Windows Ortamında Paylaşım İzinleri

0
635
views
Bir klasör, yazıcı veya tarayıcı gibi nesneler; başkalarının kullanımına da sunulabilmesi için paylaşıma açılır. Bu yazıda Windows ortamında paylaşım izinleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Paylaşım izinlerini verirken yapılan en yaygın yanlış, herhangi bir nesne paylaştırılırkern daha sonra başımızı ağırtmaması için herkese tam kontrol (Full Control) ya da okuma hakkı vererek paylaşıma açılmasıdır. Genellikle paylaşıma açılan nesneler, paylaşım işlemi gerçekleştikten sonra da açık olarak bırakılmakta ya da unutulmaktadır. Unutulan ya da erişim izinleri düzgün olarak yapılandırılmamış bu gibi paylaşımlar bilgisayar güvenliğini riske atmaktadır. Bugün bir çok yazılım ağda tarama işlemlerini yerine getirerek sömürülebilecek paylaşımlar aramaktadır. Bir çok saldırı türü yanlış izinlerle paylaşıma açılmış klasörler ile gerçekleştirildiği akılda bulundurulmalıdır.

Paylaşım izinleri NTFS izinlerine göre daha sadedir ve aynı zamanda paylaşım sahipliği gibi bir şey de söz konusu değildir. Ayrıca izinler arası kalıtım söz konusu değildir. Ağ üzerinden gerçekleşecek erişimlere üç farklı şekilde kullanıcı veya gruba izin verilerek gerçekleştirilir. Bunlar tam kontrol (Full Control), değiştir (Change) ve oku (Read) izinleridir. Her bir kullanıcı ve grup için izin verme (allow) veya engelleme (deny) seçenekleri mevcuttur. Engelle (deny) izninin izin verme iznine göre önceliği vardır. Yani bir kullanıcı veya gruba bir paylaşımda tam kontrol yetkisi verilse, aynı şekilde aynı kullanıcıya okumayı engelle (Read – Deny) izni atanırsa kullanıcılar ilgili alana erişemeyeceklerdir.

Paylaşım izinleri kullanıcılar paylaşıma; ağ üzerinden, map edilmiş bir ağ sürücüsü üzerinden, komut satırını çalıştırıp \\Bilgisayarİsmi veya \\IPAdresi yoluyla yada ağ üzerindeki bir paylaşımı işaret eden masaüstündeki bir kısayoldan erişmeye kalkıştıklarında öncelikle paylaşım izinleri ile karşılaşırlar. Bu nedenle bir kullanıcının NTFS izinleri tam kontrol olsa dahi, paylaşım izinlerinde gereken izni almadıysa ağ üzerinden kullanıcı o kaynağa erişemez. Paylaşım izni yalnızca okuma olarak verilmişse, NTFS izinleri tam kontrol dahi olsa, kullanıcı ağ üzerinden o kaynağa erişirse, kaynak üzerinde yalnızca okuma izni olacaktır ve herhangi bir değişiklik gerçekleştiremeyecektir.

Aynı klasörü farklı isimlerde ve farlı izinlerle paylaşıma açmak mümkündür. Yani birden fazla isim ile aynı klasör farklı paylaşım izinlerine sahip olacak şekilde paylaşıma açılabilir. Kullanıcılar kaynağa hangi isim üzerinden erişiyorlarsa, o isim ile açılan paylaşım izinleri kullanıcıya uygulanır. Ayrıca paylaşılan klasörlerin kendine özel DACL’leri vardır ve NTFS izinlerinden farklıdırlar. Paylaşım izinleri File and Print Sharing Service tarafından uygulanır, NTFS izinlerini uygulayan NTFS dosya sistemi sürücüsü paylaşım izinlerinin uygulanmasında kullanılmaz.

Windows XP varsayılan paylaşım izni Everyone adlı grup hesabı için tam kontrol (Full Control) olacak şekilde yapılandırılmıştır. Eğer NTFS izinleri de düzgün olarak yapılandırılmamışsa, Windows XP ile gerçekleştirilen her paylaşım sistem güvenliğini tehlikeye atacaktır. Bu nedenle Windows Server 2003 ve sonrasında bu davranış yerini varsayılan olarak tam kontrol (Full Control) değil de oku (Read) olacak şekilde değişmiştir. Paylaşılan klasörde Everyone kullanıcısına okuma hakkı atanması günümüze kadar çıkan tüm işletim sistemlerinde Windows için varsayılan değerdir. Fakat güvenlik açısından değerlendirildiğinde bu değerin Everyone olarak bırakılması önerilmemektedir. Everyone grubu yerine kullanılması önerilen Authenticated Users grubudur ve her paylaşımda Everyone grubunun yerine kullanılması tavsiye edilmektedir. Paylaşım izinlerini yapılandırabilmek için Sharing sekmesinde Advanced Sharing tuşuna tıklanır ve Permissions tuşundan gerekli izinler görülebilir ve yapılandırılabilir.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.