Windows 2000 de Güvenlik


Active Directory hizmeti sayesinde sistem yöneticisi, bir merkezden bütün ağın ve tüm kullanıcıların her türlü sistem kaynağına erişim haklarını belirleyebilir, kısıtlayabilir, arttırabilir. Actve Directory, etki alanı güvenlik politikaları ve kullanıcı  hesaplarını, yetkileri, imzaları, sorumlulukları ve parolaları depolar. Birden fazla Domain Denetçisi bulunan ağlarda, bu bilgiler faal olarak sürekli güncellenir ve uzaktan yönetim için ağın her yerinde kullanıma hazır tutulur.

Erişim Denetim Listesi (Acces Control List-ACL), Windows 2000’ de, daha önceki NT sürümlerinden farklı olarak, ağdaki bütün nesneler ve kaynakların birer güvenlik tanımlayıcısı (security descriptor) vardır. Güvenlik tanımlayıcısı, tüm hak ve yetkiler kısıtlamalar ve sınırlamaları içerir. Her etki alanı kendi güvenlik politikaları ve ACL bulundurur. Windows 2000 ağında birden fazla etki alanı olabilir; bu durumda etki alanları birbirleri arasında belirlenecek "Güven İlişkisi"  çerçevesinde bağlanırlar ve buna "Domain Ağacı" adı verilir. Windows 2000 ortamında birden fazla "Domain Ağacı" olabilir; bunların hepsine birden "Domain Ormanı" denir.
Windows 2000’ in güvenlik sistemi, Single Sing-on (SSO, tek oturum açma) ile başlar. Oturum açma işlemi, herhangi bir işletim sisteminde, kullanıcının kendisini ağa tanıtması ve “olduğunu iddia ettiği kişi olduğunu kanıtlaması” işlemidir. Ağ işletim sistemi, ancak bu kanıtı elde ettikten sonra, kullanıcıyı gerçek kimliği ile tanıyabilir ve ona Ağ Yöneticisi’ nin tayin ettiği haklarını ve yetkilerini verebilir.
SSO, Windows 2000 güvenlik sistemi olan Kerberos protokolü sayesinde yapılır. Kerberos, bilet(Ticket) adı verilen ve ağda Anahtar Dağıtım Merkezi (Key Distribution Center-KDC) denilen bir merkezden çıkartılan şifreli veri paketlerine dayanan bir protokoldür. Bilet, kullanıcının kimliğini ve diğer birçok bilgilerin kanıtıdır. Bilet' in içindeki kullanıcının adı ve parolasından türetilmiş bir değerdir ve şifre çözülse bile bir oturumluk olduğu için başkasının işine yaramayacaktır. Bilet' in kullanım ömrüde sınırlıdır. Anahtar Dağıtım Merkezi, kendi yetki alanı içinde bütün kullanıcılara bir bilet keser. Kerberos Server, Sistem Yöneticisi' nin tayin edeceği bu süre ya da Windows 2000' in diliyle zaman aşımı süresi dolunca, kendi kestiği bileti bile tanımaz. Biletlerin varsayılan ömürleri 8 saattır. Bu süreyi Ağ Yöneticisi uzatabilir ya da kısaltabilir. Etki alanı içindeki tüm serverlar birer KDC olarak çalışırlar.
Sistemin çalışması, görünüşte çok basittir. Şekil 1’ de de görüldüğü gibi, kullanıcı SSO işleminden sonra, KDC bu kullanıcının oturumuna önce bir Bilet İsteme Bileti (Ticket Granting Ticket-TGT) keser. Kullanıcı oturumun esnasında herhangi bir kaynağı kullanmak istediğinde oturumun açıldığı bilgisayar, KDC’ ye TGT’ yi vererek, hizmet bileti (Service Ticket-ST) ister. KDC, kendi verdiği TGT’ yi hemen tanıdığı için kullanıcının bilgisayarına ST’ yi kesip gönderiri. Kullanıcı bilgisayarı, ST ile ağ kaynağına başvurur ve erişim hakkını elde eder. Bundan sonra kullanıcı bir ağ kaynağına ulaşmak istediğinde tekrar KDC’ den bir hizmet bileti istemez, elindeki hizmet biletini kullanarak ağ kaynaklarına ulaşır.(Şekil 1)
Windows 2000 G?enlik


            Şekil 1:Oturum açan bir bilgisayarın ağ kaynaklarına ulaşmak için gerekli                                işlemler
Eğer kullanıcı kendi etki alanı dışında bir etki alanındaki kaynağa kullanmak isterse, diğer etki alanının KDC’ si hizmet bileti vermeyeceği için, kendilerine ikinci bir Bilet İsteme Bileti kesilecektir. Şekil 2 ‘ de görüldüğü gibi, kullanıcının bilgisayarı, bu ikinci TGT ile ikinci KDC’ ye başvurarak, hizmet biletini alacaktır. İkinci KDC, birinci KDC’ nin çıkarttığı TGT’ yi (etki alanı içindeki güven ilişkisi sebebi ile) tanıyacak ve hizmet biletini verecektir. Kullanıcı bu hizmet bileti ile ağ kaynağına ulaşacak  ve erişim hakkı kazanacaktır. (Şekil 2)
Windows 2000 G?enlik


 

            Şekil-2:Oturum açan bir bilgisayarın farklı etki alanlarındaki ağ kaynaklarına  ulaşmak için gerekli işlemler.
Kerberos, kimlik doğrulama, verinin bütünlüğünü koruma ve başkasının eline geçmesini önleme işlevlerini, ya kendi ya da kullanıcının sağlayacağı bir şifreleme sistemi ile gerçekleştirilir. Mesela gönderdiğimiz bir mesaj bizim sistemimiz den çıkarken ya Pulic Key (Genel Anahtarlama) ya da bizim sağlayacağımız özel bir anahtar ile sifrelenecektir. Bu mesajı alan bilgisayar şifreyi çözecek anahtar bulunacak ve mesaj yolda hiç kimse tarafından okunmayacak ve içeriği değiştirilmeden ulaştırılacaktır.
Kerberos' un bir görevide paylaşılan bir disk sürücüye erişerek alınan bilgilerin ya da açılan dosyaların içeriğinin nereye gittiğini izlemektir. Bunu da hizmet bileti ile sağlar. Biletin yetki bilgisi bölümü, kullanıcının ağ kaynağına erişmesinde kullanılırken, Kerberos bu bilgilerden bir kullanıcıya ait "güvenlik jetonu"(Security Acces Token) adı verilen bir bilgi kümesi oluşturulur ve kullanıcının ağ kaynaklarından adindiği bilğiyi, kullanıcıyı temsil eden bu jetonlara yapıştırır. Jeton o sırada oturumun açıldığı bilgisayarı tanımaktadır.
Kerberos, sisteminde bir verinin şifrelenmesinde uygulanan anahtar kullanıcının oturum açarken girmek zorunda olduğu parola kelimesinden üretilir. Windows 2000, her kullanıcının şifresini bildiği için sistem kaynaklarına ulaşması sırasında veriyi şifrelemek ve daha sonra şifreyi çözmek için kullanacağı anahtarı bilir.  
Yeni Kullanıcı Yapma:
Bilgisayarımıza giriş izni vermek isterken, masaüstü, dökümanlar gibi yerlere girilmesini istenmiyorsak yeni bir kullanıcı hesabı oluşturulur. Kullanıcı hesapları denetim masası\kullanıcılar ve sifreler kısmına girilerek ayarlanabilir. Burada "Ekle" butonuna basılarak yeni bir kullanıcı adı belirtilir, tam isim girilir ve kullanıcı tanımlaması bölümleride doldurulur.(Kullanıcı tanımlama olayı daha sonra ayrıntılı olarak anlatılacaktır )                       
Kullanıcı İzinlerinin Kısıtlanması:
Windows 2000, her bir kullanıcının izinlerini belirlemenizi sağlayarak yardım edebilir. Böylece istenilen dosyaların istenmeyen kişilerin  müdahalesinden korunmuş olur.
Dosya Ya Da Klasörleri Şifreleme:
Windows 2000 saklama sistemi olan NTFS, sabit diskteki dosya ya da klasörleri şifrelememize izin verir. Bunu için, şifrelemek istediğimiz bir dosya ya da klasöre sağ tıklayarak özellikler seçilir. General sekmesinden Advanced seçeneği seçilir. (Şekil 3)
Windows 2000 G?enlik


                       Şekil-3
Daha sonra aşğıda görülen ekran gelir. Buradan Encrytp yazan kutuya işaret koyarak verileri güvene alınır.(şekil 4) Bu konular daha sonra ayrıntılı olarak anlatılacaktır.
Windows 2000 G?enlik


                                                           Şekil-4
Güvenli Açılış:
NT 4.0 ve Windows 2000' de tüm yeni kullanıcıların güvenli bir açılış için Ctrl+Alt+Delete' e basması gerekiyor. Bu özelliği etkinleştirmek için Start/Settings/Control Panel/Users and Password' u seçilir.Advanced sekmesine tıklanır. "Require users to press <Ctrl>-<Alt>-<Delete> before logging on" kutusu işaretlenir.
xxxxxx