CompTIA Security+ | Erişim ve Kimlik Yönetimi #4

Selamlar değerli THT üyeleri,

CompTIA Security+ serimize hız kesmeden devam ediyoruz. Bugün "Erişim ve Kimlik Yönetimi" konusunu ele alacağız. Serinin diğer konularına aşağıdaki bağlantılardan ulaşabilirsiniz;
CompTIA Security+ | Nedir, Ne İşe Yarar, Hangi Konuları İçerir? #1
CompTIA Security+ | Güvenlik Açıkları, Tehditler ve Saldırılar #2
CompTIA Security+ | Ağ Tasarımı ve Mimarisi #3

Tanımlama ve Kimlik Doğrulama
Tanımlama , bir sistem kullanıcısını veya sistemde çalışan bir uygulamayı benzersiz şekilde tanımlama yeteneğidir. Kimlik doğrulama , bir kullanıcının veya uygulamanın gerçekten o kişi veya uygulamanın iddia ettiği kişi olduğunu kanıtlama yeteneğidir.

Yetkilendirme (Authorization)
Yetkilendirme, erişimi yalnızca yetkili kullanıcılar ve uygulamalarıyla sınırlayarak bir sistemdeki kritik kaynakları korur. Bir kaynağın yetkisiz kullanılmasını engeller.

Denetim (Auditing)
Denetim, yetkisiz bir faaliyetin gerçekleşip gerçekleşmediğini veya bu tür bir faaliyeti gerçekleştirmek için herhangi bir girişimde bulunulup bulunulmadığını tespit etmek için olayları kontrol etme sürecidir.

Gizlilik (Confidentiality)
Gizlilik hizmeti, hassas bilgileri yetkisiz ifşaya karşı korur. Hassas veriler yerel olarak depolandığında, erişim kontrol mekanizmaları verileri korumak için yeterli olabilir. Daha yüksek düzeyde bir güvenlik gerekiyorsa, veriler şifrelenebilir.

Veri Bütünlüğü (Data Integrity)
Veri Bütünlüğü hizmeti, verilerde yetkisiz değişiklik yapılıp yapılmadığını anlar. Verilerin değiştirilebileceği iki yol vardır: yanlışlıkla, donanım ve iletim hataları yoluyla veya kasıtlı bir saldırı nedeniyle. Veri bütünlüğü hizmetinin amacı, kasıtlı bir saldırıyı tespit etmektir.



Çok Faktörlü Kimli Doğrulama (MFA)
Çok faktörlü kimlik doğrulama , bir sistemin kullanıcının oturum açmak için bir kullanıcının kimliğini doğrulamak için iki veya daha fazla kimlik bilgisinin bir kombinasyonunu sunmasını gerektirdiği durumlarda, verilerin ve uygulamaların güvenliğini sağlamaya yönelik katmanlı bir yaklaşımdır. MFA, güvenliği artırır, çünkü bir kimlik bilgisi tehlikeye girse bile, yetkisiz kullanıcılar ikinci kimlik doğrulama gereksinimini karşılayamaz ve hedeflenen fiziksel alana, bilgi işlem cihazına, ağa veya veritabanına erişemez.



Federe Kimlik (FID)
Kimlik federasyonu, bir kullanıcının kimlik doğrulama sorumluluğunun harici bir ortağa devredildiği süreçtir. Ortak, taraflar arasında önceden kurulmuş olan karşılıklı güvene dayalı olarak, kimliği doğrulayan taraf tarafından sağlanan onayı kabul eder ve sonuç olarak, erişim talep eden tarafın kimliğini doğrulama gerekliliğinden feragat eder.



Tek Seferlik Oturum Açma (SSO)
Tek Seferlik Oturum Açma (SSO), web sitelerinin kullanıcıları doğrulamak için diğer güvenilir siteleri kullanmasına olanak tanıyan kimlik doğrulama yöntemidir. Tek oturum açma, kullanıcının herhangi bağımsız uygulamada tek bir kimlik ve parola ile oturum açmasına olanak tanır.



Geçişli Güven (Transitive Trust)
Geçişli güven doğrulaması, bir iletişim ağı tarafından zaten kimlik doğrulamasından geçen bir kullanıcının/varlığın, ikinci kez kimlik doğrulamasından geçmek zorunda kalmadan başka bir iletişim ağındaki kaynaklara erişebilmesini sağlayan bir tekniktir.



Kimlik ve Erişim Hizmetleri

LDAP
LDAP (Hafif Dizin Erişim Protokolü), dizin hizmetleri kimlik doğrulaması için kullanılan açık ve çapraz platform protokolüdür. LDAP, uygulamaların diğer dizin hizmetleri sunucularıyla iletişim kurmak için kullandığı iletişim dilini sağlar. Dizin hizmetleri, kullanıcıları, parolaları ve bilgisayar hesaplarını depolar ve bu bilgileri ağdaki diğer varlıklarla paylaşır.

Kerberos
Kerberos kimlik doğrulaması Microsoft Windows tarafından kullanılan bir teknolojidir. Kerberos, kullanıcı kimliklerini doğrularken bile parolaları güvenli olmayan ağlardan uzak tutarak kimlik bilgilerinizi bilgisayar korsanlarından korumak için tasarlanmıştır. Kerberos, en basit haliyle, istemci/sunucu uygulamaları için bir kimlik doğrulama protokolüdür. Güvenli olmayan bir ağ üzerinden güvenli kimlik doğrulaması sağlamak için tasarlanmıştır.

TACACS+
Terminal Erişim Denetleyicisi Erişim Kontrol Sistemi veya TACACS olarak adlandırılan bir kimlik doğrulama protokolüdür ve belirli bir sisteme erişime izin verilip verilmeyeceğini belirlemek için bir uzaktan erişim sunucusunun bir kullanıcının oturum açma parolasını bir kimlik doğrulama sunucusuna iletmesine izin veren UNIX tabanlı ağlarda yaygın olarak kullanılır.

CHAP
Challenge Handshake Authentication Protocol (CHAP), kimlik doğrulama için bir sorgulama yöntemi kullanır. Kullanıcı kimliği/parola mekanizması kullanmaz. CHAP, sunucuya bir oturum açma isteği gönderir. Sunucu, istemciye bir sorgulama gönderir. Meydan okuma şifrelenir ve ardından sunucuya geri gönderilir. Sunucu, istemciden gelen değeri karşılaştırır ve bilgi eşleşirse oturumu verir.

PAP
Parola Kimlik Doğrulama Protokolü (PAP), iki yönlü el sıkışma kullanarak kimliğini oluşturması için basit bir yöntem kullanır. Bağlantı kurulduktan sonra, kimlik doğrulama onaylanana veya bağlantı sonlandırılana kadar kimlik doğrulayıcıya tekrar tekrar kimlik ve parola çifti gönderilir. Bu, yalnızca ilk bağlantı kurulduğunda yapılır.

MSCHAP
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), geniş alan ağı (WAN) iletişiminde kullanılan şifreli bir kimlik doğrulama protokolüdür. MS-CHAP, MD5 tek yönlü şifreleme yöntemini kullanarak CHAP' a benzer. MS-CHAP, Microsoft'un CHAP sürümüdür. Hem istemci hem de kimlik doğrulama sunucusu, veri şifreleme için bağımsız başlangıç anahtarları üretir.

RADIUS
RADIUS, uygulama katmanında çalışan bir istemci-sunucu ağ protokolüdür. RADIUS protokolü, bir RADIUS Sunucusu ve RADIUS İstemcisi kullanır:​

• RADIUS İstemcisi: Kullanıcıların kimliğini doğrulamak için kullanılan bir ağ aygıtıdır.​
• RADIUS Sunucusu: Kullanıcı profillerini merkezi bir veritabanında tutmanıza izin verir. Bu nedenle, bir RADIUS Sunucunuz varsa, ağınıza kimlerin bağlanabileceğini kontrol edebilirsiniz.​

Bir kullanıcı RADIUS İstemcisine bağlanmaya çalıştığında, İstemci RADIUS Sunucusuna istek gönderir. Kullanıcı, yalnızca RADIUS Sunucusu kullanıcının kimliğini doğrular ve yetkilendirirse RADIUS İstemcisine bağlanabilir.

SAML
Güvenlik Onayı Biçimlendirme Dili veya SAML, harici uygulamalara ve hizmetlere kullanıcının söylediği kişi olduğunu söylemenin standart bir yoludur. SAML, bir kullanıcının kimliğini bir kez doğrulamak ve ardından bu doğrulamayı birden çok uygulamaya iletmek için kullanılan çoklu oturum açma (SSO) teknolojisini mümkün kılar.

OpenID Connect
OIDC, bir uygulamaya parolanızı vermeden verilerinize erişmesi veya başka bir uygulamadaki özellikleri sizin adınıza kullanması için yetki verdiğiniz bir güvenlik standardıdır.

0AUTH
0AUTH, bir web sitesinin veya uygulamanın, bir kullanıcı adına diğer web uygulamaları tarafından barındırılan kaynaklara erişmesine izin vermek için tasarlanmış yetkilendirme protokolüdür.

Shibboleth
Shibboleth, iki uygulama arasında çoklu oturum açmayı (SSO) destekleyen web tabanlı yazılım aracıdır. Açık kaynaklı bir araçtır ve esas olarak Tek Oturum Açma (SSO) için kullanılır . OAuth veya OpenID connect gibi protokollerle SSO uygulayamaz.

Secure Token
Erişim Kimliğinize ve Parolanıza ek olarak, bir güvenlik tokenleri ikinci bir kimlik doğrulama düzeyi sağlar. Güvenlik tokenleri, yalnızca bir kez kullanılabilen ve düzenli olarak değişen 6 basamaklı geçici bir kod oluşturur. Ek güvenlik gerektiğinde, güvenlik simgeniz tarafından oluşturulan 6 haneli geçerli bir kod girmenizi ister.

NTLM
Başlangıçta tescilli bir protokol olan NTLM, daha sonra Windows da kullanılmayan sistemlerde kullanılabilir hale geldi. Kullanıcıların parolayı göndermeden uygulamalarda kimliklerini doğralamasını sağlayan SSO biçimidir. NTLM, kriptografik el sıkışma içeren üç mesajın değiş tokuşu yoluyla kullanıcılara bir Active Directory (AD) etki alanında SSO erişimi sağlar. Müşterinin anlaşma mesajı, sunucunun sorgulama mesajı ve müşterinin kimlik doğrulama mesajı.



Kimlik ve Erişim Yönetim Kontrolleri
Erişim Kontrol Modelleri
Erişim Kontrol Modelleri, bilgisayar ağlarına, dosyalara ve verilere sanal erişimi kısıtlar.​

• İsteğe Bağlı Erişim Kontrolü (DAC): Belirli bir kişinin sahip olunan kaynağa erişmesine izin verip vermeyeceğine karar vermesini sağlar.​
• Zorunlu Erişim Kontrolü (MAC): Bu model, kaynakların bir duyarlılık modeline göre gruplandırılmasını sağlar. Bir kullanıcının belirli kaynakları görüntülemesi için verilen ayrıcalıklar, kullanıcının izin düzeyine bağlıdır.​
• Rol Tabanlı Erişim Kontrolü (RBAC): Kuruluş içinde yaptıkları işe dayalı olarak erişim ayrıcalıkları verir. Bir yöneticinin kullanıcıya iş atamalarına göre tekli veya çoklu rollere atamasına olanak tanır. Her rol, belirli kaynaklara erişim sağlar.​
• Özniteliğe Dayalı Erişim Kontrolü (ABAC): Erişim talebinde bulunan kullanıcı, talep edilen kaynak, kullanıcının kaynakla ne yapacağı ve ortam (coğrafi konum, ağ vb.) isteğin içeriğini kapsar. RBAC geniş erişimi kapsarken, ABAC erişimi daha ayrıntılı bir düzeyde kontrol edebilir.​

Fiziksel Erişim Kontrolleri
Fiziksel Erişim Kontrolü, bir binaya veya sunucu odasına, ön kapıya veya arka kapıya erişimi engelleyebilir. Güvenli bir alana erişmenin tek yolu, uygun kimlik bilgilerine sahip olmaktır. Bunlar anahtar kartlar, anahtarlıklar veya akıllı telefonlar gibi biçimlerde gelir.​

• Yakınlık Kartları (Proximity Cards): Yakınlık kartları, kartı fiziksel bir okuyucuya yerleştirmeye gerek kalmadan okunabilen temassız kartlardır. Genellikle herhangi bir standart banka kartı, kredi kartı veya kimlik kartı gibi görünürler, ancak çıkartma ve anahtarlık şeklinde olan modelleri de mevcuttur.​
• Akıllı Kartlar (Smart Cards): Akıllı kartlar, güvenlik tokeni olarak işlev gören gömülü entegre bir çip içeren fiziksel plastik karttır.​

Biyometrik Faktörler
Kimlik ve Erişim Kontrollerinde biyometrik faktör, bir kişinin biyolojik özelliklerinden birinin doğrulanmasıyla gerçekleştirilen kimlik doğrulama işlemidir.​

• Parmak İzi Tarayıcısı: Kilitler alınabilir, kasalar kırılabilir ve çevrimiçi şifreler er ya da geç tahmin edilebilir. Parmak izi tarayıcısı, parmağınızın bir görüntüsünü alması gerekir ve bu görüntüdeki çıkıntıların, çukurların modelinin önceden taranan görüntülerdeki çıkıntı ve çukur kalıbıyla eşleşip eşleşmediğini belirlemesi gerekir. Yalnızca her parmak izine özgü belirli özellikler filtrelenir ve şifreli bir biyometrik anahtar veya matematiksel gösterim olarak kaydedilir. Hiçbir parmak izinin görüntüsü kaydedilmez.​
• Retine Tarayıcı: Retina taraması, düşük yoğunluklu bir ışık kaynağı kullanarak bir kişinin retinasının benzersiz modellerini haritalayan biyometrik bir tekniktir. Hassas bir sensör aracılığıyla, retina taraması, doğumdan ölüme kadar değişmeden kalan retina kan damarlarının modelini inceler​
• İris Tarayıcı: Bilim adamları, iris değişmeden kalırken insan retinasının zamanla değişebileceğini gösteren birkaç çalışma yürütmüştür. İkizlerde bile gözün irisinin tamamen aynı iki modelini bulmak imkansızdır. Bir bilgisayar tarafından ölçülebilen birçok çevreleyen daire ve desenden oluşan bir ağa benzer. İris tarama yazılımı, bir örnek oluşturmak için yaklaşık 260 bağlantı noktası kullanır.​
• Ses Tanıma: Bireysel bir konuşmacının sesini tanımlamak, ayırt etmek ve doğrulamak için özel yazılım ve sistemlerin oluşturulduğu bilgi işlem teknolojisidir.​
• Yüz Tanıma: Fotoğraf veya videodaki bir yüzün kimliğini haritalayan, analiz eden ve ardından doğrulayan yazılımdır.​

Yanlış Kabul Oranı (FAR)
Biyometrik güvenlik, bir sistemin yetkisiz bir kişiye erişim izni verme oranı için Yanlış Kabul Oranı (FAR) kullanır. İstatistiksel olarak FAR, Tip II hatadır. Yanlış Eşleşme Oranı ( FRM ) olarak da bilinir.

Yanlış Reddetme Oranı (FRR)
Yanlış Reddetme Oranı (FRR), bir biyometrik sistemin yetkili bir kişiye erişim izni vermede başarısız olma oranıdır. İstatistiksel olarak FRR, Tip I hatadır. FAR aynı zamanda Yanlış Eşleşmesizlik Oranı ( FNMR ) olarak da bilinir.

Geçin Hata Oranı (CER)
CER, FRR ve FAR'ın eşit olduğu noktayı tanımlar. CER, eşit hata oranı (EER) olarak da bilinir. CER, bir biyometrik sistemin genel doğruluğunu tanımlar. Bir biyometrik sistemin hassasiyeti arttıkça FRR'ler yükselecek ve FAR'lar düşecektir. Tersine, duyarlılık azaldıkça FRR'ler düşecek ve FAR'lar yükselecektir.

Token
Bir token, anahtarlık kadar büyük veya mikroçip kadar küçük olabilir. Tokenler bir kişinin kimliğini doğrulayan bilgileri tutarlar ya da doğrulama hizmetleri sunan veritabanı veya üçüncü taraf sistemi ile iletişim kurarlar.​

• Donanımsal Token: Donanım belirteçleri, kullanıcıların bir sisteme parola girmeden oturum açmasına olanak tanıyan küçük elektronik anahtarlıklardır.​
• Yazılımsal Token: Yazılım belirteçleri, kimlik doğrulama yönteminiz için seçtiğiniz uygulamaya çeşitli kimlik doğrulama seçenekleri gerçekleştirirler. Bu işlem genellikle maksimum güvenliği sağlamak için iki veya daha fazla adım içerir ve tek seferlik şifreler içerebilir. Kimlik doğrulama kodları, akıllı telefonunuza veya diğer bağlı cihazlara da gönderilebilir, hatta biyometrik verileri kullanabilir. ​
• HOTP: HOTP'ler, olaylara dayalı tek seferlik kodlardır . HOTP, "karma tabanlı tek seferlik parola" anlamına gelir, bu nedenle karma tabanlı mesaj doğrulama kodlarına dayanır.​
• TOPT: TOTP'ler, zamana dayalı tek seferlik şifrelerdir . TOPT, "zamana dayalı tek seferlik şifre" anlamına gelir.​

Sertifikaya Tabanlı Kimlik Doğrulama
Sertifika tabanlı kimlik doğrulama, bir kaynağa, ağa, uygulamaya vb. erişim izni vermeden önce bir kullanıcıyı, makineyi veya cihazı tanımlamak için Dijital Sertifikanın kullanılmasıdır. Kullanıcı kimlik doğrulaması durumunda, genellikle geleneksel yöntemlerle koordineli olarak dağıtılır. kullanıcı adı ve şifre olarak.​

• Smart Card: Yerleşik bir mikroçipe bir veya daha fazla sertifikaya sahip kredi kartı boyutunda bir karttır.​
• Kişisel Kimlik Doğrulama (PIV): Tıpkı CAC'ın yaptığı gibi, PIV kartı, adı ile birlikte kullanıcının bir resmini içerir. Kullanıcıların görsel doğrulaması ve ya bilgisayarlarda oturum açmak için akıllı kart olarak kullanılabilir.​
• Ortak Erişim Kartı (CAC): Kullanıcının bir resmini, adını ve diğer bazı bilgilerini içerir. Kullanıcı bir rozet olarak takar ve kimliklerini doğrulamak için gardiyanlara gösterebilir. Ayrıca sistemlerde oturum açmak için akıllı kart olarak da kullanabilirler.​

Ortak Hesap Yönetimi
Hesap Türleri​

• Kullanıcı Hesabı: Birden çok kullanıcının erişmesi gereken ağların çoğu, kullanıcı hesaplarını kullanır. E-posta hesapları, kullanıcı hesaplarının en yaygın örneklerinden biridir.​
• Paylaşılan ve Genel Hesap: Belirli bir çalışana adıyla bağlı olmayan herhangi bir kullanıcı hesaptır.​
• Misafir Hesapları: Ağdaki kaynaklara geçici erişime ihtiyaç duyan, ağı ara sıra kullanan kullanıcılar için tasarlanmıştır.​
• Hizmet Hesabı: Otomatikleştirilmiş iş süreçlerini yürütür ve kişiler tarafından değil uygulamalar tarafından kullanılır.​
• Ayrıcalıklı Hesaplar: Ayrıcalıklı hesaplar adından da anlaşıldığı üzere diğer hesaplardan daha fazla ayrıcalığa sahip hesaplardır. Örneğin, yazılım yükleyebilir veya kaldırabilir, işletim sistemini yükseltebilir veya sistem, uygulama yapılandırmalarını değiştirebilir. Ayrıca standart kullanıcılar tarafından erişilemeyen dosyalara da erişimleri olabilir.​

Hesap Politikaları​

• Kimlik Yönetimi (CMS): CMS'nin temel görevi, güvenlik cihazlarının yayınlanmasına izin vermektir. Bu, cihazla güvenli iletişim kurmayı, cihazdaki anahtarları ve verileri yönetmeyi, kimlik bilgisi oluşturmayı yönetmeyi ve cihazın kendisini elektronik olarak kişiselleştirmeyi içerir.​
• Grup İlkesi: Grup İlkesi, Microsoft'un Active Directory'sinden sorumlu bir ağ yöneticisinin kullanıcılar ve bilgisayarlar için belirli yapılandırmaları uygulamasına izin veren hiyerarşik bir altyapıdır. Grup İlkesi öncelikle bir güvenlik aracıdır ve kullanıcılara ve bilgisayarlara güvenlik ayarlarını uygulamak için kullanılabilir​
• Kurtarma: Kurtarma işlemi, işletim sisteminizin ortamını bir DVD veya USB sürücüsü gibi harici bir kaynağa kopyalanarak depolanmasıdır.​
• Kilitleme: Hesap kilitleme ilkeleri, yöneticiler arka arkaya birkaç kez başarısız oturum açmaya çalıştığında bir hesabı kilitlemek için kullanılır.​
• Şifre Uzunluğu: Varsayılan değer En Az 8 bayttır, yani parolaların en az sekiz karakter içermesi gerekir.​
• Şifre Karmaşıklığı: Şifre karmaşıklığı, herhangi bir kırma yöntemiyle ilgili olarak parolanın tahmin edilebilirliğini zorlaştırma işlemidir.​

w1sd0m' Alıntı:

Emeklerine sağlık kardeşim <3

Genişletmek için tıkla ...

Adanlıtrojan' Alıntı:

Eline sağlık muhtiş bir konu

Genişletmek için tıkla ...

JohnWick51' Alıntı:

Ellerine, Emeyine saglik

Genişletmek için tıkla ...

'The Wolf' Alıntı:

Eline sağlık güzel bı konu olmuş.

Genişletmek için tıkla ...

Theoretical' Alıntı:

Ellerinize sağlık, güzel çalışma

Genişletmek için tıkla ...

Ghost Killer' Alıntı:

Eline sağlık.

Genişletmek için tıkla ...

CiHaN-i TuRaN' Alıntı:

Elinize Emeğinize sağlık

Genişletmek için tıkla ...

EX' Alıntı:

Eline emeğine sağlık. Çok iyi bir konu olmuş

Genişletmek için tıkla ...

Safak-Bey' Alıntı:

Selamlar değerli THT üyeleri,

CompTIA Security+ serimize hız kesmeden devam ediyoruz. Bugün "Erişim ve Kimlik Yönetimi" konusunu ele alacağız. Serinin diğer konularına aşağıdaki bağlantılardan ulaşabilirsiniz;
CompTIA Security+ | Nedir, Ne İşe Yarar, Hangi Konuları İçerir? #1
CompTIA Security+ | Güvenlik Açıkları, Tehditler ve Saldırılar #2
CompTIA Security+ | Ağ Tasarımı ve Mimarisi #3

Tanımlama ve Kimlik Doğrulama
Tanımlama , bir sistem kullanıcısını veya sistemde çalışan bir uygulamayı benzersiz şekilde tanımlama yeteneğidir. Kimlik doğrulama , bir kullanıcının veya uygulamanın gerçekten o kişi veya uygulamanın iddia ettiği kişi olduğunu kanıtlama yeteneğidir.

Yetkilendirme (Authorization)
Yetkilendirme, erişimi yalnızca yetkili kullanıcılar ve uygulamalarıyla sınırlayarak bir sistemdeki kritik kaynakları korur. Bir kaynağın yetkisiz kullanılmasını engeller.

Denetim (Auditing)
Denetim, yetkisiz bir faaliyetin gerçekleşip gerçekleşmediğini veya bu tür bir faaliyeti gerçekleştirmek için herhangi bir girişimde bulunulup bulunulmadığını tespit etmek için olayları kontrol etme sürecidir.

Gizlilik (Confidentiality)
Gizlilik hizmeti, hassas bilgileri yetkisiz ifşaya karşı korur. Hassas veriler yerel olarak depolandığında, erişim kontrol mekanizmaları verileri korumak için yeterli olabilir. Daha yüksek düzeyde bir güvenlik gerekiyorsa, veriler şifrelenebilir.

Veri Bütünlüğü (Data Integrity)
Veri Bütünlüğü hizmeti, verilerde yetkisiz değişiklik yapılıp yapılmadığını anlar. Verilerin değiştirilebileceği iki yol vardır: yanlışlıkla, donanım ve iletim hataları yoluyla veya kasıtlı bir saldırı nedeniyle. Veri bütünlüğü hizmetinin amacı, kasıtlı bir saldırıyı tespit etmektir.



Çok Faktörlü Kimli Doğrulama (MFA)
Çok faktörlü kimlik doğrulama , bir sistemin kullanıcının oturum açmak için bir kullanıcının kimliğini doğrulamak için iki veya daha fazla kimlik bilgisinin bir kombinasyonunu sunmasını gerektirdiği durumlarda, verilerin ve uygulamaların güvenliğini sağlamaya yönelik katmanlı bir yaklaşımdır. MFA, güvenliği artırır, çünkü bir kimlik bilgisi tehlikeye girse bile, yetkisiz kullanıcılar ikinci kimlik doğrulama gereksinimini karşılayamaz ve hedeflenen fiziksel alana, bilgi işlem cihazına, ağa veya veritabanına erişemez.



Federe Kimlik (FID)
Kimlik federasyonu, bir kullanıcının kimlik doğrulama sorumluluğunun harici bir ortağa devredildiği süreçtir. Ortak, taraflar arasında önceden kurulmuş olan karşılıklı güvene dayalı olarak, kimliği doğrulayan taraf tarafından sağlanan onayı kabul eder ve sonuç olarak, erişim talep eden tarafın kimliğini doğrulama gerekliliğinden feragat eder.



Tek Seferlik Oturum Açma (SSO)
Tek Seferlik Oturum Açma (SSO), web sitelerinin kullanıcıları doğrulamak için diğer güvenilir siteleri kullanmasına olanak tanıyan kimlik doğrulama yöntemidir. Tek oturum açma, kullanıcının herhangi bağımsız uygulamada tek bir kimlik ve parola ile oturum açmasına olanak tanır.



Geçişli Güven (Transitive Trust)
Geçişli güven doğrulaması, bir iletişim ağı tarafından zaten kimlik doğrulamasından geçen bir kullanıcının/varlığın, ikinci kez kimlik doğrulamasından geçmek zorunda kalmadan başka bir iletişim ağındaki kaynaklara erişebilmesini sağlayan bir tekniktir.



Kimlik ve Erişim Hizmetleri

LDAP
LDAP (Hafif Dizin Erişim Protokolü), dizin hizmetleri kimlik doğrulaması için kullanılan açık ve çapraz platform protokolüdür. LDAP, uygulamaların diğer dizin hizmetleri sunucularıyla iletişim kurmak için kullandığı iletişim dilini sağlar. Dizin hizmetleri, kullanıcıları, parolaları ve bilgisayar hesaplarını depolar ve bu bilgileri ağdaki diğer varlıklarla paylaşır.

Kerberos
Kerberos kimlik doğrulaması Microsoft Windows tarafından kullanılan bir teknolojidir. Kerberos, kullanıcı kimliklerini doğrularken bile parolaları güvenli olmayan ağlardan uzak tutarak kimlik bilgilerinizi bilgisayar korsanlarından korumak için tasarlanmıştır. Kerberos, en basit haliyle, istemci/sunucu uygulamaları için bir kimlik doğrulama protokolüdür. Güvenli olmayan bir ağ üzerinden güvenli kimlik doğrulaması sağlamak için tasarlanmıştır.

TACACS+
Terminal Erişim Denetleyicisi Erişim Kontrol Sistemi veya TACACS olarak adlandırılan bir kimlik doğrulama protokolüdür ve belirli bir sisteme erişime izin verilip verilmeyeceğini belirlemek için bir uzaktan erişim sunucusunun bir kullanıcının oturum açma parolasını bir kimlik doğrulama sunucusuna iletmesine izin veren UNIX tabanlı ağlarda yaygın olarak kullanılır.

CHAP
Challenge Handshake Authentication Protocol (CHAP), kimlik doğrulama için bir sorgulama yöntemi kullanır. Kullanıcı kimliği/parola mekanizması kullanmaz. CHAP, sunucuya bir oturum açma isteği gönderir. Sunucu, istemciye bir sorgulama gönderir. Meydan okuma şifrelenir ve ardından sunucuya geri gönderilir. Sunucu, istemciden gelen değeri karşılaştırır ve bilgi eşleşirse oturumu verir.

PAP
Parola Kimlik Doğrulama Protokolü (PAP), iki yönlü el sıkışma kullanarak kimliğini oluşturması için basit bir yöntem kullanır. Bağlantı kurulduktan sonra, kimlik doğrulama onaylanana veya bağlantı sonlandırılana kadar kimlik doğrulayıcıya tekrar tekrar kimlik ve parola çifti gönderilir. Bu, yalnızca ilk bağlantı kurulduğunda yapılır.

MSCHAP
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), geniş alan ağı (WAN) iletişiminde kullanılan şifreli bir kimlik doğrulama protokolüdür. MS-CHAP, MD5 tek yönlü şifreleme yöntemini kullanarak CHAP' a benzer. MS-CHAP, Microsoft'un CHAP sürümüdür. Hem istemci hem de kimlik doğrulama sunucusu, veri şifreleme için bağımsız başlangıç anahtarları üretir.

RADIUS
RADIUS, uygulama katmanında çalışan bir istemci-sunucu ağ protokolüdür. RADIUS protokolü, bir RADIUS Sunucusu ve RADIUS İstemcisi kullanır:​

• RADIUS İstemcisi: Kullanıcıların kimliğini doğrulamak için kullanılan bir ağ aygıtıdır.​
• RADIUS Sunucusu: Kullanıcı profillerini merkezi bir veritabanında tutmanıza izin verir. Bu nedenle, bir RADIUS Sunucunuz varsa, ağınıza kimlerin bağlanabileceğini kontrol edebilirsiniz.​

Bir kullanıcı RADIUS İstemcisine bağlanmaya çalıştığında, İstemci RADIUS Sunucusuna istek gönderir. Kullanıcı, yalnızca RADIUS Sunucusu kullanıcının kimliğini doğrular ve yetkilendirirse RADIUS İstemcisine bağlanabilir.

SAML
Güvenlik Onayı Biçimlendirme Dili veya SAML, harici uygulamalara ve hizmetlere kullanıcının söylediği kişi olduğunu söylemenin standart bir yoludur. SAML, bir kullanıcının kimliğini bir kez doğrulamak ve ardından bu doğrulamayı birden çok uygulamaya iletmek için kullanılan çoklu oturum açma (SSO) teknolojisini mümkün kılar.

OpenID Connect
OIDC, bir uygulamaya parolanızı vermeden verilerinize erişmesi veya başka bir uygulamadaki özellikleri sizin adınıza kullanması için yetki verdiğiniz bir güvenlik standardıdır.

0AUTH
0AUTH, bir web sitesinin veya uygulamanın, bir kullanıcı adına diğer web uygulamaları tarafından barındırılan kaynaklara erişmesine izin vermek için tasarlanmış yetkilendirme protokolüdür.

Shibboleth
Shibboleth, iki uygulama arasında çoklu oturum açmayı (SSO) destekleyen web tabanlı yazılım aracıdır. Açık kaynaklı bir araçtır ve esas olarak Tek Oturum Açma (SSO) için kullanılır . OAuth veya OpenID connect gibi protokollerle SSO uygulayamaz.

Secure Token
Erişim Kimliğinize ve Parolanıza ek olarak, bir güvenlik tokenleri ikinci bir kimlik doğrulama düzeyi sağlar. Güvenlik tokenleri, yalnızca bir kez kullanılabilen ve düzenli olarak değişen 6 basamaklı geçici bir kod oluşturur. Ek güvenlik gerektiğinde, güvenlik simgeniz tarafından oluşturulan 6 haneli geçerli bir kod girmenizi ister.

NTLM
Başlangıçta tescilli bir protokol olan NTLM, daha sonra Windows da kullanılmayan sistemlerde kullanılabilir hale geldi. Kullanıcıların parolayı göndermeden uygulamalarda kimliklerini doğralamasını sağlayan SSO biçimidir. NTLM, kriptografik el sıkışma içeren üç mesajın değiş tokuşu yoluyla kullanıcılara bir Active Directory (AD) etki alanında SSO erişimi sağlar. Müşterinin anlaşma mesajı, sunucunun sorgulama mesajı ve müşterinin kimlik doğrulama mesajı.



Kimlik ve Erişim Yönetim Kontrolleri
Erişim Kontrol Modelleri
Erişim Kontrol Modelleri, bilgisayar ağlarına, dosyalara ve verilere sanal erişimi kısıtlar.​

• İsteğe Bağlı Erişim Kontrolü (DAC): Belirli bir kişinin sahip olunan kaynağa erişmesine izin verip vermeyeceğine karar vermesini sağlar.​
• Zorunlu Erişim Kontrolü (MAC): Bu model, kaynakların bir duyarlılık modeline göre gruplandırılmasını sağlar. Bir kullanıcının belirli kaynakları görüntülemesi için verilen ayrıcalıklar, kullanıcının izin düzeyine bağlıdır.​
• Rol Tabanlı Erişim Kontrolü (RBAC): Kuruluş içinde yaptıkları işe dayalı olarak erişim ayrıcalıkları verir. Bir yöneticinin kullanıcıya iş atamalarına göre tekli veya çoklu rollere atamasına olanak tanır. Her rol, belirli kaynaklara erişim sağlar.​
• Özniteliğe Dayalı Erişim Kontrolü (ABAC): Erişim talebinde bulunan kullanıcı, talep edilen kaynak, kullanıcının kaynakla ne yapacağı ve ortam (coğrafi konum, ağ vb.) isteğin içeriğini kapsar. RBAC geniş erişimi kapsarken, ABAC erişimi daha ayrıntılı bir düzeyde kontrol edebilir.​

Fiziksel Erişim Kontrolleri
Fiziksel Erişim Kontrolü, bir binaya veya sunucu odasına, ön kapıya veya arka kapıya erişimi engelleyebilir. Güvenli bir alana erişmenin tek yolu, uygun kimlik bilgilerine sahip olmaktır. Bunlar anahtar kartlar, anahtarlıklar veya akıllı telefonlar gibi biçimlerde gelir.​

• Yakınlık Kartları (Proximity Cards): Yakınlık kartları, kartı fiziksel bir okuyucuya yerleştirmeye gerek kalmadan okunabilen temassız kartlardır. Genellikle herhangi bir standart banka kartı, kredi kartı veya kimlik kartı gibi görünürler, ancak çıkartma ve anahtarlık şeklinde olan modelleri de mevcuttur.​
• Akıllı Kartlar (Smart Cards): Akıllı kartlar, güvenlik tokeni olarak işlev gören gömülü entegre bir çip içeren fiziksel plastik karttır.​

Biyometrik Faktörler
Kimlik ve Erişim Kontrollerinde biyometrik faktör, bir kişinin biyolojik özelliklerinden birinin doğrulanmasıyla gerçekleştirilen kimlik doğrulama işlemidir.​

• Parmak İzi Tarayıcısı: Kilitler alınabilir, kasalar kırılabilir ve çevrimiçi şifreler er ya da geç tahmin edilebilir. Parmak izi tarayıcısı, parmağınızın bir görüntüsünü alması gerekir ve bu görüntüdeki çıkıntıların, çukurların modelinin önceden taranan görüntülerdeki çıkıntı ve çukur kalıbıyla eşleşip eşleşmediğini belirlemesi gerekir. Yalnızca her parmak izine özgü belirli özellikler filtrelenir ve şifreli bir biyometrik anahtar veya matematiksel gösterim olarak kaydedilir. Hiçbir parmak izinin görüntüsü kaydedilmez.​
• Retine Tarayıcı: Retina taraması, düşük yoğunluklu bir ışık kaynağı kullanarak bir kişinin retinasının benzersiz modellerini haritalayan biyometrik bir tekniktir. Hassas bir sensör aracılığıyla, retina taraması, doğumdan ölüme kadar değişmeden kalan retina kan damarlarının modelini inceler​
• İris Tarayıcı: Bilim adamları, iris değişmeden kalırken insan retinasının zamanla değişebileceğini gösteren birkaç çalışma yürütmüştür. İkizlerde bile gözün irisinin tamamen aynı iki modelini bulmak imkansızdır. Bir bilgisayar tarafından ölçülebilen birçok çevreleyen daire ve desenden oluşan bir ağa benzer. İris tarama yazılımı, bir örnek oluşturmak için yaklaşık 260 bağlantı noktası kullanır.​
• Ses Tanıma: Bireysel bir konuşmacının sesini tanımlamak, ayırt etmek ve doğrulamak için özel yazılım ve sistemlerin oluşturulduğu bilgi işlem teknolojisidir.​
• Yüz Tanıma: Fotoğraf veya videodaki bir yüzün kimliğini haritalayan, analiz eden ve ardından doğrulayan yazılımdır.​

Yanlış Kabul Oranı (FAR)
Biyometrik güvenlik, bir sistemin yetkisiz bir kişiye erişim izni verme oranı için Yanlış Kabul Oranı (FAR) kullanır. İstatistiksel olarak FAR, Tip II hatadır. Yanlış Eşleşme Oranı ( FRM ) olarak da bilinir.

Yanlış Reddetme Oranı (FRR)
Yanlış Reddetme Oranı (FRR), bir biyometrik sistemin yetkili bir kişiye erişim izni vermede başarısız olma oranıdır. İstatistiksel olarak FRR, Tip I hatadır. FAR aynı zamanda Yanlış Eşleşmesizlik Oranı ( FNMR ) olarak da bilinir.

Geçin Hata Oranı (CER)
CER, FRR ve FAR'ın eşit olduğu noktayı tanımlar. CER, eşit hata oranı (EER) olarak da bilinir. CER, bir biyometrik sistemin genel doğruluğunu tanımlar. Bir biyometrik sistemin hassasiyeti arttıkça FRR'ler yükselecek ve FAR'lar düşecektir. Tersine, duyarlılık azaldıkça FRR'ler düşecek ve FAR'lar yükselecektir.

Token
Bir token, anahtarlık kadar büyük veya mikroçip kadar küçük olabilir. Tokenler bir kişinin kimliğini doğrulayan bilgileri tutarlar ya da doğrulama hizmetleri sunan veritabanı veya üçüncü taraf sistemi ile iletişim kurarlar.​

• Donanımsal Token: Donanım belirteçleri, kullanıcıların bir sisteme parola girmeden oturum açmasına olanak tanıyan küçük elektronik anahtarlıklardır.​
• Yazılımsal Token: Yazılım belirteçleri, kimlik doğrulama yönteminiz için seçtiğiniz uygulamaya çeşitli kimlik doğrulama seçenekleri gerçekleştirirler. Bu işlem genellikle maksimum güvenliği sağlamak için iki veya daha fazla adım içerir ve tek seferlik şifreler içerebilir. Kimlik doğrulama kodları, akıllı telefonunuza veya diğer bağlı cihazlara da gönderilebilir, hatta biyometrik verileri kullanabilir. ​
• HOTP: HOTP'ler, olaylara dayalı tek seferlik kodlardır . HOTP, "karma tabanlı tek seferlik parola" anlamına gelir, bu nedenle karma tabanlı mesaj doğrulama kodlarına dayanır.​
• TOPT: TOTP'ler, zamana dayalı tek seferlik şifrelerdir . TOPT, "zamana dayalı tek seferlik şifre" anlamına gelir.​

Sertifikaya Tabanlı Kimlik Doğrulama
Sertifika tabanlı kimlik doğrulama, bir kaynağa, ağa, uygulamaya vb. erişim izni vermeden önce bir kullanıcıyı, makineyi veya cihazı tanımlamak için Dijital Sertifikanın kullanılmasıdır. Kullanıcı kimlik doğrulaması durumunda, genellikle geleneksel yöntemlerle koordineli olarak dağıtılır. kullanıcı adı ve şifre olarak.​

• Smart Card: Yerleşik bir mikroçipe bir veya daha fazla sertifikaya sahip kredi kartı boyutunda bir karttır.​
• Kişisel Kimlik Doğrulama (PIV): Tıpkı CAC'ın yaptığı gibi, PIV kartı, adı ile birlikte kullanıcının bir resmini içerir. Kullanıcıların görsel doğrulaması ve ya bilgisayarlarda oturum açmak için akıllı kart olarak kullanılabilir.​
• Ortak Erişim Kartı (CAC): Kullanıcının bir resmini, adını ve diğer bazı bilgilerini içerir. Kullanıcı bir rozet olarak takar ve kimliklerini doğrulamak için gardiyanlara gösterebilir. Ayrıca sistemlerde oturum açmak için akıllı kart olarak da kullanabilirler.​

Ortak Hesap Yönetimi
Hesap Türleri​

• Kullanıcı Hesabı: Birden çok kullanıcının erişmesi gereken ağların çoğu, kullanıcı hesaplarını kullanır. E-posta hesapları, kullanıcı hesaplarının en yaygın örneklerinden biridir.​
• Paylaşılan ve Genel Hesap: Belirli bir çalışana adıyla bağlı olmayan herhangi bir kullanıcı hesaptır.​
• Misafir Hesapları: Ağdaki kaynaklara geçici erişime ihtiyaç duyan, ağı ara sıra kullanan kullanıcılar için tasarlanmıştır.​
• Hizmet Hesabı: Otomatikleştirilmiş iş süreçlerini yürütür ve kişiler tarafından değil uygulamalar tarafından kullanılır.​
• Ayrıcalıklı Hesaplar: Ayrıcalıklı hesaplar adından da anlaşıldığı üzere diğer hesaplardan daha fazla ayrıcalığa sahip hesaplardır. Örneğin, yazılım yükleyebilir veya kaldırabilir, işletim sistemini yükseltebilir veya sistem, uygulama yapılandırmalarını değiştirebilir. Ayrıca standart kullanıcılar tarafından erişilemeyen dosyalara da erişimleri olabilir.​

Hesap Politikaları​

• Kimlik Yönetimi (CMS): CMS'nin temel görevi, güvenlik cihazlarının yayınlanmasına izin vermektir. Bu, cihazla güvenli iletişim kurmayı, cihazdaki anahtarları ve verileri yönetmeyi, kimlik bilgisi oluşturmayı yönetmeyi ve cihazın kendisini elektronik olarak kişiselleştirmeyi içerir.​
• Grup İlkesi: Grup İlkesi, Microsoft'un Active Directory'sinden sorumlu bir ağ yöneticisinin kullanıcılar ve bilgisayarlar için belirli yapılandırmaları uygulamasına izin veren hiyerarşik bir altyapıdır. Grup İlkesi öncelikle bir güvenlik aracıdır ve kullanıcılara ve bilgisayarlara güvenlik ayarlarını uygulamak için kullanılabilir​
• Kurtarma: Kurtarma işlemi, işletim sisteminizin ortamını bir DVD veya USB sürücüsü gibi harici bir kaynağa kopyalanarak depolanmasıdır.​
• Kilitleme: Hesap kilitleme ilkeleri, yöneticiler arka arkaya birkaç kez başarısız oturum açmaya çalıştığında bir hesabı kilitlemek için kullanılır.​
• Şifre Uzunluğu: Varsayılan değer En Az 8 bayttır, yani parolaların en az sekiz karakter içermesi gerekir.​
• Şifre Karmaşıklığı: Şifre karmaşıklığı, herhangi bir kırma yöntemiyle ilgili olarak parolanın tahmin edilebilirliğini zorlaştırma işlemidir.​

Aşağıda windows üzerinde kullanıcı işlemlerinin nasıl yapıldığı gösterilmiştir:

Okuyan herkese teşekkürlerimi sunuyorum. Esen kalın...​

Genişletmek için tıkla ...