Windows Ortamındaki Paylaşımların Yetkilendirmesi

0
1544
views
Windows ortamında dosya paylaşımı ihtiyacı oldukça yaygın bir durumdur. Ancak ortak alan olarak kullanılan paylaşım alanları büyük kurumlar için bir süre sonra yönetilemeyecek hal alabilmektedir. Bu sebeple ilk andan itibaren dosya paylaşımlarının izinlerine dikkat edilmelidir. Bu yazıda Windows ortak paylaşımlarının yetkilendirmesi incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Kurumlarda bulunan ortak alanlardaki yetkilendirmelere bazı durumlarda çok da dikkat edilmeyebilmekte ve herkese tam kontrol (Full Control) olarak izin verilebilmektedir. Bunun sonucu olarak da herkes ortak alan üzerinde istediğini yapabilme şansını elde eder. Belirli bir süre sonra kimin dosyasının kime ait olduğu, başkasının dosyalarının silinmesi gibi istenmeyen durumlar ile karşılaşılabilir. Geçici olarak oluşturulan klasör veya dosyaların süreleri dolduktan sonra silinememesi bazen sistem yöneticilerinin de işini zorlaştırıp, ortama müdahale edemeyecek hale getirebilir. Bu gibi durumların önüne geçebilmek için ortak olarak kullandırılmak istenen klasör izinleri aşağıdaki gibi yapılandırarak başlanabilir:

  • Paylaştıracak klasör üzerinde SYSTEM, Domain Admins, Creator Owners kullanıcı hesaplarına alt dosya ve klasörlere de uygulanacak şekilde tam yetki (Full Control) izni verilebilir. Burada Creator Owners kullanıcı grubu, sonradan oluşturulacak dosya ve klasörlerin sahiplerine de tam kontrol izni verilmesine neden olacaktır. Böylece ortak alanda oluşturulacak klasör ve dosyaların sahiplerinin ilgili dosya ve klasör üzerinde Full Control izni olacaktır.
  • Diğer kullanıcıların izinleri ise Authenticated Users grubuna atanacak izinler doğrultusunda belirlenecektir. Authenticated Users grubu kullanıcılarına yalnızca Read hakkı verilirse ilgili klasör ve dosya üzerinde yalnızca okuma hakkına sahip olacaklardır. Böylece başka kişiler tarafında oluşturulan klasör ve dosyalara yalnızca okuma izni verilmiş olacaktır ve kullanıcılar kendisine ait olmayan klasör ve dosyaları silmesinin önüne geçilmiş olacaktır. Authenticated Users Modify izni verilirse tüm kullanıcılara ilgili alanda dosya ve klasör oluşturma izni de verilmiş olacaktır.
  • Ortak alan klasörü paylaştırılırken, varsayılan izin olan Everone Read izni kaldırılmalı, yerine Authenticated Users grubuna Read ve gerekliyse Change izni atamasında bulunulmalıdır. Domain Admins grubuna atanan Full Control izinleri de sistem yöneticilerinin ilgili alan üzerinde istedikleri değişiklikleri yerine getirmesine imkan tanır.

Bunun yanında erişim kontrolü için “Access Based Enumeration” adı verilen bir özellik de bulunmaktadır. Access Based Enumeration ise Windows Server 2003 için indirilip kurulduktan sonra aktif hale gelen, Windows Server 2008 ile tümleşik halde gelen bir teknolojidir. Access Based Enumeration, paylaşılan klasörler üzerinde ortam karmaşasını engellemek için, ortamdaki tüm klasörler üzerinde yalnızca okuma izni olanlarının kullanıcı tarafından görüntülenebilmesini sağlar. Yani eğer kullanıcının ortak alan üzerindeki bir klasör üzerinde okuma hakkı yoksa, Access Based Enumeration özelliği aktif hale getirilmemişse, o klasör ilgili kullanıcı tarafında görüntülenmekte, kullanıcı ilgili klasöre tıkladığında, o klasöre erişme izninin olmadığı uyarısı ile karşılaşmaktaydı. Access Based Enumeration özelliği aktif hale getirilirse, kullanıcının okuma izni olmayan klasörleri görüntülemesi mümkün olmamaktadır. Böylece kullanıcı yalnızca kendisine okuma izni olan klasörleri görüntüleyebilmekte ve ortam karmaşası azaltılmaktadır. Başkalarına ait olan klasörleri görüntüleyememektedirler.

Access Based Enumeration özelliğini aktif hale getirmek için “Start \ Programs \ Administrative Tools \ Share and Storage Management” açılır. Access Based Enumeration özelliğinin aktif hale getirileceği paylaşım seçilir ve sağ taraftaki menüden Properties seçeneği seçilir. Açılan pencereden Advanced alanına tıklandıktan sonra “Enable access based enumeration” seçeneği seçilerek ilgili paylaşımda aktif hale getirilir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.