WİNDOWS NT GÜVENLİĞİ
YEREL KAYNAKLARIN KORUNMASI: NT işletim sistemi düzenlediği sabit disk, sürücü, ve diğer birimlerin korunması için değişik güvenlik yöntemlerine sabittir. NTFS (NT File Sistem ) dosya sistemi, dosya ve dizilere kullanıcı bazında izinler verilerek NT sisteminin ana izin sistemini oluşturur. NTFS birimleri,dosyalara ve dizinlere erişim kontrol listesi (Access Control List-ACLs) uygulayabilir. Bu kontroller paylaşılmış dizinlerdeki izinlerle bağlantılı olarak görev yapıyorlar. Bir dosya yerleşim tablosu (File Alloction Table –FAT) birimi yalnızca son kısımları destekliyor ( güvenliğin paylaşım düzey şekli ). Emniyet açısından durum müsaitse çoklu korumaları kullanmak her zaman faydalıdır. Bu yüzden internet bağlantılı Windows NT makinelerde genelde NTFS kullanmak gereklidir.
Yerel (Lokal ) bilgisayarın sabit diski ve diğer birimlerinin korunmasının yanı sıra network üzerinden sisteme erişecek kullanıcıların da kontrol edilmesi NT koruma sisteminin bir bölümünü oluşturur. NT işletim sistemi bu işlemler için çok sayıda araca sahiptir:
Yönetim Araçları:
o NT Explorer
o My Computer
o Server Maneger
o Command Prompt ( komut yolu)
NT kaynaklarına başvuran biri için tesis edilen kontrol üç ayrı düzeyde düzenlenir:
= Share-Level (paylaşım düzeyi )
= Directory -level (dizin düzeyi )
= File-level (dosya düzeni )
Paylaşım düzeyi paylaştırma uzak kullanıcılar için yapılır. Diğer paylaşım düzenlemeleri yerel kullanıcı içindir.
Bir Uyarı: Eğer NTFS ACLs bir ağ kullanıcısına partition kısmı için tam ulaşım verir fakat paylaşım düzeyinde salt okunur erişim verilirse, etkili olan erişim yalnız okunurdur. Windows NT, NTFS ACLs ve paylaşım yetkilerinin arakesitini alıyor.
Peki umumi bir makinede paylaşımların bulunmasına izin verilmeli mi? Teorik olarak hayır. Pratikte ise, hizmet biriminizden dosyaları taşımanız için bazı yollara başvurmak gerekiyor. NTFS düzey güvenliği bu uygulamayı daha tehlikesizce gerçekleştirmeye yardımcı olabilir. Yeni paylaşımlar oluşturursak, NT tarafından koyulmuş varsayılan yetkileri değiştirmeye dikkat edin. Bunu yapmayı unutursak “Everyone” isimli grup paylaşım arasında gözükebilenlerin tümünün tam kontrolüne sahip olacaktır. Bu mesele NT’nin güvenlik piyasasında kötü bir darbe almasının sebeplerinden biridir. NT aşırı dikkatli olmaktan ziyade daha dostça konfigürasyon varsayımına yöneliyor. Bu felsefe bir LAN iş grubu için taktir edilebilir,fakat internet hizmet birimi için tam bir felaket.
NTFS GÜVENLİK SİSTEMİ:
NTFS bölümü kullanıcılara izin (hak ) vererek sabit diski yerel ve uzak (network ) bağlantılarına karşı korur. Bu nedenle izinleri dosyaların sahip oldukları özellikler olarak düşünmek gerekir. NTFS güvenlik sistemi içinde ayrıca disk üzerinde yapılan işlemler denetlenir (auditing ) ve sahiplikler düzenlenir.
İzinler (permissions ) dosyaların nasıl ve kim tarafından kullanılacağını belirler. NT’de beş temel izin vardır.
Varsayım İzinler: bir disk bölümü NTFS ile formatlandığında Everyone grubuna Full Control Olarak açılır. Bunun anlamı yeni yaratılan bir NTFS disk bölümünün yerel bir FAT ya da HPFS bölümü gibi kullanılmasıdır.
SAHİPLİK :
Bir dosya ya da dizinin sahibi ( owner/yaratan) onun izinlerini değiştirme hakkına sahiptir. Başka bir deyişle sahiplik izni değiştirme hakkıdır. Temelde Adminstrator sahiplikleri düzenler ve istediği sahipliği de elde eder. Bunun dışında bir sahip, kendi izin ya da dosyası üzerinde istediği kullanıcıya istediği hakkı verebilir.
Sahiplik konusunda genel esaslar şunlardır :
v Yaratıcı (sahip ) kullanıcı başka bir gruba ya da kullanıcıya sahiplik hakkı verebilir.
v Adminastrators bir dosya ya da dizinin sahipliğini alabilir.
v Adminastrators grubundan birisi sahiplik alırsa Adminastrators grubu sahip olur. Buna karşın Adminastrators grubunda olmayan bir kullanıcı sahiplik alırsa o zaman sadece kendisi sahip olur.
v Bir dosyanın sahibi olmak ya da Adminastrator olmak dosyanın bütün izinlerine sahip anlamına gelmeyebilir. Ancak bir sahip o dosyanın izinlerini değiştirerek istediği izinleri elde eder.
BİR DİZİNİ PAYLAŞTIRMA:
Çalışan bir NT Server üzerindeki dosya ve dizinlere izini olmayan kullanıcılar ulaşamazlar. NT Server üzerindeki dosya ve dizinlere ulaşmak için paylaştırılması gerekir. Bir dizini paylaştırmak için Adminastrators grubunda ya da Server Operators grubunda olmak gerekir.
Bir dizin yerel (bulunulan makine) yada uzaktan paylaştırılabilir. Yerel yönetim için NT Server’a giriş yapılmalıdır. Uzaktan paylaşım yapmak için Server Maneger programı çalıştırılmalıdır. NT’de paylaşımları kısıtlamak mümkündür.
Paylaşıma açılan bir dizine (kaynağa ) bir ad verilir. Bu ad varsayım olarak dizinin adıdır. Bunun dışında kullanıcı istediği bir paylaşım adını dizine verebilir. Paylaşımları gizlemek için paylaşım adlarının sonuna $ işareti konur.
Uzaktaki bir bilgisayar üzerindeki paylaşımın yönetimi için Server Maneger programı kullanılır.uzaktan paylaşımları gören sistem yöneticisi isterse paylaşımdan yaralanan kullanıcıların paylaşımlarını keser.
YÖNETİMSEL PAYLAŞIMLAR:
NT Server ve Workstation işletim sisteminde server servisinin çalışmasıyla birlikte bazı gizli yönetimsel (administrative ) paylaşımlar oluşturulur. Bu paylaşımlar şunlardır:
Ø ADMIN$ (NT programlarının bulunduğu dizin
Ø IPC$ ( SİSTEM İÇİ İLETİŞİM )
Ø C$ (her bir disk partitionu)
i Yönetimsel paylaşımlar durdurulabilir. Ancak sistemin yeniden açılmasıyla yeniden yaratılır. Bu durumda sistem yöneticisinin dikkatli olması gerekir. Aksi taktirde uzaktan kullanıcının NT Server’a girebilmesi ( NET USE ) ile ) mümkündür.
KULLANICI VE GRUP İZİNLERİ:
Dizine ve dosyaya diğer bilgisayarlardan (network’ten) erişim için verilen izinlerin yanısıra yerel bilgisayar için (logon )edilen dizinler ve dosyalar üzerinde istenilen dizinler güvenlik amaçlı olarak düzenlenebilir.
DENETİM (AUDITING ):
Bir bilgisayar için, dosya ve dizinler üzerinde belli kullanıcı ya da gruplar tarafından yapılacak belli işlemlerin takip edilmesini sağlar. Denetim özellikleri başarılı ya da başarısız olarak yapılan girişimleri (işlemleri )takip etmeyi sağlar. Denetim sadece NTFS dosya sisteminde sağlanır. Denetim düzenlemeleri sadece Adminastrators tarafından sağlanır.
NT SERVER’DA VERİLERİN KORUNMASI:
NT Server’da verilerin (sabit diskin ) korunması için özel özellikler vardır.sistemlerin çökmesi işletmeleri büyük kayıplara uğratabilir. DFT ( Disk Fault Tolerance/disk hata toleransı , sistem çökmelerine karşı önlem alınmasını ve veri saklama ortamlarının güvenliğini sağlar. Windows NT’de yazılım temelli üç tür hata toleransı sistemi vardır.
= Disk mirroring
= Disk striping with partys
= Sector sparing (sektör idaresi)
Disk hata toleransı sistemleri RAID (Redundant Arrays Of Inexpensive Disks) olarak adlandırılır ve altı düzeye ayrılır. Bu düzeyler farklı bileşimlerde güven,performans ve maliyete sahiptirler.
Veri güvenliğinde diğer bir konu da verilerin yedeklerinin alınmasıdır. Çeşitli risklere karşı yedekleme yapmak gerekir. NT işletim sistemi Tape Backup birimi aracılığıyla yedekleme almayı sağlayan bir grafik programa sahiptir. Y eklenen dosyalar aynı bilgisayara ya da başka bir bilgisayara geri yüklenebilir.
SEKTÖRLERİN İDARESİ:
RAID sistemi ile getirilen güvenlik yöntemlerinin yanı sıra Windows NT sektörleri koruyarak güvenliği artırır. Disk üzerindeki bütün sektörler formatlanırken hatalı sektörler diğerlerinden ayrılır. Okuma/yazma işlemlerinde karşılaşılan hatalar sonucunda önce kötü sektör saptanır. Ardından bu bilgiler yeni sektöre taşınır. Bu düzenlemenin ardından disk alanı için yeni bir driver map (sürücü hatası )düzenlenir. Bu işlemler disk işlemlerinde bir hata mesajının verilmemesini sağlar.
SONUÇ OLARAK:
Aşağıdaki dört nokta NT’nin en önemli güvenlik konseptleridir.
= Güvenlik sistem girişi : Bir kullanıcı sistemde çalışmadan önce geçerli bir kullanıcı adı ve şifre ile kendini sisteme tanıtmak zorundadır.
= Erişim kontrolü : Bir kaynağın sahibi ,dosya, bellek alanı veya başka bir nesne olsun, kimin hangi şekilde bu kaynağa erişebileceğini belirler. Objenin sahibi bunun için kullanıcı ve kullanıcı gruplarına erişim hakları verebilir.
= Gözetleme fonksiyonları : NT güvenlik için önemli olayları belirleyebilir ve bunları bir günlük dosyasında tutabilir. Aynı şey sistem kaynakları oluşturma, bunlara erişme ve silme teşebbüslerinde de geçerlidir.
= NT kullanıcı yönetimi sayesinde bu tip bir olayın hangi kullanıcı tarafından gerçekleştiğini tespit edebilir.
= Bellek koruması: programlar ayrılmış bellek alanlarında çalışırlar.bu yüzden bir program gerekli yetkiye sahip değilse başka bir programın kullanıldığı belirli bellek alanlarına erişemez. NT bu bağlamda bir programın kullandıktan sonra yeniden işletim sistemine ger verdiği belleğin içeriğini siler, böylece başka yazılımlarla bu bellek alnındaki okunması imkansız kılınmış olur.
Konu: İşletim Sistemleri Güvenliği (Okunma sayısı 1905 defa)
Şubat 19, 2007, 04:47:54 ÖÖ