WINDOWS 2000’ DE GÜVENLİK

Active Directory hizmeti sayesinde sistem yöneticisi, bir merkezden bütün ağın ve tüm
kullanıcıların her türlü sistem kaynağına erişim haklarını belirleyebilir, kısıtlayabilir,
arttırabilir. Actve Directory, etki alanı güvenlik politikaları ve kullanıcı hesaplarını,
yetkileri, imzaları, sorumlulukları ve parolaları depolar. Birden fazla Domain Denetçisi
bulunan ağlarda, bu bilgiler faal olarak sürekli güncellenir ve uzaktan yönetim için ağın
her yerinde kullanıma hazır tutulur.

Erişim Denetim Listesi (Acces Control List-ACL), Windows 2000’ de, daha önceki NT
sürümlerinden farklı olarak, ağdaki bütün nesneler ve kaynakların birer güvenlik
tanımlayıcısı (security descriptor) vardır. Güvenlik tanımlayıcısı, tüm hak ve yetkiler
kısıtlamalar ve sınırlamaları içerir. Her etki alanı kendi güvenlik politikaları ve ACL
bulundurur. Windows 2000 ağında birden fazla etki alanı olabilir; bu durumda etki
alanları birbirleri arasında belirlenecek "Güven İlişkisi" çerçevesinde bağlanırlar ve buna
"Domain Ağacı" adı verilir. Windows 2000 ortamında birden fazla "Domain Ağacı"
olabilir; bunların hepsine birden "Domain Ormanı" denir.

Windows 2000’ in güvenlik sistemi, Single Sing-on (SSO, tek oturum açma) ile başlar.
Oturum açma işlemi, herhangi bir işletim sisteminde, kullanıcının kendisini ağa tanıtması
ve “olduğunu iddia ettiği kişi olduğunu kanıtlaması” işlemidir. Ağ işletim sistemi, ancak
bu kanıtı elde ettikten sonra, kullanıcıyı gerçek kimliği ile tanıyabilir ve ona Ağ
Yöneticisi’ nin tayin ettiği haklarını ve yetkilerini verebilir.

SSO, Windows 2000 güvenlik sistemi olan Kerberos protokolü sayesinde yapılır.
Kerberos, bilet(Ticket) adı verilen ve ağda Anahtar Dağıtım Merkezi (Key Distribution
Center-KDC) denilen bir merkezden çıkartılan şifreli veri paketlerine dayanan bir
protokoldür. Bilet, kullanıcının kimliğini ve diğer birçok bilgilerin kanıtıdır. Bilet' in
içindeki kullanıcının adı ve parolasından türetilmiş bir değerdir ve şifre çözülse bile bir
oturumluk olduğu için başkasının işine yaramayacaktır. Bilet' in kullanım ömrüde
sınırlıdır. Anahtar Dağıtım Merkezi, kendi yetki alanı içinde bütün kullanıcılara bir bilet
keser. Kerberos Server, Sistem Yöneticisi' nin tayin edeceği bu süre ya da Windows 2000'
in diliyle zaman aşımı süresi dolunca, kendi kestiği bileti bile tanımaz. Biletlerin
varsayılan ömürleri 8 saattır. Bu süreyi Ağ Yöneticisi uzatabilir ya da kısaltabilir. Etki
alanı içindeki tüm serverlar birer KDC olarak çalışırlar.

Sistemin çalışması, görünüşte çok basittir. Şekil 1’ de de görüldüğü gibi, kullanıcı SSO
işleminden sonra, KDC bu kullanıcının oturumuna önce bir Bilet İsteme Bileti (Ticket
Granting Ticket-TGT) keser. Kullanıcı oturumun esnasında herhangi bir kaynağı
kullanmak istediğinde oturumun açıldığı bilgisayar, KDC’ ye TGT’ yi vererek, hizmet
bileti (Service Ticket-ST) ister. KDC, kendi verdiği TGT’ yi hemen tanıdığı için
kullanıcının bilgisayarına ST’ yi kesip gönderiri. Kullanıcı bilgisayarı, ST ile ağ
kaynağına başvurur ve erişim hakkını elde eder. Bundan sonra kullanıcı bir ağ kaynağına
ulaşmak istediğinde tekrar KDC’ den bir hizmet bileti istemez, elindeki hizmet biletini
kullanarak ağ kaynaklarına ulaşır.(Şekil 1)

Şekil 1:Oturum açan bir bilgisayarın ağ kaynaklarına ulaşmak için gerekli

işlemler
Eğer kullanıcı kendi etki alanı dışında bir etki alanındaki kaynağa kullanmak isterse, diğer
etki alanının KDC’ si hizmet bileti vermeyeceği için, kendilerine ikinci bir Bilet İsteme
Bileti kesilecektir. Şekil 2 ‘ de görüldüğü gibi, kullanıcının bilgisayarı, bu ikinci TGT ile
ikinci KDC’ ye başvurarak, hizmet biletini alacaktır. İkinci KDC, birinci KDC’ nin
çıkarttığı TGT’ yi (etki alanı içindeki güven ilişkisi sebebi ile) tanıyacak ve hizmet
biletini verecektir. Kullanıcı bu hizmet bileti ile ağ kaynağına ulaşacak ve erişim hakkı
kazanacaktır. (Şekil 2)
 Şekil-2:Oturum açan bir bilgisayarın farklı etki alanlarındaki ağ kaynaklarına
ulaşmak için gerekli işlemler.

Kerberos, kimlik doğrulama, verinin bütünlüğünü koruma ve başkasının eline geçmesini

önleme işlevlerini, ya kendi ya da kullanıcının sağlayacağı bir şifreleme sistemi ile
gerçekleştirilir. Mesela gönderdiğimiz bir mesaj bizim sistemimiz den çıkarken ya Pulic
Key (Genel Anahtarlama) ya da bizim sağlayacağımız özel bir anahtar ile sifrelenecektir.
Bu mesajı alan bilgisayar şifreyi çözecek anahtar bulunacak ve mesaj yolda hiç kimse
tarafından okunmayacak ve içeriği değiştirilmeden ulaştırılacaktır.

Kerberos' un bir görevide paylaşılan bir disk sürücüye erişerek alınan bilgilerin ya da
açılan dosyaların içeriğinin nereye gittiğini izlemektir. Bunu da hizmet bileti ile sağlar.
Biletin yetki bilgisi bölümü, kullanıcının ağ kaynağına erişmesinde kullanılırken,
Kerberos bu bilgilerden bir kullanıcıya ait "güvenlik jetonu"(Security Acces Token) adı
verilen bir bilgi kümesi oluşturulur ve kullanıcının ağ kaynaklarından adindiği bilğiyi,
kullanıcıyı temsil eden bu jetonlara yapıştırır. Jeton o sırada oturumun açıldığı bilgisayarı
tanımaktadır.
Kerberos, sisteminde bir verinin şifrelenmesinde uygulanan anahtar kullanıcının oturum
açarken girmek zorunda olduğu parola kelimesinden üretilir. Windows 2000, her
kullanıcının şifresini bildiği için sistem kaynaklarına ulaşması sırasında veriyi şifrelemek
ve daha sonra şifreyi çözmek için kullanacağı anahtarı bilir.

Yeni Kullanıcı Yapma:

Bilgisayarımıza giriş izni vermek isterken, masaüstü, dökümanlar gibi yerlere girilmesini
istenmiyorsak yeni bir kullanıcı hesabı oluşturulur. Kullanıcı hesapları denetim masası\
kullanıcılar ve sifreler kısmına girilerek ayarlanabilir. Burada "Ekle" butonuna basılarak
yeni bir kullanıcı adı belirtilir, tam isim girilir ve kullanıcı tanımlaması bölümleride
doldurulur.(Kullanıcı tanımlama olayı daha sonra ayrıntılı olarak anlatılacaktır )

Kullanıcı İzinlerinin Kısıtlanması:

Windows 2000, her bir kullanıcının izinlerini belirlemenizi sağlayarak yardım edebilir.
Böylece istenilen dosyaların istenmeyen kişilerin müdahalesinden korunmuş olur.

Dosya Ya Da Klasörleri Şifreleme:

Windows 2000 saklama sistemi olan NTFS, sabit diskteki dosya ya da klasörleri
şifrelememize izin verir. Bunu için, şifrelemek istediğimiz bir dosya ya da klasöre sağ
tıklayarak özellikler seçilir. General sekmesinden Advanced seçeneği seçilir. (Şekil 3)

Şekil-3
 Daha sonra aşğıda görülen ekran gelir. Buradan Encrytp yazan
kutuya işaret koyarak verileri güvene alınır.(şekil 4) Bu konular daha
sonra ayrıntılı olarak anlatılacaktır.

Şekil-4

Güvenli Açılış:
NT 4.0 ve Windows 2000' de tüm yeni kullanıcıların güvenli bir açılış için
Ctrl+Alt+Delete' e basması gerekiyor. Bu özelliği etkinleştirmek için
Start/Settings/Control Panel/Users and Password' u seçilir.Advanced sekmesine tıklanır.
"Require users to press <Ctrl>-<Alt>-<Delete> before logging on" kutusu işaretlenir.