Professional Documents
Culture Documents
Active Directory hizmeti sayesinde sistem yöneticisi, bir merkezden bütün ağın ve tüm
kullanıcıların her türlü sistem kaynağına erişim haklarını belirleyebilir, kısıtlayabilir,
arttırabilir. Actve Directory, etki alanı güvenlik politikaları ve kullanıcı hesaplarını,
yetkileri, imzaları, sorumlulukları ve parolaları depolar. Birden fazla Domain Denetçisi
bulunan ağlarda, bu bilgiler faal olarak sürekli güncellenir ve uzaktan yönetim için ağın
her yerinde kullanıma hazır tutulur.
Erişim Denetim Listesi (Acces Control List-ACL), Windows 2000’ de, daha önceki NT
sürümlerinden farklı olarak, ağdaki bütün nesneler ve kaynakların birer güvenlik
tanımlayıcısı (security descriptor) vardır. Güvenlik tanımlayıcısı, tüm hak ve yetkiler
kısıtlamalar ve sınırlamaları içerir. Her etki alanı kendi güvenlik politikaları ve ACL
bulundurur. Windows 2000 ağında birden fazla etki alanı olabilir; bu durumda etki
alanları birbirleri arasında belirlenecek "Güven İlişkisi" çerçevesinde bağlanırlar ve buna
"Domain Ağacı" adı verilir. Windows 2000 ortamında birden fazla "Domain Ağacı"
olabilir; bunların hepsine birden "Domain Ormanı" denir.
Windows 2000’ in güvenlik sistemi, Single Sing-on (SSO, tek oturum açma) ile başlar.
Oturum açma işlemi, herhangi bir işletim sisteminde, kullanıcının kendisini ağa tanıtması
ve “olduğunu iddia ettiği kişi olduğunu kanıtlaması” işlemidir. Ağ işletim sistemi, ancak
bu kanıtı elde ettikten sonra, kullanıcıyı gerçek kimliği ile tanıyabilir ve ona Ağ
Yöneticisi’ nin tayin ettiği haklarını ve yetkilerini verebilir.
SSO, Windows 2000 güvenlik sistemi olan Kerberos protokolü sayesinde yapılır.
Kerberos, bilet(Ticket) adı verilen ve ağda Anahtar Dağıtım Merkezi (Key Distribution
Center-KDC) denilen bir merkezden çıkartılan şifreli veri paketlerine dayanan bir
protokoldür. Bilet, kullanıcının kimliğini ve diğer birçok bilgilerin kanıtıdır. Bilet' in
içindeki kullanıcının adı ve parolasından türetilmiş bir değerdir ve şifre çözülse bile bir
oturumluk olduğu için başkasının işine yaramayacaktır. Bilet' in kullanım ömrüde
sınırlıdır. Anahtar Dağıtım Merkezi, kendi yetki alanı içinde bütün kullanıcılara bir bilet
keser. Kerberos Server, Sistem Yöneticisi' nin tayin edeceği bu süre ya da Windows 2000'
in diliyle zaman aşımı süresi dolunca, kendi kestiği bileti bile tanımaz. Biletlerin
varsayılan ömürleri 8 saattır. Bu süreyi Ağ Yöneticisi uzatabilir ya da kısaltabilir. Etki
alanı içindeki tüm serverlar birer KDC olarak çalışırlar.
Sistemin çalışması, görünüşte çok basittir. Şekil 1’ de de görüldüğü gibi, kullanıcı SSO
işleminden sonra, KDC bu kullanıcının oturumuna önce bir Bilet İsteme Bileti (Ticket
Granting Ticket-TGT) keser. Kullanıcı oturumun esnasında herhangi bir kaynağı
kullanmak istediğinde oturumun açıldığı bilgisayar, KDC’ ye TGT’ yi vererek, hizmet
bileti (Service Ticket-ST) ister. KDC, kendi verdiği TGT’ yi hemen tanıdığı için
kullanıcının bilgisayarına ST’ yi kesip gönderiri. Kullanıcı bilgisayarı, ST ile ağ
kaynağına başvurur ve erişim hakkını elde eder. Bundan sonra kullanıcı bir ağ kaynağına
ulaşmak istediğinde tekrar KDC’ den bir hizmet bileti istemez, elindeki hizmet biletini
kullanarak ağ kaynaklarına ulaşır.(Şekil 1)
Kerberos' un bir görevide paylaşılan bir disk sürücüye erişerek alınan bilgilerin ya da
açılan dosyaların içeriğinin nereye gittiğini izlemektir. Bunu da hizmet bileti ile sağlar.
Biletin yetki bilgisi bölümü, kullanıcının ağ kaynağına erişmesinde kullanılırken,
Kerberos bu bilgilerden bir kullanıcıya ait "güvenlik jetonu"(Security Acces Token) adı
verilen bir bilgi kümesi oluşturulur ve kullanıcının ağ kaynaklarından adindiği bilğiyi,
kullanıcıyı temsil eden bu jetonlara yapıştırır. Jeton o sırada oturumun açıldığı bilgisayarı
tanımaktadır.
Kerberos, sisteminde bir verinin şifrelenmesinde uygulanan anahtar kullanıcının oturum
açarken girmek zorunda olduğu parola kelimesinden üretilir. Windows 2000, her
kullanıcının şifresini bildiği için sistem kaynaklarına ulaşması sırasında veriyi şifrelemek
ve daha sonra şifreyi çözmek için kullanacağı anahtarı bilir.
Şekil-3
Daha sonra aşğıda görülen ekran gelir. Buradan Encrytp yazan
kutuya işaret koyarak verileri güvene alınır.(şekil 4) Bu konular daha
sonra ayrıntılı olarak anlatılacaktır.
Şekil-4
Güvenli Açılış:
NT 4.0 ve Windows 2000' de tüm yeni kullanıcıların güvenli bir açılış için
Ctrl+Alt+Delete' e basması gerekiyor. Bu özelliği etkinleştirmek için
Start/Settings/Control Panel/Users and Password' u seçilir.Advanced sekmesine tıklanır.
"Require users to press <Ctrl>-<Alt>-<Delete> before logging on" kutusu işaretlenir.