Windows Ortamında NTFS ve Paylaşım İzinleri Çerçevesinde Erişim Kontrol Süreci

0
3522
views
Windows ortamında dosya paylaşımı ihtiyacı oldukça yaygın bir durumdur. Bazı durumlarda dosya paylaşımı sırasında izinlerin düzenlenmesi kafa karıştırıcı olmaktadır. Bu yazıda, NTFS izinleri ve Paylaşım izinleri farklı olarak ayarlanmış bir klasöre erişimlerin işletim sistemi seviyesindeki kontrolü incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Kullanıcının ağ üzerinden bir kaynağa erişmeye çalıştığı düşünülürse, son durumda kullanıcının kaynağa erişip erişmeyeceğine aşağıdaki kontrollerle karar verilir:

  • Öncelikle kullanıcıya ve üye olduğu bir gruba engelle (deny) izni atanıp atanmadığı kontrol edilir, eğer engelleme izni atanmışsa, her koşulda engelle izni öncelikli olarak uygulanır.
  • Sonrasında ilk olarak paylaşım izinlerine bakılır. İlgili kullanıcı ve kullanıcının üye olduğu gruplar arasında en liberal (en geniş) olan izin belirlenir.
  • Bu adım sonrasında kullanıcının NTFS izinleri değerlendirilir ve buradan da kullanıcıya atanmış en liberal izinler seçilir.
  • Paylaşım ve NTFS izinlerinden en liberal olanları seçildikten sonra elde edilen bu iki izin arasından en kısıtlayıcı olan seçilir.
  • Son durumda kalan izinler, ilgili kullanıcın ilgili kaynak üzerindeki izinlerini temsil edecektir.

Bu yazıda örnek olarak öncelikle bir kullanıcıya bir klasör üzerinde USERS grubuna NTFS izinlerinden okuma ve yazma izinleri verilerek, USERS grubundaki bir kullanıcının bu klasöre yazabildiği görülecektir.  Sonraki adımda ise, aynı klasör üzerinde Paylaşım izinlerinden sadece okuma izni verilerek, USERS grubundaki bir kullanıcının bu klasöre yazamadığı görülecektir.

 

1) NTFS Erişim İzinlerinin Listelenmesi

Öncelikle C:\ sürücüsü üzerinde “İzin Verilecek Klasör” adlı bir klasör oluşturulur.

Şekil - 1: Klasör Oluşturma
Şekil – 1: Klasör Oluşturma

 

Daha sonra klasör özelliklerinden tüm NTFS izinleri kaldırılır. Bu işlem için aşağıdaki adımlar uygulanır.

“İzin Verilecek Klasör” > Properties > Security > Advanced > Permissions

Şekil - 2: Nesne Güvenlik Ayarlarının Listelenmesi
Şekil – 2: Nesne Güvenlik Ayarlarının Listelenmesi

 

2) NTFS Erişim İzinlerinin Kaldırılması

Gelişmiş güvenlik seçeneklerine ait pencerede “Change Permissions” butonuna basıldığında aşağıdaki gibi bir ekran ile karşlaşılır. Gelen ekranda “Include inheritable permissions from this object’s parent” seçimi kaldırılır.

Şekil - 3: Kalıtımsal İzinlerin Kaldırılması - 1
Şekil – 3: Kalıtımsal İzinlerin Kaldırılması – 1

 

Belirtilen seçim kaldırıldığında aşağıdaki gibi bir uyarı mesajı ile karşılaşılır. Bu mesajdaki “Remove” butonuna basılarak nesne (klasör) üzerindeki tüm kalıtımsal (üstten gelen) izinler kaldırılır.

Şekil - 4: Kalıtımsal İzinlerin Kaldırılması - 2
Şekil – 4: Kalıtımsal İzinlerin Kaldırılması – 2

 

Son durumda gelişmiş güvenlik ayarları aşağıdaki gibi olacaktır.

Şekil - 5: Nesne Güvenlik Ayarlarının Listelenmesi
Şekil – 5: Nesne Güvenlik Ayarlarının Listelenmesi

 

Yukarıdaki pencere kapatıldığında izinlerin kaldırıldığına dair gelen uyarı mesajına “Yes” ile cevap verilir ve pencere kapatılır.

Şekil - 6: Kalıtımsal İzinlerin Kaldırılması - 3
Şekil – 6: Kalıtımsal İzinlerin Kaldırılması – 3

 

Tüm pencereler kapatıldığında bu klasöre erişim izinlerinin kimsede olmadığı, sadece klasör sahibi tarafından izin atamasının gerçekleştirilebildiği görülmektedir.

Şekil - 7: Nesne Güvenlik Ayarlarının Listelenmesi
Şekil – 7: Nesne Güvenlik Ayarlarının Listelenmesi

 

Not: Nesnenin (klasörün) sahibi, “Advanced” butonuna basılarak gelen penceredeki “Owner” sekmesinde belirtilmektedir. Nesne üzerinde “Change Permission” iznine sahip olan kullanıcı veya nesnenin sahibi tarafından sahiplik devredilebilir.

Şekil - 8: Nesne Sahipliğinin İzlenmesi
Şekil – 8: Nesne Sahipliğinin İzlenmesi

 

Not: Varsayılan olarak Sahipliği Al (Take Ownership) iznini üzerinde bulunduran, ya da o dizinin sahibi olan kullanıcılar yada Administrator kullanıcısını NTFS listesinde izinleri bulunmasa bile, ilgili klasör ya da dosyanın sahipliğini alarak NTFS izinlerini değiştirme hakkına sahiptir. Bu nedenle Take Ownership izninin verildiği kullanıcılara özen gösterilmesi gerekmektedir. Ayrıca Administrator kullanıcısının tüm dosya ve klasörlerin sahipliğini alma izninin bulunduğu unutulmamalıdır.

 

3) Tam Yetkili NTFS Erişim İzinlerinin Verilmesi

Nesne (klasör) üzerindeki kalıtımsal izinler kaldırıldıktan sonra, bazı kullanıcılara bir takım izinler verilecektir. Tam yetki verilecek kullanıcılar aşağıdaki gibidir:

  • Administrators
  • SYSTEM
  • Creators Owner

Yukarıdaki kullanıcılara tam yetki verilmesi için gelişmiş güvenlik seçeneklerine ait penceredeki Permissions sekmesinde “Change Permissions” butonuna basılır ve gelen pencerede Add butonuna basılır.

Şekil - 9: Nesnelere Erişim İzni Verilmesi - 1
Şekil – 9: Nesnelere Erişim İzni Verilmesi – 1

 

“Add” butonuna basıldığında aşağıdaki gibi bir pencere ile karşılaşılır. Bu pencerede yetki verilecek olan kullanıcı veya gruplar belirlenir. SYSTEM kullanıcısının seçilmesi aşağıdaki gibidir.

Şekil - 10: Nesnelere Erişim İzni Verilmesi - 2
Şekil – 10: Nesnelere Erişim İzni Verilmesi – 2

 

Kullanıcı seçiminden sonra verilecek olan izinlerin seçimi için yeni bir pencere açılır. Bu pencerede SYSTEM kullanıcısına tam yetki verilerek pencere kapatılır.

Şekil - 11: Nesnelere Erişim İzni Verilmesi - 3
Şekil – 11: Nesnelere Erişim İzni Verilmesi – 3

 

SYSTEM kullanıcısına tam yetki verildikten sonra gelişmiş güvenlik ayarlarında SYSTEM kullanıcısının izni tam yetki olarak gözlenmektedir.

Şekil - 12: Nesnelere Erişim İzni Verilmesi - 4
Şekil – 12: Nesnelere Erişim İzni Verilmesi – 4

 

Benzer şekilde, Add butonuna basılarak, Administrators ve Creator Owner kullanıcılarına da tam yetki verilir. İzinler verildikten sonraki görünüm aşağıdaki gibidir.

Şekil - 13: Nesnelere Erişim İzni Verilmesi - 5
Şekil – 13: Nesnelere Erişim İzni Verilmesi – 5

 

Yukarıdaki pencere kapatıldığında son durum aşağıdaki gibi listelenmektedir.

access-control-process-within-ntfs-permissions-and-sharing-permissions-on-windows-14

 

4) Okuma ve Yazma İzinlerinin Verilmesi

Nesneye (klasöre) ait güvenlik seçeneklerinden yerel kullanıcılar için okuma ve yazma yetkileri verilecektir. Bu amaçla nesnenin güvenlik seçeneklerinin izlendiği pencerede “Edit” butonuna basılır.

Şekil - 15: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi - 1
Şekil – 15: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi – 1

 

Yukarıdaki ekran görüntüsünde açılan ikinci pencerede “Add” butonuna basıldığında aşağıdaki gibi bir pencere ile karşılaşılır. Bu pencerede yetki verilecek olan kullanıcı veya gruplar belirlenir. PC\Users grubunun seçilmesi aşağıdaki gibidir.

Şekil - 16: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi - 2
Şekil – 16: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi – 2

 

Kullanıcı seçiminden sonra gelişmiş güvenlik seçeneklerine ait pencereye dönülür. Bu pencerede USERS grubuna yazma yetkisi eklenerek pencere kapatılır.

Şekil - 17: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi - 3
Şekil – 17: Users Grubuna Okuma ve Yazma İzinlerinin Verilmesi – 3

 

Böylece Users grubundaki herhangi bir kullanıcıya, nesne üzerinde yazma izni verilmiştir.

 

5) NTFS İzni Sonrası Standart Bir Kullanıcı İle Klasöre Yazma İşleminin Test Edilmesi

Öncelikle PC üzerinde standart bir kullanıcı oluşturulur. Bu kullanıcı otomatik olarak Users grubuna üye olur. Bu işlem için aşağıdaki komut kullanılmalıdır.

net user “Standart Kullanici” Aa123456 /add
net user “Standart Kullanici”
net user

Şekil - 18: Standart Bir Yerel Kullanıcı Ekleme
Şekil – 18: Standart Bir Yerel Kullanıcı Ekleme

 

“Yerel Yonetici” kullanıcısı ile açılan oturum kapatılarak “Standart Kullanici” ile yeni oturum başlatılır.

Şekil - 19: Standart Kullanıcı ile Oturum Açılması
Şekil – 19: Standart Kullanıcı ile Oturum Açılması

 

Not: Oturumu açacak kullanıcı etki alanında olmayan yerel bir kullanıcı olduğu için kullanıcı adının başına “.\” eklenmesi unutulmamalıdır.
Oluşturulan standart kullanıcı ile açılan oturumda C diski altındaki “İzin Verilecek Klasör” adlı nesnenin altına yazma (dosya oluşturma) işlemi gerçekleştirilebilmektedir.

Şekil - 20: Standart Kullanıcı ile Klasör İçerisinde Dosya Oluşturma
Şekil – 20: Standart Kullanıcı ile Klasör İçerisinde Dosya Oluşturma

 

Uygulamanın sonraki adımında Paylaşım (Sharing) izinlerinden sadece okuma izni verildiğinde ise yazma işleminin gerçekleştirilemeyeceği görülecektir.

 

6) Paylaşım İzinlerinin Verilmesi

Öncelikle, “Standart Kullanici” ile açılan oturum kapatılarak “Yerel Yonetici” kullanıcısı ile oturum açılır.

Şekil - 21: Yerel Yönetici Kullanıcısı ile Oturum Açılması
Şekil – 21: Yerel Yönetici Kullanıcısı ile Oturum Açılması

 

Oturum açıldıktan sonra, C diskindeki “İzin Verilecek Klasör” nesnesine ait paylaşım özellikleri açılarak klasör paylaşıma açılır. Bu işlem için aşağıdaki adımlar uygulanır.

“İzin Verilecek Klasör” > Properties > Sharing > Advanced Sharing

Şekil - 22: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 1
Şekil – 22: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 1

 

Gelişmiş paylaşım ayarları penceresinde klasör paylaşıma açılarak, klasör ismin sonuna ‘$’ eklenerek paylaşım gizli hale getirilir. Daha sonra Permissions butonuna basılarak gelen pencerede, “Remove” butonuna basılarak, Everyone kullanıcısının tüm paylaşım izinleri kaldırılır.

Şekil - 23: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 2
Şekil – 23: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 2

 

Everyone kullanıcısının paylaşım üzerinde işlem yapma yetkisi kaldırıldıktan sonra, bu klasöre paylaşım izni eklemek için Add butonuna basılarak Administrators grubuna tam yetki verilir. Bu amaçla öncelikle Administrators grubu seçilir.

Şekil - 24: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 3
Şekil – 24: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 3

 

Sonrasında gruba tam yetki verilir.

Şekil - 25: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 4
Şekil – 25: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 4

 

Benzer şekilde Users grubuna ise sadece okuma yetkisi verilir.

Şekil - 26: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 5
Şekil – 26: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 5

 

Pencereler kapatıldıktan sonra tüm paylaşımları listelemek için aşağıdaki komut kullanılır.

net share

Şekil - 27: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması - 6
Şekil – 27: Klasörün Paylaşım Erişim Yetkilerinin Ayarlanması – 6

 

7) Paylaşım İzni Sonrası Standart Bir Kullanıcı İle Klasöre Yazma İşleminin Test Edilmesi

Test adımı sırasında bir bilgisayardan “Standart Kullanici” hakları ile paylaşıma açılan klasöre girilecektir. Bu işlem farklı bir bilgisyardan yapılabileceği gibi aynı bilgilsayar üzerinden de test edilebilir. Bu amaçla öncelikle “Yerel Yonetici” kullanıcısı ile açılan oturum kapatılarak “Standart Kullanici” ile yeni oturum başlatılır. Açılan oturumda Windows-R tuş kombinasyonunu kullanarak aşağıdaki gibi erişim gerçekleştirilir.

Şekil - 28: Paylaşılmış Klasöre Erişilmesi
Şekil – 28: Paylaşılmış Klasöre Erişilmesi

 

Açılan paylaşılmış klasörde yazma işlemi gerçekleştirildiğinde (bir dosya oluşturuluğunda), bu işlem için izin verilmediğine dair bir uyarı ile karşılaşılır.

Şekil - 29: Paylaşılmış Klasörde Dosya Oluşturulması
Şekil – 29: Paylaşılmış Klasörde Dosya Oluşturulması

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.