![](https://www.siberportal.org/wp-content/uploads/2020/12/pentist.jpg")
Kullanıcının ağ üzerinden bir kaynağa erişmeye çalıştığı düşünülürse, son durumda kullanıcının kaynağa erişip erişmeyeceğine aşağıdaki kontrollerle karar verilir:
- Öncelikle kullanıcıya ve üye olduğu bir gruba engelle (deny) izni atanıp atanmadığı kontrol edilir, eğer engelleme izni atanmışsa, her koşulda engelle izni öncelikli olarak uygulanır.
- Sonrasında ilk olarak paylaşım izinlerine bakılır. İlgili kullanıcı ve kullanıcının üye olduğu gruplar arasında en liberal (en geniş) olan izin belirlenir.
- Bu adım sonrasında kullanıcının NTFS izinleri değerlendirilir ve buradan da kullanıcıya atanmış en liberal izinler seçilir.
- Paylaşım ve NTFS izinlerinden en liberal olanları seçildikten sonra elde edilen bu iki izin arasından en kısıtlayıcı olan seçilir.
- Son durumda kalan izinler, ilgili kullanıcın ilgili kaynak üzerindeki izinlerini temsil edecektir.
Bu yazıda örnek olarak öncelikle bir kullanıcıya bir klasör üzerinde USERS grubuna NTFS izinlerinden okuma ve yazma izinleri verilerek, USERS grubundaki bir kullanıcının bu klasöre yazabildiği görülecektir. Sonraki adımda ise, aynı klasör üzerinde Paylaşım izinlerinden sadece okuma izni verilerek, USERS grubundaki bir kullanıcının bu klasöre yazamadığı görülecektir.
1) NTFS Erişim İzinlerinin Listelenmesi
Öncelikle C:\ sürücüsü üzerinde “İzin Verilecek Klasör” adlı bir klasör oluşturulur.
Daha sonra klasör özelliklerinden tüm NTFS izinleri kaldırılır. Bu işlem için aşağıdaki adımlar uygulanır.
“İzin Verilecek Klasör” > Properties > Security > Advanced > Permissions
2) NTFS Erişim İzinlerinin Kaldırılması
Gelişmiş güvenlik seçeneklerine ait pencerede “Change Permissions” butonuna basıldığında aşağıdaki gibi bir ekran ile karşlaşılır. Gelen ekranda “Include inheritable permissions from this object’s parent” seçimi kaldırılır.
Belirtilen seçim kaldırıldığında aşağıdaki gibi bir uyarı mesajı ile karşılaşılır. Bu mesajdaki “Remove” butonuna basılarak nesne (klasör) üzerindeki tüm kalıtımsal (üstten gelen) izinler kaldırılır.
Son durumda gelişmiş güvenlik ayarları aşağıdaki gibi olacaktır.
Yukarıdaki pencere kapatıldığında izinlerin kaldırıldığına dair gelen uyarı mesajına “Yes” ile cevap verilir ve pencere kapatılır.
Tüm pencereler kapatıldığında bu klasöre erişim izinlerinin kimsede olmadığı, sadece klasör sahibi tarafından izin atamasının gerçekleştirilebildiği görülmektedir.
Not: Nesnenin (klasörün) sahibi, “Advanced” butonuna basılarak gelen penceredeki “Owner” sekmesinde belirtilmektedir. Nesne üzerinde “Change Permission” iznine sahip olan kullanıcı veya nesnenin sahibi tarafından sahiplik devredilebilir.
Not: Varsayılan olarak Sahipliği Al (Take Ownership) iznini üzerinde bulunduran, ya da o dizinin sahibi olan kullanıcılar yada Administrator kullanıcısını NTFS listesinde izinleri bulunmasa bile, ilgili klasör ya da dosyanın sahipliğini alarak NTFS izinlerini değiştirme hakkına sahiptir. Bu nedenle Take Ownership izninin verildiği kullanıcılara özen gösterilmesi gerekmektedir. Ayrıca Administrator kullanıcısının tüm dosya ve klasörlerin sahipliğini alma izninin bulunduğu unutulmamalıdır.
3) Tam Yetkili NTFS Erişim İzinlerinin Verilmesi
Nesne (klasör) üzerindeki kalıtımsal izinler kaldırıldıktan sonra, bazı kullanıcılara bir takım izinler verilecektir. Tam yetki verilecek kullanıcılar aşağıdaki gibidir:
- Administrators
- SYSTEM
- Creators Owner
Yukarıdaki kullanıcılara tam yetki verilmesi için gelişmiş güvenlik seçeneklerine ait penceredeki Permissions sekmesinde “Change Permissions” butonuna basılır ve gelen pencerede Add butonuna basılır.
“Add” butonuna basıldığında aşağıdaki gibi bir pencere ile karşılaşılır. Bu pencerede yetki verilecek olan kullanıcı veya gruplar belirlenir. SYSTEM kullanıcısının seçilmesi aşağıdaki gibidir.
Kullanıcı seçiminden sonra verilecek olan izinlerin seçimi için yeni bir pencere açılır. Bu pencerede SYSTEM kullanıcısına tam yetki verilerek pencere kapatılır.
SYSTEM kullanıcısına tam yetki verildikten sonra gelişmiş güvenlik ayarlarında SYSTEM kullanıcısının izni tam yetki olarak gözlenmektedir.
Benzer şekilde, Add butonuna basılarak, Administrators ve Creator Owner kullanıcılarına da tam yetki verilir. İzinler verildikten sonraki görünüm aşağıdaki gibidir.
Yukarıdaki pencere kapatıldığında son durum aşağıdaki gibi listelenmektedir.
4) Okuma ve Yazma İzinlerinin Verilmesi
Nesneye (klasöre) ait güvenlik seçeneklerinden yerel kullanıcılar için okuma ve yazma yetkileri verilecektir. Bu amaçla nesnenin güvenlik seçeneklerinin izlendiği pencerede “Edit” butonuna basılır.
Yukarıdaki ekran görüntüsünde açılan ikinci pencerede “Add” butonuna basıldığında aşağıdaki gibi bir pencere ile karşılaşılır. Bu pencerede yetki verilecek olan kullanıcı veya gruplar belirlenir. PC\Users grubunun seçilmesi aşağıdaki gibidir.
Kullanıcı seçiminden sonra gelişmiş güvenlik seçeneklerine ait pencereye dönülür. Bu pencerede USERS grubuna yazma yetkisi eklenerek pencere kapatılır.
Böylece Users grubundaki herhangi bir kullanıcıya, nesne üzerinde yazma izni verilmiştir.
5) NTFS İzni Sonrası Standart Bir Kullanıcı İle Klasöre Yazma İşleminin Test Edilmesi
Öncelikle PC üzerinde standart bir kullanıcı oluşturulur. Bu kullanıcı otomatik olarak Users grubuna üye olur. Bu işlem için aşağıdaki komut kullanılmalıdır.
net user “Standart Kullanici” Aa123456 /add
net user “Standart Kullanici”
net user
“Yerel Yonetici” kullanıcısı ile açılan oturum kapatılarak “Standart Kullanici” ile yeni oturum başlatılır.
Not: Oturumu açacak kullanıcı etki alanında olmayan yerel bir kullanıcı olduğu için kullanıcı adının başına “.\” eklenmesi unutulmamalıdır.
Oluşturulan standart kullanıcı ile açılan oturumda C diski altındaki “İzin Verilecek Klasör” adlı nesnenin altına yazma (dosya oluşturma) işlemi gerçekleştirilebilmektedir.
Uygulamanın sonraki adımında Paylaşım (Sharing) izinlerinden sadece okuma izni verildiğinde ise yazma işleminin gerçekleştirilemeyeceği görülecektir.
6) Paylaşım İzinlerinin Verilmesi
Öncelikle, “Standart Kullanici” ile açılan oturum kapatılarak “Yerel Yonetici” kullanıcısı ile oturum açılır.
Oturum açıldıktan sonra, C diskindeki “İzin Verilecek Klasör” nesnesine ait paylaşım özellikleri açılarak klasör paylaşıma açılır. Bu işlem için aşağıdaki adımlar uygulanır.
“İzin Verilecek Klasör” > Properties > Sharing > Advanced Sharing
Gelişmiş paylaşım ayarları penceresinde klasör paylaşıma açılarak, klasör ismin sonuna ‘$’ eklenerek paylaşım gizli hale getirilir. Daha sonra Permissions butonuna basılarak gelen pencerede, “Remove” butonuna basılarak, Everyone kullanıcısının tüm paylaşım izinleri kaldırılır.
Everyone kullanıcısının paylaşım üzerinde işlem yapma yetkisi kaldırıldıktan sonra, bu klasöre paylaşım izni eklemek için Add butonuna basılarak Administrators grubuna tam yetki verilir. Bu amaçla öncelikle Administrators grubu seçilir.
Sonrasında gruba tam yetki verilir.
Benzer şekilde Users grubuna ise sadece okuma yetkisi verilir.
Pencereler kapatıldıktan sonra tüm paylaşımları listelemek için aşağıdaki komut kullanılır.
net share
7) Paylaşım İzni Sonrası Standart Bir Kullanıcı İle Klasöre Yazma İşleminin Test Edilmesi
Test adımı sırasında bir bilgisayardan “Standart Kullanici” hakları ile paylaşıma açılan klasöre girilecektir. Bu işlem farklı bir bilgisyardan yapılabileceği gibi aynı bilgilsayar üzerinden de test edilebilir. Bu amaçla öncelikle “Yerel Yonetici” kullanıcısı ile açılan oturum kapatılarak “Standart Kullanici” ile yeni oturum başlatılır. Açılan oturumda Windows-R tuş kombinasyonunu kullanarak aşağıdaki gibi erişim gerçekleştirilir.
Açılan paylaşılmış klasörde yazma işlemi gerçekleştirildiğinde (bir dosya oluşturuluğunda), bu işlem için izin verilmediğine dair bir uyarı ile karşılaşılır.
Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
