Windows Ortamında Nesne Sahipliği

Bir nesnenin Güvenlik Tanmlayıcısı (Security Descriptor) alanınında bulunan SID değeri ile ilgili nesnenin sahibinin kim olduğunu belirlemede kullanılır. Bir nesnenin sahibi olan kullanıcının ilgili nesne üzerinde diğer kullanıcılara göre bazı avantajları vardır. Bu yazıda nesnelerin sahipliği (owner) incelenecektir.

Windows ortamında bir dosyaya erişimi kısıtlayarak dosyaya gerçekleştirilebilecek erişilerin önüne geçilebilir. Örneğin, etki alanındaki bir dosya sunucudaki kritik doküanlara Finans Yönetimi personelinin erişimesi Domain Admins grubundaki personel dahil her kullanıcının erişim sağlanması engellenmek istenebilir. Bu işlem için ACL tanımlanabilir. Ancak bu kısıtlama yerel yönetici olunmuş ise atlatılabilir. Yani bir nesne üzerinde herhangi bir DACL bulunmasa bile, nesnenin sahibi olan kullanıcılar nesne üzerinde, dosyanın o anki sahibini değiştirme hakkı da dahil olmak üzere, her türlü değişikliği yapma hakkı vardır.

Windows kurulduğunda varsayılan olarak gelen Administrator kullanıcısının nesne sahipliği ile ilgili özel bir durumu vardır. Varsayılan olarak Administrator kullanıcısı tüm nesnelerin sahibi olarak Windows tarafından tanımlanmıştır ve istediği zaman istediği nesne üzerinde değişiklik yapma hakkına sahiptir. Bu nesne sahipliği başka bir kullanıcıya verilmiş dahi olsa, Administrator kullanıcısının tüm nesnelerin sahipliğini üzerine alabilme ayrıcalığına sahiptir ve bu nedenden dolayı da Administrator kullanıcısının korunması güvenlik açısından özel bir öneme sahiptir.

Creator Owner grubu bir nesnenin sahibi olan kullanıcılara verilecek hakları tanımlamakta kullanılabilecek jenerik bir gruptur. Creator Owner grubuna verilecek izinler ile yeni oluşturulacak bir klasör veya dosya üzerinde nesne sahibinin gerçekleştirebileceği izinler nesne oluşturulmadan da belirlenebilir.

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php