Windows Erişim Kontrol Modeli

Windows işletim sistemi erişimlerin kontrolü için bir takım kısıtlamalar getirmektedir. Bu yazıda Windows ortamında erişim kontrol modeli incelenecektir.

Windows erişim kontrol modeli iki temel parçadan oluşur. Birincisi “Access Token” adı verilen kullanıcı oturum açtığında oluşturulan ve oturum açan kullanıcı hakkında bilgi barındıran parça; ikincisi “Security Descriptors” adı verilen, korunabilen nesneler (securable object) hakkında bilgi bulunduran parçalardır.

Bir kullanıcı oturum açmaya çalıştığında sistem kullanıcı adı ve parolası ile kullanıcının kimlik doğrulamasını gerçekleştirir. Eğer oturum açma denemesi başarılıysa, sistem bu kullanıcı için bir Access Token oluşturur. Bu kullanıcı adına çalıştırılan tüm prosesler oluşturulan jetonun (token)bir örneğini bulundururlar. Jetonda kullanıcıyı tanımlanayan SID (Security Identifier) değeri, kullanıcının üye olduğu grupların SID değerleri bulunur. Ayrıca kullanıcıya veya kullanıcı grubuna atanmış ayrıcalıklar (privileges) da jeton içerisinde bulunur. Sistem bu jetonu ilgili kullanıcıyı korunabilen bir nesneye erişmeye çalıştığında tanımlamada ya da ayrıcalık gerektiren bir yönetici görevini yerine getirmede kullanır.

Security Descriptor atanan nesnelerin tümüne korunabilen nesne (Securable Object) adı verilir. Korunabilen nesnelere; dosya veya klasörler (NTFS üzerinde), prosesler ve iş parçacıkları (thread), kayıt anahtarları (registry), windows servisleri, yerel veya ağ yazıcıları, ağ paylaşımları, dizin servis nesneleri örnek olarak verilebilir. Bir korunabilen nesne oluşturulduğunda sistem bu nesneye bir Security Descriptor atamasında bulunur. Security Descriptor içerisinde bu nesnenin sahibi, nesne sahibi tarafından tanımlanabilen izin bilgileri bulunur. Varolan bir nesnenin Security Descriptor içeriğinde bulunan verileri düzenleyebilecek uygulamalar mevcuttur ve doğrudan müdahale edilmesi tavsiye edilmemektedir. Bir nesnenin Security Descriptor kapsamında aşağıdaki bilgiler bulunur:

  • Nesne sahibinin SID değeri
  • Erişimine izin verilen veya engellenen kullanıcıları veya grupları tanımlayan DACL (Discretionary Access Control List)
  • Erişim denemeleri için denetim kayıt bilgisi üretmede kullanılan SACL (System Access Control Lists)
  • Security Descriptor tanımlamada kullanılan bazı kontrol bitleri.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.