP (Yerel)
Yerel bilgisayar veya domain’ deki kaynaklara kullanıcıların erişmesini sağlar. Başka bir deyişle tüm haklar ancak yerel olarak verilir. Sadece NT sistemlerde yaratılabilir. Genelde sadece global goupları içermelidir. Ama kullanıcılarıda içerebilir. ( tavsiye edilmez. ). Başka domain’ lerin global gruplarınıda içerir. Ancak başka domain’ lerde kullanılamaz.
Yeni bir kullanıcı hesabı yaratmak için sadece iki terim girilmesi yeterlidir: Kullanıcı ismi ve şifre.
PROFİLES
Profiles kullanıcı ayarlarıdır. Yani bir kullanıcının masaüstü öğelerinden tutunda network ayarlarına kadar her türlü bilgilerinin bulunduğu yerdir. Ne zaman oluşur? Kullanıcı ilk logon olduğunda otomatik olarak Profiles dizini altına kullanıcı ismiyle yeni bir klasör oluşur ve ondan sonra yaptığı bütün değişiklikler buraya kaydedilir. Klasör içerisinde domain’ de kullanıcıyı tanımlayan NTUser.dat dosya bulunur. Üç çeşit profile bulunur: Default, Mandatory, Roaming.
NTUser.dat dosyaları default olarak açılan dosyadır. Kullanıcı windows ayarlarını tekrardan konfigüre edebilir.
NTUser.man dosyaları read-only dosyalardır. Kullanıcının yaptığı değişiklikler server’ a kayıt edilmediğinden ve tekrar logon olduğunda profile yine server’ dan okuyacağından bir önceki logon sırasında yaptığı değişiklikler görünmeyecektir.
POLICIES
Policy kullanıcıların Windows fonksiyonlarını server’ dan denetlemek, kısıtlamak için kullanılır. Windows NT’ de System Policy’ den yaratılır. Bir kullanıcı için oluşturulmuş bir policy var ise, policy kullanıcının Windows ayarları üzerinde profile’ dan daha önceliklidir. Yani profile’ da kullanıcı için bir kısıtlama olmasa ancak policy’ de kısıtlanmışsa policy geçerli olur.
Kişisel policy’ ler group policy’ lerinden daha önceliklidir. Machine policy ise bütün policy’ lerden daha önceliklidir.
Emergency Repair Disk Oluşturmak
Bu bölüm hem NT Server hem de NT Workstation’da tamamen aynıdır.
Emergency Repair Disk yani acil durumlarda (genelde NT’nin açılmadığı durumlarda) tamir için kullanabileceğimiz disketi yaratmak için komut satırında veya Run’da rdisk.exe komutunu yazmanız yeterlidir. (Sadece rdisk yazsanızda olur.) Komut girildiğinde yeni bir pencere açılacaktır. Önce update Emergency Repair Disk’e tıklanır (Registry ve SAM kayıtlarının son haliyle yedeğe yazılması için) sonrada Create’e tıklanır. NT önce disketinize format atacak ve sonrada Registry ve SAM dosyaları için yedekleme yapacaktır.
Emergency Repair Disk ile NT’de yaratmış olduğunuz kullanıcı ve group tanımlamalarını, HDD’lerde yapmış olduğunuz değişiklikleri (RAID vs), sistem şifrelerini vs geri getirebilirsiniz.
TRUST RELATIONSHIP ( Domainler arasında güven ilişkileri )
Windows NT Server günümüzde bir çok şirkette değişik amaçlarla kullanılmaktadır. Bazı şirketlerde özel birimler güvenlik açısından sadece kendilerine ait primary domain controller bulundurmak istiyor. Amaçları bölümlerini network ortamından software olarak ayırmak. Özellikle bankalarda domain sayısı oldukça fazla. Trust Relationship diye tanımladığımız NT Server özelliği birden fazla domain bulunan networklerde, domain’ ler arasında güvenli bir geçiş için kullanılır. PDC’ de Administrative Tools, User Manager for Domains penceresinde policies modülünde Trust Relationship’ ten güven ilişkileri ile ilgili ayarları yapabiliriz.
Her PDC kendisine ait domain database’ ini kurulum aşamasında oluşturur. Database’ de kullanıcılar, network erişim hakları gibi bir çok güvenlik bilgileri bulunur. Farklı domainlerde bulunan kullanıcı ve kaynakları yönetilmek için güvenen (Trusting) domain ve güvenilen (Trusted) domain olarak Trust Relationship kurulumunda oluşan iki terimi anlamaya çalışalım.
Güvenen domain karşı domaindeki kullanıcılara kendi kaynaklarını açan domain’ dir. Bir başka deyişle kaynakların bulunduğu domain anlamında kaynak domain’ i diyebiliriz. Güvenilen domain için ise; kullanıcıları başka domain’lerin kaynaklarını kullanan domain diye tanımlayalım. Yada kısaca kullanıcıların bulunduğu domain diyelim.
Kısaca özetlemeye çalışırsak Trust Relationship oluşturulduğunda (Trusting) güvenen “kaynak” domain’i ve (Trusted) güvenilen “kullanıcı” domain’ i olmak üzere iki domain kavramı oluşur.
Trust Relationship oluşturmaya her zaman (Trusted) kullanıcı domain’nini oluşturarak başlamak karışıklığa sebeb vermemek açısından oldukça fayladılır.
Domain B trusts Domain A
Yukarıda ki şekle göre Domain A da bulunan tüm kullanıcılar Domain A ya logon olduklarında Domain B yede logon olurlar. Aslında güven ilişkilerinde Domain A nın database’ini kullanan kullanıcılar Domain B nin de database’ ini kullanırlar.
Çoklu domainlerde yandaki örnekte görüldüğü gibi E ve G domainleri F domainine güvenmekteler. Böylece F domainine logon olan kullanıcılar aynı zamnada E ve G domain kaynaklarını da kullanabilir. Ama bu şu anlama gelmiyor: E domaini G domainine güveniyor veya G domaini E domainine güveniyor. Ancak şartlar alttaki durumda olursa tüm domainler birbirine güvenir.
Kısaca Microsoft güven ilişkilerini geçişli olarak kullanmıyor. Örneğin siz bir arkadaşınıza çok güvenebilirsiniz ama arkadaşınız çok iyi birisi diye sizin tanımadığınız onun arkadaşlarına Microsoft domain mantığı ile güvenemiyoruz.
Ayrıca bir diğer önemli ayrıntı ise güvenen (Trusting) domain’ de kaynaklarının güvendiği domain’den (Trusted) logon olan kullanıcıların kullanabilmesi için gerekli izinlerin verilmesi gerekir. Başka bir anlatımla, kaynaklarını paylaşıma açan domain onlar için izinleri düzenlemek sorundadır. İzin düzenlemeleri yapılmamış bir Trust Relationship oluşumu network’te kaynak paylaşımı için bir anlam ifade etmez.
Yorum Gönder