1. Yerel Kaynakların Korunması

NT işletim sistemi düzenlediği sabit disk, sürücü ve diğer birimlerin korunması için değişik güvenlik yöntemlerine sahiptir. NTFS dosya sistemi, dosya ve dizinlere kullanıcı bazında izinler vererek NT sisteminin ana izin sistemini oluşturur. Microsoft Windows NT Workstation'da izinleri yalnızca administrator hakkına sahip olanlar değiştirebilir.

Yerel(local) bilgisayarın sabit diski ve diğer birimlerinin korunmasının yanısıra network(ağ) üzerinden sisteme erişecek kullanıcıların da kontrol edilmesi NT koruma sisteminin bir bölümünü oluşturur. NT işletim sistemi bu işlemler için çok sayıda araca sahiptir.

Yönetim araçları

NT Explorer

My Computer

Server Manager

Command Prompt (komut yolu)

 

NT kaynaklarına başvuran bir kullanıcı için tesis edilen kontrol üç ayrı düzeyde düzenlenir:

Share - Level (paylaşım düzeyi)

Directory - Level (dizin düzeyi)

File – Level (Dosya düzeyi)

 

Paylaşım düzeyli paylaştırma uzak kullanıcılar için yapılır. Diğer paylaşım düzenlemeleri yerel kullanıcılar içindir.

2. NTFS Güvenlik Sistemi

NTFS, NT'ye özgü bir dosya sistemidir. NTFS bölümü kullanıcılara izin (hak) vererek sabit diski yerel ve uzak(network) bağlantılarına karşı korur. Bu nedenle izinleri dosyaların sahip oldukları özellikler olarak düşünmek gerekir. NTFS güvenlik sistemi içinde ayrıca disk üzerinde yapılan işlemler denetlenir(auditing) ve sahiplikler düzenlenir.

2.1. NTFS Dosyalarının İzinleri

İzinler (permissions) dosyaların nasıl ve kim tarafından kullanılacağını belirler. NT’de beş çeşit izin vardır.

İşlem	Read	Write	Execute	Delete	Change Permissions	Take Ownership
Erişim yok	-	-	-	-	-	-
Okuma	x	x	-	-	-	-
Değiştirme	x	x	x	x	-	-
Full Kontrol	x	x	x	x	x	x
Özel Erişim	x	x	x	x	x	x

 

2.2.Varsayım İzinler

Bir disk bölümü NTFS ile formatlandığında Everyone(herkes) gurubuna (yerel) Full Control olarak açılır. Bunun anlamı yeni yaratılan bir NTFS disk bölümünün yerel bir FAT ya da ya da HPFS bölümü gibi kullanılmasıdır.

2.3. NTFS Dizinlerinin İzinleri

Dizinlere de dosyalar gibi belli izinler verilir. Dizin izinleriyle dosya izinleri arasında en büyük fark, Special Access(Özel Erişim) izinleri bakımındandır. Dizin özel erişim izinleri yeni mevcut dosyalar ve dizinler için ayrı ayrı düzenlenir.

Bir dizinin izinlerinin değiştirilmesi, onun içindeki dosyaların izinlerini değiştirir. Bir dizinin izinlerini değiştirmek onun içindeki alt dizinlerin izinlerini değiştirmesi seçeneğinin işaretlenmesine bağlıdır.

Bir dizine yeni eklenen bir dosya ya da bir altdizin, üst dizinin izinlerini miras olarak alır.

Dizin izinlerinde iki takım parantez kullanılır. Bu parantezlerin anlamı şudur:

Birinci grup parantezler, mevcut ve yeni dizinlere uygulanır ve Special Directory Access tarafından düzenlenir. İkinci Grup Parantezler ise mevcut ve yeni dosyalara uygulanır ve Special File Access tarafından düzenlenir.

Örnek : Everyone Full Control (All) (All)

2.4. Kopyalanan ya da Taşınan Dosya ve Dizinlerin İzinleri

Bir dosya kopyalandığında hedef yerde yeni dosya işlemi görür ve o yerin yeni dosya izinlerine sahip olur. Klasör kopyalandığında yine klasör hedef yerdeki izinlere sahip olur. Yeni bir partition’a(bölüme) kopyalan ya da taşınan dosya gittiği yerin izinlerine tabi olur. Buna konteyner (container) etkisi denir.

Dosya ve dizinler aynı partition’da bir yerden diğerine taşınırsa o zaman izinlerini götürürler. Ancak eğer başka bir bölüme taşınırsa o zaman yine kopyalamada olduğu gibi hedef alanın izinlerine tabi olurlar.

Komut Aynı Bölümde(partition) Farklı Bölümde(partition) ise :

Copy : Hedef dizinin izinlerini miras alır. Hedef dizinin izinlerini miras alır.

Move : Orijinal izinler kalır. Hedef Dizinin izinlerini miras alır.

 

2.5. Kullanıcı ve Grupların İzinlerinin Etkileşimi

Bir grup içinde tanımlı olan kullanıcının bir kaynağa ulaşmadaki izinleri kullanıcı izinleri + grup izinleri birleşerek kullanıcıyı temsil eder. Grup ya da kullanıcı izinlerinden birisinin No Access olması durumunda birleşik(kümulatif) izin No Access olacaktır.

Grup

Kullanıcı	Ahmet	Yiğit	Arcan	Geçerli İzin
İzin1	Write	-	Read	Read / Write
İzin2	-	Change	Read	Change
İzin3	No Access	Read	Change	No Access

 

2.6. Sahiplik

Bir dosya ya da dizinin sahibi (owner/yaratan) onun izinlerini değiştirme yetkisine sahiptir. Diğer bir deyişle sahiplik izni değiştirmek onun hakkıdır. Temel olarak Administrator(Yönetici) sahiplikleri düzenler ve istediği sahipliği de elde eder. Bunun dışında bir sahip, kendi dizin ya da dosyası üzerinde istediği kullanıcıya istediği hakkı verebilir.

Sahipliği görmek ve almak için NT Explorer çalıştırılır. Sonra dosya ya da dizin seçilir. Ardından sağ tuşa basılarak Properties(özellikler) komutu seçilir. Buradan Ownership bölümü seçilir. Varsayım olarak dosya ya da dizini yaratan kullanıcı onun sahibidir. Sahiplik konusunda genel kurallar şunlardır:

Yaratıcı(sahip) kullanıcı, başka bir gruba ya da kullanıcıya sahiplik hakkını verebilir.

Administrators, bir dosya ya da dizinin sahipliğini alabilir.

Eğer Administrators grubundan birisi bir sahiplik alırsa Administrators gurubu sahip olur. Buna karşın Administrators gurubunda olmayan bir kullanıcı sahiplik alırsa sadece kendisi sahip olur.

Bir dosyanın sahibi olmak ya da Administrator olmak dosyanın bütün izinlerine (haklarına) sahip anlamına gelmeyebilir. Ancak bir sahip o dosyanın izinlerini değiştirerek istediği izinleri elde eder.

 

2.6.1. Dizin ve Dosya Sahipliğinin Alınması

Bir dosyanın ya da dizinin sahipliğinin alınması için aşağıdaki koşulların yerine getirilmesi gerekir:

Full Control izni

Special Access izinlerinden Take Ownership

Administrators grubunun üyesi olmak.

2.7. İzinlerin Düzenlenmesi

NT kaynaklarına başvuran bir kullanıcı (yerel ya da network) için tesis edilen izinler (kontrol) üç ayrı düzeyde düzenlenir.:

Share- Level (Paylaşım düzeyi)

Directory - Level (Klasör (dizin) düzeyi)

File - Level (Dosya Düzeyi)

 

Share - Level paylaşım bir dizinin genel olarak network’e (diğer kullanıcılara) paylaştırılmasıdır. Dosya ve dizin düzeyindeki paylaşımlar ise yerel bir kullanıcı ya da grup için özel izinlerin düzenlenmesidir.

Sabit diskteki dizinler ve dosyalar için yapılacak izin düzenlemeleri için My Computer ya da NT Explorer kullanılabilir.

2.8. Bir Dizini Paylaştırma

Çalışan bir NT server üzerindeki dosya ve dizinlere izni olmayan kullanıcılar ulaşamazlar. Diğer bir deyişle NT Server üzerindeki dosya ve dizinlere yerel olarak ve network üzerinden ulaşmak için bu dosya ve dizinlerin paylaştırılması gerekir. Bir dizini paylaştırmak için Administrators gurubunda ya da Server Operators gurubunda olmak gerekir.

Bir dizin yerel (bulunulan makinede) ya da uzaktan paylaştırılabilir. Yerel yönetim için NT Server ’a giriş yapılmalıdır. Uzaktan paylaşım yaratmak için Server Manager programı çalıştırılmalıdır.

Bir dizini paylaştırmak için, 

• NT Explorer çalıştırılır veya  My Computer simgesi açılır.

• Paylaştırlacak dizin seçilir.

• Dizin üzerinde farenin sağ tuşuna basılarak Properties(özellikler) seçilir.

Ekrana gelen Properties(özellikler) iletişim kutusundan Sharing seçilir.    User Limit, paylaşımları kısıtlamak için kullanılır. Maximum Allowed : Aynı anda sınırsız kullanıcının bu dizine ulaşmasını sağlar. Allow : Sadece belirtilen sayıda kişinin aynı anda dizine ulaşması sağlanır. Daha fazla kullanıcının erişimi bir mesajla önlenir.

Paylaşıma açılan bir dizine (kaynağa) bir paylaşım adı verilir. Bu ad varsayım olarak dizinin adıdır. Bunun dışında kullanıcı istediği paylaşım adını dizine verebilir. 8 karakterden uzun verilen paylaşım adları Ms-Dos tarafından ulaşılamayacağı için sistem tarafından bir uyarı mesajı verilir. Paylaşımları gizlemek için paylaşım adlarının sonuna $ işareti konulur. Örnek Yigit$

3.Uzaktan Paylaşım Yönetimi

Uzaktaki bir bilgisayar üzerindeki paylaşımın yönetimi için My Computer ya da NT Explorer kullanılmaz. Bu işlem için Server Manager programı kullanılır. 

Server manager’a ulaşmak :

             Start -> Programs -> Administrative Tools ve Server Manager 

Ardından seçilen bilgisayar (server) temelinde yönetim işlemlerine başlanır. Bu işlem için düğmeler kullanılır.

Uzaktan paylaşımları gören sistem yöneticisi isterse, Disconnect (Bağlantıyı Kes) düğmesi ile paylaşımdan yararlanan kullanıcıların paylaşımlarını keser.

3.1. Yönetimsel Paylaşımlar

NT Server ve Workstation işletim sisteminde Server servisinin çalışmasıyla birlikte bazı gizli yönetimsel (administrative) paylaşımlar oluşturulur. Bu paylaşımlar :

ADMIN$ (NT programlarının bulunduğu dizin)

IPC$ (sistem içi iletişim)

C$ (herbir disk partition’u)

D$ "

E$ "

 

4. Kullanıcı Temelli İzinlerin Düzenlenmesi

Aynı makinadan(yerel bilgisayar) ya da network üzerinden düzenlenen izinlerde permissions (izinler) düğmesi ile bu izinleri kullanıcılar ve gruplar için verilmesi sağlanır. İzin (permission) bir kaynağa (dosya, dizin, yazıcı vb.) erişmek için gerekli haktır.

Kullanıcı temelli paylaşım iki şekilde oluşturulur :

Yerel ve Network Users

Network kullanıcılarına paylaşım düzeyli (share- level) bir paylaşım oluştururken izinlerin düzenlenmesi için NT Explorer ya da My Computer kullanılır. Buradan seçilen dizin üzerinde farenin sağ tuşuna basılır ve Properties seçilir.

Bir dizinin paylaşım-düzeyli (share- level) olarak paylaştırılması , varsayım olarak EveryOne’a Full Control olarak düzenlenir.

Permissions : Burada Permissions (izinler) düğmesine basılarak istenilen özel network kullanıcıları için düzenlemeler yapılmasını sağlar. Diyalog kutusunda Type Of Access (erişim tipi) seçilir. Add düğmesi ile istenilen kullanıcı ve grup için network erişim izinleri düzenlenir.

 

 

Add Users and Groups diyalog kutusunda kullanıcıların görünmesi için Show Users düğmesine basılır. Yukarıdaki işlemlerle bir dizin ya da dosya network ortamında, diğer bir deyişle sadece belli bir kişiye ve belli bir izinle paylaşıma açılabilir.

5. Kullanıcı ve Grup İzinleri

 

Bir önceki konuda anlatılan bir dizine ve dosyaya diğer bilgisayarlardan (network’ten) erişim için verilen izinlerin yanısıra yerel bilgisayar için (logon edilen) dizinler ve dosyalar üzerinde istenilen izinler güvenlik amaçlı olarak düzenlenebilir. Bu işlem için NT Explorer 'dan seçilen dizin ya da dosya için; farenin sağ tuşuna basılarak özellikler (properties) iletişim kutusu elde edilir. Buradan Security bölümü seçilir.

 

 

Buradan Permissions (İzinler) iletişim kutusu ile seçilen dizin ve dosya için istenilen kullanıcı, kullanıcılar ya da gruplara istenilen izinler verilir. Böylece dizin ya da dosyalar koruma altına alınmış ve kullanımı sınırlandırılmış olur.

 

Add(ekle) düğmesi ile seçilen dizin ya da dosyayı yine seçilen erişim izni (Type Of Access) kullanacak olan kullanıcılar seçilir. Kullanıcıları görmek için Show Users düğmesine basılır. İzin düzenlemeleri sadece Administrator ve Server Operators tarafından yapılır.

 

6. CACLS.EXE Programı

Bir dosya üzerinde bir kullanıcının erişim izinlerini düzenlemek için kullanılacak bir diğer yol da cacls.exe programıdır. Cacls programı komut yolunda bir dosya üzerinde istenilen izinlerin düzenlenmesini sağlar.

Cacls programında parametreler kullanılır. Aşağıdaki örnekte Ahmet adlı bir kullanıcıya Mus.dat dosyası üzerinde Read izni verilmektedir.

CACLS MUS.dat /g Ahmet:R

 

 

7. Paylaşım İzinleri ile Dizin – Dosya İzinlerinin Karşılaştırılması

 Paylaşım izinleri (share level) bir dizin ya da dosyanın network üzerinden kullanılması içindir. Dizin ve dosya izinleri (directory and file permissions) ise bir dosya ya da bir dizinin yerel bilgisayardan kullanılması içindir.

Yerel bir kullanıcını paylaşım iznine gereksinimi yoktur ve sahip olduğu dizin ve dosya izinleriyle dosyayı kullanır. Network üzerinden erişecek bir kullanıcı için ise iki aşamalı izine gereksinimi vardır. Paylaşım izini olacak ya da genel olarak Everyone için paylaşılan bir kaynağa erişecek. İkincisi paylaşım olarak paylaştırılan bir dizin ya da dosya için ayrıca dizin ya da dosya izini belirtilmişse onları da sağlaması gerekir. Ayrıca network kullanıcısı iki izinden en çok kısıtlayıcı olana sahip olarak erişimini gerçekleştirir.

8. Denetim (Auditing)

Denetim dosya ve dizinler üzerinde belli kullanıcı ya da gruplar tarafından yapılacak belli işlemlerin takip edilmesini sağlar.

8.1.Dizin ve Dosyaların Denetlenmesi

Denetim (auditing) özellikleri başarılı ve başarısız olarak yapılan girişimleri (işlemleri) takip etmeyi sağlar. Denetim sadece NTFS dosya sisteminde sağlanır. Denetim düzenlemeleri sadece Adnministrators tarafından yapılır.

 

 

İşlem	Read	Write	Execute	Delete	Change Permissions	Take Ownership
Dosya Adlarını Görüntüler	X	-	-	-	-	-
Özellikleri Görüntüler	X	-	X	-	-	-
Özellikleri Değiştirir	-	X	-	-	-	-
Dizin ve Dosya Yaratma	-	X	-	-	-	-
Dizin ve Altdizin Değiştirme	-	-	X	-	-	-
Sahip ve İzinleri Gösterme	X	X	X	-	-	-
Dizin Silme	-	-	-	X	-	-
Dizin İzinlerini Değiştirme	-	-	-	-	X	-
Dizin Sahipliğini Değiştirme	-	-	-	-	-	X

 

 

İşlem	Read	Write	Execute	Delete	Change Permissions	Take Ownership
Dosya Adlarını Görüntüler	X	-	-	-	-	-
Özellikleri Görüntüler	X	-	X	-	-	-
Sahip ve Özellikleri Gösterme	X	X	X	-	-	-
Bilgi Değiştirme	-	X	-	-	-	-
Özellik Değiştirme	-	X	-	-	-	-
Çalıştırma	-	-	X	-	-	-
Dosya Silme	-	-	-	X	-	-
Dizin İzinlerini Değiştirme	-	-	-	-	X	-
Dizin Sahipliğini Değiştirme	-	-	-	-	-	X

Denetim düzenlemeleri için yine My Computer ve NT Explorer kullanılır. Bu işlem için seçilen dizin ya da dosya üzerinde farenin sağ tuşuna basılarak Properties iletişim kutusu elde edilir. Buradan Auditing (Denetim) düğmesine basılır. Denetim seçenekleri dizin ve dosya üzerindeki işlemleri belirtir. Bu işlemlerin başarılı (success) ya da başarısız (failure) şeklinde tamamlanmasına göre işlemler takip edilir.

 

Daha sonra yine Administrative Tools program grubunda yer alan Event Viewer programı ile işlemler takip edilir.

 

9. NT’de Sistem Güvenliği

NT kaynaklarını korumak için onlara erişimi kontrol eder. Buradan kaynakların yetkili kullanıcılar tarafından kullanılabileceği ve yetkisiz kullanıcılar tarafından kullanılamayacağı durumu ortaya çıkar. Windows NT’de güvenlik sistemi kaynakların belli kısıtlamalara sahip olmasıyla sağlanır.

Bir nesneye olacak erişim ACL bilgisiyle sağlanır. ACE ise bir kullanıcı veya bir gruba belli bir nesneye erişim için verilecek izinleri düzenler. Kaynağa erişecek kullanıcının bilgileri ACL’de görünmedikçe kullanıcı kaynağa erişemez.

MANDATORY Logon

Her bir kullanıcının tek bir ad ve parola ile sisteme giriş yapmasına zorunlu giriş denir. SAM (Security Access Manager) sistemi kullanıcı ile parolasını eşleştirir. Logon yapan kullanıcı SAM tarafından denetlenir. Daha sonra SAM’dan elde ettiği Access Token ile sisteme girer.

Güvenlik Sistemi

Zorunlu giriş

SAM

Access Token

Process’lere erişim.

 

11. Access Token

Sisteme giriş sırasında Access Token nesnesi yaratılır. Access Token nesnesi şunları içerir.

SID değeri kullanıcının ve grubun adının yerine geçer. Access Token bilgisi sistem içinde kullanıcıyı tanımlar. Bu nedenle eğer Administrator bir kullanıcıyı bir gruptan diğerine değiştirirse Access Token bilgisi değişmeyecektir. Bunun için kullanıcının yeniden logon olması gerekmektedir.

Not: Ege Ünv. Alınmıştır.