You are on page 1of 28

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Windows Server
Paylam ve Gvenlik (Sharing and Security)
Gnmzde en geni kurumsal alardan kiisel bilgisayarlarmza kadar verilerimiz her zaman iin nem srasnda en stte yer almtr. Dijital ortamdaki dosya ve klasrler bu verilere rnek verilebilir. Verilerimiz bu denli nemli olduuna gre ilk olarak onlar korumal, baka bir deyile eriim gvenliine dikkat etmeliyiz, makalemde bu noktadan yola karak sizlere paylam ve gvenlikten bahsedeceim. Bu makelede aadaki bilgileri bulacaksnz Paylam ve gvenliin kullanm alanlar ve detayl tanmlar A zerinde paylam ve gereksinimleri Paylam ve gvenliin likisi Genel gvenlik varsaylanlar zinlerin tanmlari zinlerin alt objelerle ilikisi zin Denetimi (Audit) rnek uygulama ve senaryolar

Makalede, anlatm ve ekillerde tutarszlk olmamas adna gerekli ksmlarda paylama sharing ve gvenlie security isimleriyle hitap edeceiz. Paylam ve gvenliin kullanm alanlar Veriye eriimde esas olan gvenlik izinleridir, paylam ise yerel olarak; dosyalar gvenlik izinleri dier kullanclarn eriebilecei ekilde ayarlanm klasrlere kopyalamaktr. ekil 1 Yerel Paylam

A zerinden ise; adaki bilgisayar, yazc gibi kaynaklara ulamak iin kullanlr. ekil 2 A zerinden Paylam

1 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Gvenliin kullanm alanlar ise olduka genitir, rnek vermek gerekirse; Dosyalar, klasrler, yazclar, Group Policy objeleri, mantksal birimler, ksacas neredeyse elektronik ortamdaki tm verilerdir. Tabi ki tm verilerin gvenlik izinleri farkllk gsterir; dosyalarda - altrma, klasrlerde - iinde gezinme, yazclarda yazdrma, group policy objelerinde - dzenleme, mantksal birimlerde - yeni obje oluturma gibi her verinin gvenlik izinlerinde farkllk olduu gibi tm verilerin okuma gibi ortak izinleri de vardr. Dolaysyla her bir verinin gvenlik izinlerini ve kullanm amalarn tamam ile listelemek yerine bu izinlerin alma mantn anlamak ok daha yerli olacaktr. Gvenlik; ACL yani Access Control List ( Eriim Kontrol Listesi ) tablosunu kullanarak ilgili veri zerinde okuma, yazma, deitirme, silme gibi yetkilerin hangi kullanc ve ya gruplara ait olduunu belirler, ekil 3 - rnek ACL

2 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Ksa bir zet yaptktan sonra konularmz detaylandrmaya balayalm, paylam ve gvenlik konularn ayr olarak ele alacaz. Paylam Paylam konusunuda yerel ve a olarak iki ayr ekilde ele alacaz Yerel paylam

Yerel bilgisayarda paylamn kullanm esas una dayanr; Kullanclar normal artlarda dier kullanclarn kaynaklarna eriemezler ( ileride detaylandrlacaktr ), dier kullancnn kaynaklarmza erimesini istiyorsak paylatrlm klasrleri kullanarak dier kullanclarla belgelerimizi yerel bilgisayarda paylatrabiliriz.( ekil 1 de gsterildii gibi ) Bu zellik varsaylanda aktiftir, eer paylalan dokmanlar Windows Gezgini ierisinde grmek istemiyorsanz group policy object editor veya registry editoru kullanabilirsiniz; Not: Group policy programn kullanmak iin, balat altr gpedit.msc, registry editor aracn kullanmak iin ise balat altr regedit yazp enter tuuna basmanz yeterli olacaktr. ekil 4 Group Policy zerinde paylalan klasrlerin grntlenmesini deitirmek

ekil 5 - Registry Editor zerinde paylalan klasrlerin grntlenmesini deitirmek

3 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

A zerinde Paylam

A zerinden paylam, isminden de anlalaca gibi verilere adan eriimi salamak iin kullanlr, ( ekil 2 de gsterildii gibi ) A zerinden Paylam Gereksinimleri 1 Paylalan klasrleri Server (Sunucu) isimli servis ynetir ve bu servis ak olmaldr.(Balat altr services.msc ile servisler konsoluna ulalabilir) eer bu servis kapal durumda ise ilgili paylama eriim yaplamaz. ekil 6 Server servisi

2 Yeni bir paylam oluturmak iin gerekli izinlere sahip olmamz gerekir Users grubuna ye kullanclar paylam oluturamazlar ve paylam zelliklerini grntleyemezler, bu ilemleri yapabilmek iin kullancnn en az power users isimli gruba ye olmas ve ya Policy zerinden bu izinin kendisine atanm olmas gerekmektedir. 3 A zerinden paylama erimek iin dosya ve yazc protokolnn ykl olmas gerekmektedir

ekil 7 Paylama hizmet veren network balants zerindeki dosya ve yazc paylam protokol

4 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

4 Gvenlik duvar kullanyorsak Dosya ve yazc paylam iin gerekli portlar amalyz Windows Firewall iin balat altr firewall.cpl yazp enter tuuna basmamz yeterlidir.Ardndan Windows firewall zerinde dosya ve yazc paylamna izin verebiliriz, farkl bir firewall kullanyorsak ilgili portlar amalyz, ilgili portlar aadaki ekilde grntlenmektedir. ekil 8 Dosya ve Yazc paylam iin gerekli olan portlar

5 Gizli paylamlara ulamak iin bu paylamlarn isimlerini bilmeliyiz, gizli paylamlar paylam isminin sonunda $ olan paylamlardr, eer herhangi bir paylamn grnmesini istemiyorsanz paylam isminin sonuna $ yazmanz yeterli olacaktr, tabi ki bu paylama ulaan kullanclar $ ibaresini de kullanmallar, rnek \\sunucu\gizli$ Varsaylan olarak ynetimsel gereksinimler dolaysyla C, D, E gibi tm partitionlarn kk dizinlerine eriimi salayan C$, D$, E$ gibi paylamlar bulunmaktadr, bunlar ve dier gizli paylamlar Bilgisayar yneticisinden grntleyebilir

5 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

C$, D$, E$ gibi paylamlar bulunmaktadr, bunlar ve dier gizli paylamlar Bilgisayar yneticisinden grntleyebilir ve silebiliriz,( balat altr compmgmt.msc shared folders shares ). Fakat paylamlar yneten server servisini her yeniden balattmzda ve ya bilgisayarmz yeniden balattmzda ynetimsel paylamlar adn verdiimiz paylamlar tekrar oluturulacaktr.( ADMIN$, IPC$, Partition$ gibi) Bunu engellemek istersek (Gvenlik amal); * Balat > altr > Regedit [Enter] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters anahtarna gelip sa klikleyerek yeni bir "DWORD" kayd amamz gerekmektedir. bu kaydn ismi sunucu iletim sistemleri iin AutoShareServer, istemci iletim sistemleri iin ise AutoShareWks ve deeri 0 olacaktr, ardndan server servisini yeniden balatmamz yeterlidir. ekil 9 Otomatik $ Paylamlarn iptal etmek

6 Group Policy, registry ( Group Policy de yaplan ayarlar registry e yazar fakat registry de yaplan ayarlar group policy ye yazmaz ) veya tweak manager gibi 3nc parti bir programla a zerinde eriimin kstlanm olmas durumda sorun yaayabilirsiniz. Bu tip durumlarda group policy zerinde Computer Windows Security Local Policies User Rights assigments da - Access this computer from the network isimli ayar kontrol edin, eriim yapmak isteyen kullanc alenen ve ya grup olarak (rnek users, everyone) eklenmi olmaldr. Dier kontrol etmeniz gereken nokta ise Security Options n altna bulunan - Network access: Sharing and security model for local accounts isimli ayardr, bu ayarnda Guest Only deil Classic olduundan emin olun. ekil 10 Network Eriiminde yaanan sorunlarda ilk olarak kontrol edilmesi policy objeleri

6 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

A zerinden Paylam Basit ve Gelimi A Paylamnda basit ve gelimi paylam seenekleri vardr, istemci bilgisayarlarda paylam seenekleri basit paylam ayarlar ile gelir ve bunu deitirebiliriz, aksi taktirde aadaki gibi kstl bir men ile kar karya kalrz ekil 11 Basit Paylam

Basit paylam kapatmak iin herhangi bir klasr ierisinden veya kontrol panelden klasr seeneklerine girerek basit dosya paylamn kullan kutucuunu kaldrabiliriz. ekil 12 Basit Paylamn kapatlmas

7 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

ekil 13 Gelimi Paylam

imdi Paylam tabnn altndaki zellikleri inceleyelim, Share this folder seenei ile klasr adan eriime ayoruz, Paylam ismi: varsaylan olarak dosya ismi ile ayndr fakat bunu deitirebilirsiniz, yalnz burada dikkat edilmesi gereken nokta istemcilere paylam atarken paylam isminin doru yazlmas gerektiidir, (rnek Komut satrndan paylama erimek ve a srcsne balanmak iin paylam ismi kullanlr, bunu rnekleyelim ekil 14 Paylam Almas

8 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Yukardaki ekle dikkat edersek klasrn ve paylamn ismi farkldr, bu paylama komut satrndan balanmak istersek; net use atanmak istenen botaki src harfi: \\ip ve ya pc ismi\paylam ad komutunu kullanmalyz, rnek; net use Z: \\192.168.2.100\microsoft Comments: Paylam hakknda zet bilgiler verir ekil 15 Comment ksmnn istemciler tarafndan grntlenmesi

User Limit : Ayn anda en fazla ka kullancnn balanacan belirler, varsaylanda iletim sisteminin st limitidir, rnek Xp iletim sistemlerinde st limit 10 dur ekil 16 Paylam st snrnn ayarlanmas

9 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Permissions: bu kaynaa azerinden eriebilecek kullanclar ve hangi izinlerle ulaacaklarn belirler. rnek olarak yerel bilgisayarmzda hasan isimli kullancnn bu bilgisayara adan erimesini salamak iin izinliler grubuna atyoruz, bu ksmda dikkat edilmesi gereken nokta everyone grubu varsa bu grubu kaldrmak olacaktr nk everyone herkes anlamna gelir ve yetkisiz kullanclarda eriim yapabilirler. Ayn zamanda eriimi kontrol etmek iin tek tek kullanc atamak yerine gruplar atamak daha kolaydr ( rnek users grubuna izin vermek ) ekil 17 zinlerin atanmas

Bu ksmdaki en nemli nokta paylam konusunu bitirip gvenlik konusuna gemeden nce ilikilerini tanmlamaktr. Yukarda resme dikkat edecek olursak adet izin vardr. 1 Full Control ( izinleri deitirme, sahiplii alma) 2 Change ( Dosya ve klasr oluturma, dosyalardaki verileri deitirme, alt klasrleri ve dosyalar silme ) 3 Read (Dosya isimlerini ve alt klasrleri grntleme, alt klasrler arasnda gezinme, dosyalar okuma, .exe

10 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

3 Read (Dosya isimlerini ve alt klasrleri grntleme, alt klasrler arasnda gezinme, dosyalar okuma, .exe dosyalarn altrma) Paylam ve Gvenliin likisi

Aslnda sadece yukardaki izinler kullancnn kaynaa erimesinde yeterli olmayacaktr, o kullancnn ayn zamanda da gvenlik sekmesinde de izinlerinin olmas gerekir, bunu bir benzetme ile zetlersek; Microsoft isimli klasrmz apartmanmzn d kaps, onun iindeki klasrleri de daireler ve odalarna benzetirsek paylam d kapdan ieri girmemizi salar, gvenlik ise daireler ve katlara girmemizi salar. Paylam ve Gvenlik tablarnn ortak almasn da rneklemek gerekirse paylam d kapda bekleyen bir gvenlik grevlisi gibidir, sizin paylam izinlerinize bakarak gvenlik izinlerine eriiminizi kontrol eder. ekil 18 Paylam ve Gvenlik

Peki nedir bu ilgili haklar ?, dikkat edersek ilgili haklar aslnda aka belirtilmi, 1 - Sharingde full control hakk yok ise, security deki full control hakkn kullanamaz 2 Sharing de change hakk yok ise, security deki oluturma, deitirme, silme gibi haklar kullanamaz 3 Sharing de read hakk yok ise, security deki hibir hakkn kullanamaz ( zaten tum kutucuklar bo ise kullancda sharing tabndan silinir ve bu durumda d kapdan geri evrilir. ) rnek; 18 ve 19 nolu ekillere dikkat edersek kullanc a zerinden eriim yaparken ncelikle paylam kaps ile karlayor ve gvenlik kapsnda tm kontrollerinin olduunu sylyor, bu noktada paylam kaps bir szge gibi grev yaparak kullancnn paylam kapsndaki eksik haklarna istinaden gvenlik kapsndaki ilgili haklarn da d kapda brakp ieri o ekilde girmesini zorluyor, bu sebeple security sekmesinde tm haklara sahipde olsa sharing sekmesinde sadece read hakk olduu iin oluturma, deitirme, silme gibi haklarn d kapda brakacaktr. ekil 19 Paylam ve Gvenlik zerinde izinlerin karlatrlmas

11 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Hasan isimli kullanc ile yeni bir dosya veya klasr oluturmaya altmzda aadaki hatay alrz ekil 20 Security sekmesinde full control olmasna ramen sharing sekmesinde change hakk olmad iin kullancnn dosya ve ya klasr yaratamamas

Bunu bir tablo yardm ile zetlersek sharingdeki 3 hakkn security deki hangi haklara denk geldiini grebiliriz. ekil 21 Paylam ve Gvenlik izinlerinin karlatrlmas

12 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Paylamdan buraya kadar bahsettikten sonra artk onun hizmet ettii gvenlie yani security sekmesine geebiliriz. Gvenlik Daha ncede bahsettiimiz gibi gvenlik izinleri, ilgili verideki kullanc bilgisayar ve gruplarn haklarn tanmlar.zinlerin gereksinimleri paylamda olduu kadar ok deildir yalnzca Windows iletim sistemlerinde gvenlik izinlerini kullanabilmek iin ilgili dizinin NTFS dosya sistemi ile formatlanm olmas gerekmektedir. Genel gvenlik varsaylanlar 1 zinlerde allow ve deny eklinde iki tane seeneimiz vardr ve deny her zaman baskndr 2 zinler kmlatiftir, ( ACL hem alenen kullanclara atanan izinleri hemde grup yeliklerinden gelen izinleri toplar, kullanc kendisindeki izinlerden ve ya bal bulunduu grupdaki izinlerden deny alrsa bu dier izinlere baskn gelir, rnek - Ahmet kullancsnn bir dosyada tam yetkisi var ama bal bulunduu muhasebe grubunun ayn klasrde yazma yetkisine deny verilmi durumda, dolaysyla Ahmet bu klasre yazamaz) 3 Yeni alan her dosya veya klasr stndeki klasrden izinleri miras alr 4 Dosyalar ayn partitionda tanmak dndaki tm ilemlerde tand st klasrden miras alr, ayn partitionda dosya tanrsa miras almaz. rnek D:\1 isimli klasrden D:\2 isimli klasre tanan bir dosya 2 isimli klasrdeki haklar miras almaz, kendi izinleri ile tanr ) 5 Klasr ve dosyalarn miras almas o klasr ve dosya zerinden iptal edilebilir zinleri iki ayr ekilde ele almalyz, 1 Standart izinler 2 Gelimi izinler ekil 22 Standart ve gelimi zinler

Aslna baklacak olursa standart izinler gelimi izinlerin ksayoldan ynetilmesi iin ierisinde birden fazla izin bulunan taslaklardr, rnek verecek olursak sol taraftaki izinlerden read e tkladmzda sa taraftaki gelimi izinler sekmesinden birden fazla eyi semi oluyoruz

13 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

ekil 23 Standart izinlerin gelimi izinlerle ilikisi

Standart izinler genel durumlarda, gelimi izinler ise zel durumlarda kullanlr, rnek; bir klasr zerinde dosya deitirme ve yaratma hakk vermek istiyorsanz sol taraftan modify kutucuunu iaretlemeniz yeterli, eer ayn zamanda kullancnn dosya zerindeki ACL yi okumasn engellemek istiyorsanz gelimi zellikleri kullanarak ilgili izini kaldrabilirsiniz, ekillendirecek olursak; Bu durumda stteki resmimizde bulunan Read Permissions kutucuundaki iareti kaldrmamz yeterli olur. Standart ve gelimi izinler kavramn eletirme yolu ile ekil zerinde gsterelim ekil 24 Standart ve Gelimi izinlerin eletirilmesi

Yukardaki tabloda elemeyen bir standart iznimiz var gibi grnyor, ama dikkat ederseniz ismi zel izinler , stteki tabloda olduu gibi eleme olmazsa special permissions kutucuu iaretlenir, mesela gelimi izinlerde Traverse

14 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Folders ve Read Attributes izinleri verirsem bu zel izine girer nk uygun olan tasla sol tarafta yoktur. Gelimi izinleri dikey, standart izinleride yatay ekilde sralarsak gelimi izinlerin hangi standart izinlere denk geldiini daha ak bir ekilde grntleyebilirsiniz. ekil 25 Gelimi standart izinlerin eletirme tablolar

zinlerin tanimlari Standart izinleri eletirdiimize gre sadece gelimi izinlerin tanmn yapmak yeterli olacaktr.

zinlerin alt objelerle ilikisi Varsaylan olarak bir klasre herhangi bir izin atadnzda o izin klasrn altndaki tm klasr ve dosyalara etki eder, bunu deitirmek istersek, apply onto ksmn kullanmalyz; ekil 26 zinlerin alt objelerle ilikisi

15 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

ekil 17 deki 3ncu resmimize gre seeneklerimiz ise sras ile unlardr Sadece bu klasre Bu klasr alt klasrler ve dosyalara Bu klasr ve alt klasrlere Bu klasr ve dosyalara Alt klasr ve dosyalara Sadece Alt klasrlere Sadece Dosyalara etki etmesini salayabiliriz Tabi ki bu noktada Apply these permissions to objects and/or containers within this container only check box iaretlemediimiz durum ( varsaylan) ve iaretlediimiz durumda yukarda szn ettiimiz davranda farkl olacaktr. Bu chechkbox n iaretlendii ve iaretlenmedii durumda alt klasr ve dosyalardaki izinlerin farklln bir tablo yardm ile gsterecek olursak; ( Tabloda x leri evet ve bo lar da hayr olarak deerlendireceiz )

ekil 27 Check Box iaretlenmedii zaman izinlerin alt eler miras ( Varsaylan seenek)

ekil 28 Check Box iaretlendii zaman izinlerin alt eler miras

Yukarda bulunan tabloyu yorumlamak gerekirse Klasre verdiiniz izinin bir alt klasr ve iindeki dosyalara uygulanmasn fakat daha ileriye gitmemesini istyorsanz bu check box iaretlersiniz

16 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Klasre verdiiniz izinin tm alt klasr ve dosyalara uygulanmasn istiyorsanz check boxn iaretini kaldrrsnz rnek olarak; 1, 2, 3 ve 4 klasrlerimiz i ie olsun, 1 isimli klasrde herhangi bir izin atayp, tm klasrlere uygulanmasn seer ve bu check box iaretlemezsek tm klasr ve dosyalar bu izini alr.Check box iaretlersek 1 isimli klasr sadece altndaki dosyalar ve altnda bulunan 2 isimli klasre miras atayacaktr ve 3, 4 klasrleri ve iindeki dosyalar bu ayardan etkilenmeyecektir. Inherit & Replace ( Miras ve Deitirme )

Miras kavram enin izinleri bir st konteynrdan almas (klasr, partition vs..) demektir, bununla beraber e izinleri stten almakla beraber kendisinde akca tanmlanm izinleride kaybetmez (izinler kmlatiftir) Deitirme ise alt konteynrlarda bulunan tm izinlerin silinip seili konteynrdaki izinlerin atanmas anlamna gelir. ekil 29 Miras ve Deitirme

Varsaylanda her konteynr bir st konteynrdan miras alr ekil 30 Mirasn alnmas

17 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Bu ksmda dikkat etmemiz gereken bir nokta var, miras C:\Documents and Settings\serkan isimli klasrden alnm, nedeni ise ak, Documents and Settings isimli klasrden miras alamaz nk bu klasrn altndaki klasrlerin hepsinin izini farkldr. (Documents and Settings\username olduu iin) Miras kaldrma; Bu ilemin amac st konteynrdan alnan izinin veya izinlerin silinmesini salamak (Miras kaldrmadan st konteynrdan miras olarak gelen izinleri silemezsiniz ) ve st konteynrda bundan sonra yaplacak izin deiikliklerinden etkilenmemek, miras kaldrma esnasnda iki tane seeneimiz var; 1 mirasdan gelen izinleri sil, <not inherited> yani miras alnmam olanlar brak ve bundan sonrada st klasrden miras alma 2 mirasdan gelen izinleri silme, bununla beraber bundan sonra st klasrden miras alma

ekil 31 Mirasn kaldrlmas

18 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

zin Denetimi (Audit)

Sahip olunan izinlere istinaden verilerde yaplan ilemlerin windows olay gnl aracl ile kayt tutulmasdr, iki tip kayt ilemi vardr, - baarl ve baarsz. Tabi ki Audit yapabilmek iinde baz gereksinimler vardr, bilgisayarmzn audit ilemine ak olmas lazmdr, bunu policy zerinden yapabiliriz, (Eer bilgisayarmz domainde ise ve domain zerinde ilgili ayarlar yapldysa yerel bilgisayarda deiiklik yapamayz) Group policy object editoru balat altr gpedit.msc ile ap ilgili ayarlar yapalm. ekil 32 zin denetimilerinin Policy zerinden almas

Aadaki rneimizde yerel bilgisayardaki kullanclarn slaytlar isimli klasr silmeleri (ve ya silememeleri ) durumunda bunu log tutmak iin ilgili denetimin giriinin nasl yapldn grebilirsiniz. ekil 33 zin denetimi eklenmesi

19 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

lemimizin ardndan Users grubuna ye olan bir kullancmzla bu klasr silmeye alalm ekil 34 Gerekli izinleri olmayan kullancnn klasr silmeye alrken hata almas

Kullancnn klasr silmeye altn ve baaramadn grmek iin olay gnln aalm ( balat altr eventvwr.msc ) ve security tabndan ilemi kontrol edelim.Aadaki resimde metin isimli kullancnn bu klasr silmeye altn ve baarsz olduunu gryoruz. ekil 35 Audit olaylarnn kontrol

20 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Audit olaylarda dikkat etmemiz gereken nokta ise udur; audit olaylar security isimli olay gnlne kaytlanr ve bu gnlk dolduu zaman yerel ynetici (administrators grubuna ye bir kullanc) dndaki kullanclar oturum aamaz, administrators grubuna ye olan kullancnn bu gnl boaltmas ve ya boyutunu bytmesi lazmdr.Yine Group Policy zerinde security ayarlarndan gnlk dolduunda sistemin hemen kapanmasn da salayabilirsiniz. Sahiplik Sahiplik verinin kimin tarafndan oluturulduunu, sahibinin kim olduunu gsterir, bir dosya zerinde hibir hakkmz olmasa dahi eer o dosyann sahibi isek dosya zerindeki tm yetkileri alabiliriz. rnek olarak; Aadaki Administrator kullancs ile Metin isimli kullancnn masstne yani desktop isimli klasrne gz atyoruz, klasrn sahibin Metin olduunu grebiliriz. ekil 36 - Sahiplik Ayarlar

Change Owner to ksmnn altnda bulunan herhangi bir grup veya hesab seerek Ok ile devam edersem o klasrn sahipliini setiim kullancya atam olurum, alttaki check box iaretlemek tm alt klasrler ve objeleride kapsa anlamna geliyor. Peki, bu hakk nereden aldmz merak edersek tabi ki bakacamz yer Group Policy ierisindeki security ayarlardr: ekil 37 Group Policy zerindeki sahiplik ayarlar

21 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Effective Permissions

Kmlatif izinlerin sonularn alabildiimiz, baka bir deyile bir kullanc ve grubun dier yeliklerden ald izinlerde dahil olmak zere zet izinlerini bulabileceimiz tabdr. rnek; Klasrmzde 3 farkl grup ve bir kullancya farkl hak atamalar yaptk, kullancmz 3 grubada ye ve dolaysyla 3 grubunda izinlerinden etkileniyor, kullancmza ise alenen tam kontrol verdik fakat Metin isimli kullancmz klasrde yeni dosya oluturamad ikyetinde bulunuyor, aadaki resme bakarsak ilk izlenime gre her ey yolunda ekil 38 Klasr zerindeki gruplarn izinleri izinleri Sekil 39 Klasr zerindeki kullancnn

22 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Metin in bu klasrdeki etkili izinlerini grelim Sekil 40 Etkili zinler

eklimize dikkat edersek Metinin dosya ve klasr oluturmaya hakknn olmadn gryoruz, Metin full control olduu halde dosya ve klasr oluturma haklar neden grnmyor, bunun tek bir cevab olabilir ye olduu bir gruba dosya ve klasr oluturma izinlerinde deny verilmi olmas. ekil 41 Etkili zinler

neriler 1 zinleri kullanclardan ziyade gruplara vererek ynetimi kolaylatrn 2 Kullanclarn alabilecekleri minumum izinleri verin, gereksiz izin vermekten kann 3 Ayn izinlere sahip olmas gereken objeleri bir klasrde toplamaya zen gsterin ( Birimlere gre gvenlik anlayn kullanabilirsiniz, muhasebe, bilgi islem gibi )

23 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)


kullanabilirsiniz, muhasebe, bilgi islem gibi )

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

4 Everyone (Herkes) isimli kullanc grubuna izin atamayn, bunun yerine Authenticated users grubunu kullann 5 Kullanclarn klsrlerini tek bir sunucuda bulundurmanz paylam ve gvenlii ynetmek iin etkili aolaca gibi anti-virs taramalar, yedekleme ve kota uygulamalarnda da size esneklik salayacaktr. 6 Paylalan kaynaklar bir gvenlik duvar yardm ile korumay ihmal etmeyin. 7 Paylalan klasrde izin vereceiniz kullanc ve gruplarn says fazla ve srekli ynetim gerektiriyorsa workgroup yerine domain ortamn tercih edin, bu ekilde dosyalarn domain dndan eriiminide yasaklayabilirsiniz. rnek Uygulamalar 1 - Aadaki Resimde A kullancs iki gruba birden yedir, bu durumda kullancnn izinleri ne durumdadr ? ekil 42 Grup izinlerinin kullanc izinleriyle karlatrlmas

A kullancsnn Write, yani yazma izini dndaki tm izinleri vardr, bu izininin elinden alnma sebebi aktr, ye olduu pazarlama grubunda write a deny verilmitir ve deny, allow a baskn gelir. 2 A isimli kullanc sat grubuna ye, sat grubunun dosyay sadece okumasn, bununla beraber A kullancsnn tam yetki sahibi olmasn istiyorsak ne yapmalyz? ekil 43 Kullanc izinlerinin grup izinleriyle karlatrlmas

Sat grubunun write izinine deny vermedik, eer izin verilmemise deny vermeye gerek yoktur eer deny verirsek A isimli kullanc da bu gruptan etkilenecektir ve tam yetkiye sahip olamayacaktr. 3 A isimli kullancmz hem sat hem de pazarlama grubuna ye, sat grubunun ilgili objeye eriememesini, pazarlama grubu ve A isimli kullancnn ise tam yetkili olmas iin ne yapabiliriz.

ekil 44 Kullanc ve gruplarn izinleri seim tablosu

24 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Sat grubuna hi izin vermememiz onlarn eriimini yasaklamak demek oluyor, pazarlamaya istendii gibi tam kontrol verdik, A kullancsna da tam yetki vermemiz gerekiyordu ama bunu zellikle yapmamza gerek yok nk pazarlama grubundan izinleri alacaktr. rnek Bir Senaryo

Bir dosya sunucunuz var ve bu sunucu zerinde tm kullanclarn dkmanlarn merkezi olarak konumlandrmak istiyorsunuz, Herkese paylamn ierisinde kendi klasrlerini oluturma ve ilerine dilediklerini yazp silmelerini salamak istiyorsunuz Hibir kullanc paylam klasrnnn iinde dosya oluturamayacak, sadece klasr oluturabilecek Kullanclar birbirlerinin klasrlerine giremeyecek Hibir kullancya tek tek hak atamas yapmadan bunu gruplarla yapmalsnz

Hemen ie koyulalm 1 Network zerinden eriim iin klasrm paylatryorum ve bu paylamdaki yazma izinlerini kullanabilmeleri iin change yani deitirme izini veriyorum

ekil 45 Paylam ayarlar

25 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

2 Security sekmesinde ise; ncelikle bir st dizinden aldm miraslar ierisinde users grubu (kullanclar) olduu iin miras kesiyorum, remove sememin sebebi ise st dizinden gelen izinleri istemiyor olmam. ( copy seilerek tek tek de silindiini unutmayn )

ekil 46 Mirasn kaldrlmas

ve zel izinleri aadaki gibi veriyorum Kullanclar iin; Dosya ierisine girmeleri iin read erii grntlemeleri iin list folder contents, Klasr oluturabilmeleri iin create folders nemli nokta ise; bu izinleri users grubuna verirsem her kullanc bir dier kullancnn klasrn okuyabilir, bunu nlemek iin this folder only seeneini kullanyorum ekil 47 Kullanclara izin atanmas

26 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Peki kullanclarn kendi oluturduklar klasrlerde tam yetkiye sahip olmalar iin ne yapmalym ?, sorunun cevab iinde yani creator owner grubuna tam yetki vereceim Creator Owner grubu iin; ekil 48 Creator owner grubuna izin atanmas

imdi sonular grmek iin Metin ve Miray isimli kullanclarla deneme yapalm Metin isimli kullanc ile oturum aarak paylam zerinde bir klasr ap adn Metin verelim

ekil 49 Metin isimli kullanc ile yeni bir kullanc almas

27 -> 28

24.02.2009 08:58

Windows Server : Paylam ve Gvenlik (Sharing and Security)

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/2...

Bu dosyann izinlerine dikkat edecek olursanz Metinin tam yetkisini olduunu grrsnz, Metine manuel olarak izin vermediimiz halde Metin isimli kullanc bu klasr oluturduu iin creator owner un full control izinlerini alm durumda, ekil 50 Metin isimli kullancnn kendisine ayrca hak atanamad halde creator owner grubundan ald yetkilerin grntlenmesi

Baka kullanclarn bu klasre giremeyeceini dorulamamza gerek yok, nedeni ise ak, eer bir kullanc ve ya gruba aka izin verilmemise ilgili objeye eriemez. Senaryomuzla beraber makaleme burada son veriyorum, paylam ve gvenlik adna skntsz gnler dilerim.

28 -> 28

24.02.2009 08:58