- 12 Ocak 2006
- 218
- 1
Bildirim
Michael Kessler, Teknik Editör, Microsoft Corporation.
Bu yayında sözü edilen bazı öğeler gelecek Windows XP Professional Kaynak Seti'nde de bulunmaktadır.
Giriş
Windows® XP, bugüne kadar sunulmuş en güvenilir Windows sürümünü sağlar; Windows'un sağladığı en iyi güvenlik ve gizlilik özellikleriyle birlikte. Genel olarak, güvenilir, güvenli ve gizli bilgisayar kullanma deneyimi elde etmenize yardımcı olmak üzere Windows XP'nin güvenliği iyileştirilmiştir. Windows XP iki sürümü kullanılabilir; biri evde kullanılmak üzere Windows XP Home Edition diğeri de her boyuttan işlerde kullanılmak üzere Windows XP Professional'dır.
Windows XP Home Edition'daki güvenlik özellikleri, Internet'te alışveriş edip tarama yapmanızı da daha güvenli hale getirir. Windows XP Home Edition, Internet'e bağlı olduğunuzda (özellikle kablolu modem ve DSL gibi her zaman açık bulunan bağlantılar kullanıyorsanız) güvenlik işlemleri için size çok koruyucu bir savunma sağlayan, yerleşik Internet Bağlantısı Güvenlik Duvarı yazılımıyla birlikte gelir.
Windows XP Professional, Windows XP Home Edition'ın tüm güvenlik yeteneklerinin yanı sıra başka güvenlik yönetim özellikleri de içerir. Bu önemli yeni güvenlik özellikleri, BT harcamalarınızı azaltacak ve iş sistemlerinizi geliştirecektir.
Windows XP Home Edition
•
• Kişiselleştirilmiş Oturum Açma
• Hızlı Kullanıcı Değiştirme
• Kişisel Gizlilik
• Internet Bağlantısı Güvenlik Duvarı
• Paylaşılan Belgeler Klasörü
Windows XP Professional
• Ortak Güvenlik
• Denetlenen Ağ Erişimi
• Basit Paylaşım
• Boş Parola Sınırlamaları
• Şifreleme Dosya Sistemi
• Sertifika Hizmetleri
• Kimlik Bilgileri Yönetimi
• Hızlı Kullanıcı Değiştirme
• Kişisel Gizlilik
• Internet Bağlantısını Paylaşma
• Internet Bağlantısı Güvenlik Duvarı
• Yazılım Sınırlamaları İlkeleri
• Internet İletişim Kuralı Güvenliği
• Akıllı Kart Desteği
• Kerberos
Windows XP Home Edition’da Yeni Güvenlik Özellikleri
Windows XP Home Edition’da güvenlik hizmetleri esnek bir yapıda ve ev kullanıcısı olarak karşılaşacağınız çeşitli güvenlik ve gizlilik durumu dikkate alınarak güvenlik tasarlanmıştır. Microsoft® Windows NT® sürüm 4.0 ve Microsoft® Windows® 2000’deki güvenlik modelini kullandıysanız, Windows XP Home Edition’daki güvenlik özelliklerinin çoğu size tanıdık gelecektir. Öte yandan sistem güvenliğini yönetme yeteneğinizi iyileştirecek yeni özelliklerin yanı sıra, size tanıdık gelen özelliklerden bazılarının da önemli ölçüde değişmiş olduğunu göreceksiniz.
Örneğin, çevrimiçi sohbet etmek veya e-posta gönderip almak için Internet’i kullanıyorsanız, bilgisayar korsanlarının saldırılarına açık olabilirsiniz. Bu tür tehditlerden korunmak için Windows XP, çevrimiçi deneyiminizi daha da güvenli hale getiren gelişmiş güvenlik özellikleriyle donatılmıştır.
Yaşadığınız en üretken Windows kullanıcı deneyimine ulaşırken Windows XP Home Edition’ın siz ve bilgileriniz için daha güvenli bir ortam sağlayan önemli güvenlik ve gizlilik özelliklerine göz atalım.
Unutmayın: Windows XP Home Edition’ı bir çalışma grubunun parçası olarak veya tek başına çalıştığı bir ortamda kullanıyorsanız ve bilgisayarınız üzerinde yönetici haklarınız varsa, işletim sisteminin tüm güvenlik özelliklerine erişebilirsiniz. Windows XP Home Edition ile donatılmış bilgisayarınız bir ağın parçasıysa, güvenlik seçenekleri ağ yöneticisi tarafından belirlenecektir.
Kişiselleştirilmiş Oturum Açma
Windows XP ile, tüm aile bireylerinin kendilerine ait, oturumu ve parolası olan birer arabirimi olacaktır. Yeni eklenen bu güvenlik düzeyi, kimsenin önemli belgelerinize erişememesini veya kazayla silememesini sağlar.
Çocuklu bir evde yaşıyor olabilirsiniz, onlar için uygun olmayabilecek Internet sitelerini süzmek için değişik güvenlik sınırlarına sahip profiller ayarlayabilirsiniz.
Birden Çok Kişinin Kullandığı Bilgisayarlarda Hızlı Kullanıcı Değiştirme
Ev için tasarlanmış Hızlı Kullanıcı Değiştirme, bilgisayarı kullananların bilgisayarı yalnızca kendine ait olduğunu varsayarak kullanmasına izin verir. Kimsenin oturumunu kapatmaya veya başkasının dosyasının kaydedilip edilmeyeceğine karar vermeye gerek kalmaz. Bunun yerine Windows XP, Terminal Hizmetler teknolojisinden yararlanarak her kullanıcının verilerinin tamamen ayrılmasına olanak tanıyan, benzersiz kullanıcı oturumları açar. Kullanıcı parolasıyla açılan oturumlar diğer kullanıcılara karşı korunmuştur.
Windows XP Home Edition veya Windows XP Professional tek başına kullanılan veya bir çalışma grubunun parçası olan bir bilgisayara yüklendiğinde, Hızlı Kullanıcı Değiştirme varsayılan olarak etkinleştirilir. Windows XP Professional ile çalışan bir bilgisayarın bulunduğu bir etki alanına katılırsanız, Hızlı Kullanıcı Değiştirme’yi kullanamazsınız.
Hızlı Kullanıcı Değiştirme, bir ailenin tek bir bilgisayarı paylaşmasını kolaylaştırır. Örneğin, bir anne bilgisayarı mali kaynaklarıyla ilgili kullanıyorsa ve kısa süreliğine bilgisayarın başından ayrılması gerekiyorsa, oğlu kendi hesabına geçiş yapıp oyun oynayabilir. Mali kaynaklarla ilgili uygulama annenin hesabında çalışmaya devam eder. Tüm bunlar oturumu kapatmadan yapılır. Hoş Geldiniz ekranı bilgisayarda oturum açan her kullanıcı için ayrı ayrı resimlerle Şekil 1’de gösterildiği gibi, kolayca özelleştirilebildiğinden, kullanıcılar arasında geçiş yapmak kolaydır.
Kişisel Oturum Açma ve Hızlı Kullanıcı Değiştirme Hoş Geldiniz ekranı
Kişisel Gizlilik
Microsoft Internet Explorer sürüm 6.0, World Wide Web Konsorsiyumu (W3C) Gizlilik Tercihleri Platformu (P3P) standardını desteklediğindeni Web sitelerini ziyaret ettiğinizde kişisel bilgilerinizin üzerinde denetim sağlamanıza yardımcı olur. W3C’nin taraflarından biri olarak, Microsoft Web sitesi gizlilik ilkeleri için bir standardın geliştirilmesine yardım etmiştir. Bu standart, çevrimiçi ortamda paylaşacağınız bilginin miktarı hakkında bilinçli bir karar vermenize olanak tanır. Internet Explorer 6.0, ziyaret ettiğiniz Web sitelerinin W3C standartlarına uyup uymadığına karar verir ve kişisel bilgilerinizi girmeden önce bu sitelerin durumunu bildirir.
Internet Explorer 6.0’da kişisel bilgilerinizi açıklamaya ilişkin gizlilik tercihlerinizi tanımladıktan sonra, tarayıcı ziyaret ettiğiniz sitelerin P3P ile uyumlu olup olmadığını belirler. P3P ile uyumlu siteler için tarayıcı, gizlilik tercihlerinizi site için tanımlanmış gizlilik ilkeleriyle karşılaştırır. Internet Explorer, bu ilke bilgilerinin alışverişi için HTTP’yi kullanır. Tarayıcı, gizlilik tercihlerinizi temel alarak ilgili Web sitelerinde kişisel bilgilerinizi açıklayıp açıklamayacağına karar verir.
Tanımlama Bilgisi Yönetimi
P3P standardı Internet Explorer 6.0’da tanımlama bilgisi yönetimi özelliklerini de destekler. Tanımlama bilgisi, tek bir Web sitesinin özelleştirme özellikleri sağlamak için bilgisayarınıza kaydettiği küçük bir dosyadır. Örneğin, MSN® için özel ayarlar uyguladığınızda, bu bilgi bilgisayarınızda bir tanımlama bilgisi dosyası olarak saklanır. MSN daha sonra siteyi her ziyaret ettiğinizde tanımlama bilgisini okur ve belirlediğiniz seçenekleri görüntüler.
Gizlilik ilkelerinin parçası olarak P3P ile uyumlu Web siteleri, kendi tanımlama bilgileri için ilke bilgileri sağlayabilir. Gizlilik tercihlerinizi yapılandırdığınızda, Internet Explorer’ı tanımlama bilgilerine aşağıdakileri uygulaması için yapılandırabilirsiniz:
• Tanımlama bilgilerinin bilgisayarınızda depolanmasını önle.
• Başka şirkete ait, ziyaret edilen Web sitesiyle aynı etki alanı kaynaklı olmayan ve bu nedenle söz konusu Web sitesinin gizlilik ilkesince kapsanmayan tanımlama bilgilerini reddet, ancak tüm diğer tanımlama bilgilerinin bilgisayarda sakla.
• Tüm tanımlama bilgilerinin sizi uyarmadan bilgisayarınızda depolanmasına izin ver.
Tanımlama Bilgisi Yönetimi Gelişmiş Gizlilik Ayarları
P3P hakkında daha fazla bilgi için http://www.w3.org/ adresindeki W3C Web sitesine bakın.
Internet Bağlantısını Paylaşma
Internet Bağlantı Paylaşımı Ayarları (ICS), tek bir Internet bağlantısı kullanarak birden fazla bilgisayarı Internet’e bağlar. ICS ile kullanıcılar DSL, kablolu modem veya telefon hattı bağlantılarını birden fazla bilgisayar arasında güvenli bir şekilde paylaşabilir
ICS Nasıl Çalışır?
ICS ana bilgisayarı adı verilen bir bilgisayar, doğrudan Internet’e bağlanır ve bağlantısını ağda yer alan geri kalan bilgisayarların tümüyle paylaşır. İstemci bilgisayarları Internet’e erişim sağlamak için ICS ana bilgisayarına gereksinim duyar. Yalnızca ICS ana bilgisayarı Internet’te görünür olduğundan, CS etkinleştirildiğinde güvenlik yüksektir. İstemci bilgisayarlarla Internet arasındaki her türlü iletişim ICS ana bilgisayarından geçmek zorundadır. Bu işlemle istemci bilgisayarların adresleri Internet’ten gizli kalır. İstemci bilgisayarlar, ağın dışından görülemediklerinden korunaklıdır. Yalnızca ICS ile çalışan bilgisayar ortak taraftan görülebilir. Buna ek olarak, ICS ana bilgisayarı ağa yöneltmeyi de yönetir. ICS ana bilgisayarı kendine kalıcı bir adres atar ve ICS istemcilerine Dinamik Ana Bilgisayar Yapılandırma İletişim Kuralı (DHCP) sağlar. ICS ana bilgisayarı her ICS istemcisine benzersiz bir adres atayarak bilgisayarlara ağdaki diğer bilgisayarlarla iletişim kurma yolu sağlar.
Windows XP, tek bir Internet bağlantısını ICS üzerinden ev veya küçük işletme ağında birden fazla bilgisayarla paylaşma yeteneğini sağlar. Bu özellik ilk önce Windows 2000 Professional ve Windows 98 İkinci Sürüm’e eklendi ve Windows XP’de geliştirildi.
Ağ İletişim Kurallarını Kullanma
Windows XP’deki ICS özelliği, istemcilerin kullanıcı yapılandırmasını gereksiz kılarak eve kurulan ağa Ağ Adresi Çevirme (NAT), DHCP ve Etki Alanı Adı Hizmeti (DNS) sağlar.
Windows XP’deki DNS işlevselliği, eve kurulan ağın tüm istemcilerine ad çözümlemesi sağlamak üzere yerel DNS Çözümleyici’yi kapsayacak şekilde iyileştirilmiştir. DNS Çözümleyici’yle, Windows tabanlı olmayan ağ aygıtları ağ istemcileri için ad çözümlemesi yapabilir. Ad çözümlemesine gereksinim duyan Internet adları, çözümleme için Internet servis sağlayıcılarının DNS sunucularına iletilmeye devam eder.
Uzaktan Bulma ve Denetim İşlevselliği
ICS ayrıca uzaktan bulma ve denetim işlevselliği de içerir. Ağ istemcileri Evrensel Tak ve Kullan’ı kullanarak ICS ana bilgisayarının varlığını algılar ve Internet bağlantı durumunu sorgular ve belirler.
Evinizdeki başka bir kişisel bilgisayardan Internet’te tarama yapmak isterseniz, Windows XP ile çalışan kişisel bilgisayar (henüz bağlı değilse) diğer bilgisayarın adında otomatik olarak Internet’e bağlanır. Veya evin başka bir yerindeki istemci bilgisayarını kullanan kullanıcı, hazır bir Internet bağlantısının olup olmadığını öğrenip isterse telefonu sıradan sesli iletişim için kullanmak üzere Internet bağlantısını kesecektir. Bu, çevirmeli bağlantılarda dakika başına ücret ödendiği durumlarda yararlıdır. Bunun dışında, Internet’i kullanmadığınızda kapatmayı da tercih edebilirsiniz.
ICS’yi Ayarlama
Internet Bağlantısı Güvenlik Duvarı
Windows® XP yeni Internet Bağlantısı Güvenlik Duvarı (ICF) ile Internet güvenliği sağlar. Yıllarca işletmelerde kurulu ağlar güvenlik duvarları kullanarak kendilerini dışardan gelen saldırılardan korumayı başarmıştır. Windows XP, ICF koruma özelliğiyle aynı güvenliği tüketicilere sağlamaktadır. Bu, Windows XP’yi çalıştırır çalıştırmaz bilgilerinizin, bilgisayarlarınızın ve ailenizin verilerinin davetsiz konuklara karşı daha korumalı hale geleceği anlamına gelir.
Güvenliğe Olan Artan Gereksinim
Evlerde ve işletmelerde geniş bant Internet erişimi yaygınlaştıkça, kişisel bilgisayarları ve diğer aygıtları korumak ve bu ev ağları için yeterli bağlantıyı sağlamak için güvenlik ölçülerine gereksinim de artmaktadır. Internet’e bağlanmak için çevirmeli modem kullanan bilgisayarlar bile saldırıya karşı dayanıklı değildir.
Evde veya küçük bir işletmede kullanılmak üzere tasarlanmış ICF, doğrudan Internet’e bağlı Windows XP ile çalışan kişisel bilgisayarlar veya ICF ile çalışan Internet Bağlantısını Paylaşma ana bilgisayarına bağlı aygıtlar için koruma sağlar.
Internet Bağlantısı Güvelik Duvarı Nasıl Çalışır?
Windows XP ICF, güvenlik duvarındaki bağlantı noktalarının yalnızca ilgilendiğiniz hizmetlere erişmenizi sağlayacak kadar süre boyunca dinamik olarak açıldığı anlamına gelen, etkin paket süzme özelliğinden yararlanır. Genelde daha karmaşık kuruluş güvenlik duvarlarıyla ilişkili bu türden bir güvenlik duvarı teknolojisi, bilgisayar korsanı olmaya çalışanların bilgisayarınızın dosya ve yazıcı paylaşımları dahil, bağlantı noktalarını ve kaynaklarını taramasını engeller. Bu durum, harici saldırıları önemli ölçüde azaltır. ICF bağlantı başına temeline göre etkinleşir.
Bu güvenlik duvarı özelliği yerel alan ağları (LAN), Ethernet Üzerinden Noktadan Noktaya İletişim Kuralı (PPPoE), VPN veya çevirmeli bağlantılar tarafından kullanılabilir. PPPoE yeni bir IETF taslak standardıdır. Kablo modemleri veya dijital abone hatları üzerinden geniş bant bağlanabilirliğini, çevirmeli modem bağlantıları kadar kolay hale getirmek için kullanılır. Windows XP, bu kendiliğinden PPPoE desteğini içeren ilk işletim sistemidir.
Taşınabilir bilgisayarınızla yolculuk ederken Internet’e çevirmeli bağlantıyla veya başka şekillerde eriştiğinizde, ICF özelliği güvenlik için otomatik olarak etkinleştirilebilir.
Güvenlik Duvarı Korumasını Etkinleştirmek Kolaydır
Ağ Kurulum Sihirbazı’nı çalıştırdığınızda, bulabildiği etkin her Internet bağlantısında ICF2yi etkinleştirir. Bir bağlantının ICF kullanıp kullanmadığını iki kez denetlemek için:
Denetim Masası’nı açın.
Ağ ve Internet Bağlantıları’nı tıklatın.
Ağ Bağlantıları’nı tıklatın.
Internet bağlantınızı sağ tıklatıp Özellikler’i tıklatın.
Seçenekler iletişim kutunuzun Gelişmiş sekmesini tıklatın.
ICF’yi Etkinleştirme
Bağlantı Noktasını Eşleştirme
ICF varsayılan olarak kendisi için istekte bulunulmamış dahili trafiğin girişine izin vermez. Diğer insanlara bilgisayarınıza erişim izni vermeniz gerekiyorsa, örneğin, bilgisayarınız bir Web sitesine veya bir bilgisayar oyunun Internet oturumuna ev sahipliği yapıyorsa Windows XP, güvenlik duvarına belirli bağlantı noktalarında trafiğe izin veren aralıklar açmanıza olanak tanır. Buna “bağlantı noktası eşleştirme” adı verilir.
Paylaşılan Belgeler Klasörü
Paylaşılan klasörler kişisel klasörlerinizle aynı işleve sahiptir. Belgelerim, Resimlerim ve Müziğim. Paylaşılan Belgeler, Paylaşılan Resimler ve Paylaşılan Müzik, herkesin bilgisayarınızdan erişebileceği dosya, resim ve müzik kayıtları depolamanız için bir yer sağlar. Örneğin Can, annesinin denetleyebilmesi için ev ödevini Paylaşılan Belgeler’e koyabilir. Baba da, tüm ailenin görebilmesi için dijital tatil fotoğraflarını Paylaşılan Resimler’e koyabilir.
Ev bilgisayarları genelde güvenilen ortamda bulunduğundan, Windows XP ev kullanıcıları varsayılan olarak isteğe bağlı parola korumasıyla birbirinden ayrı, ancak erişilebilir dosya depolaması edinir. Bu adım, bir aileye tek bir bilgisayarda ve eve kurulan bir ağın birden fazla bilgisayarında kolaylıkla dosya, resim, müzik kayıtları ve videolar paylaşmasına izin verir.
Bununla birlikte, kendiniz için bir parola oluşturduğunuzda Windows, tüm alt klasörleriyle birlikte “Belgelerim” klasörünüzü kilitlemeyi teklif eder. Parolanız varsa ve gizlilik istiyorsanız bu yöntemle, bilgisayarın yönetimiyle ilgisi olmayan kullanıcılara karşı korunursunuz.
Not Bu, yalnızca sabit diskiniz NTFS’de biçimlendirilmişse geçerlidir; bu özellik sabit diskinizi dosya paylaşımı tablosu (FAT) veya FAT32’de biçimlendirilmişse çalışmaz.
Windows XP Professional için Yeni Güvenlik Özellikleri
Windows XP Professional, her boyuttan işletmenin tercih ettiği işletim sistemidir ve işletme bilgisayarları için en güvenilir güvenlik hizmetini sağlar. Windows XP Professional, işletmenizin ağı ve güvenliği için gereksinim duyduğunuz güvenlik özelliklerini içerir. Bu güvenlik özellikleri, BT harcamalarını azaltacak ve işinizle ilgili hizmetler oluşturmaya yoğunlaşabilmenize olanak tanıyacak yeni yönetim yetenekleri sunar.
Microsoft® Windows NT® 4.0 ve Microsoft® Windows® 2000’deki güvenlik modelini kullandıysanız, Windows XP Professional’daki özelliklerin birçoğu size tanıdık gelecektir. Aynı zamanda sistem güvenliğini yönetme yeteneğinizi iyileştirecek yeni özellikler ve size daha önceden tanıdık gelen özelliklerden bazılarının önemli ölçüde değişmiş olduğunu da göreceksiniz.
Unutmayın: Windows XP Professional’ı bir çalışma grubunun parçası olarak veya tek başına çalıştığı bir ortamda kullanıyorsanız ve bilgisayarınız üzerinde yönetici haklarınız varsa, işletim sisteminin tüm güvenlik özelliklerine erişebilirsiniz. Windows XP Professional ile çalışan bilgisayarınız bir etki alanının parçasıysa, seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Şirket Güvenliği
Windows XP Professional, işletmelere önemli verileri korumalarında yardımcı olmak için çok güçlü güvenlik özellikleri ve ağdaki kullanıcıları yönetmek için destek sağlar. Windows XP Professional’da kullanılabilir en iyi özelliklerden birisi Grup İlkesi nesnelerinin (GPO) kullanılmasıdır. GPO’lar sistem yöneticilerine, birden fazla bilgisayara tek bir güvenlik profili uygulamalarına ve isteğe bağlı olarak akıllı kartta depolanmış bilgileri kullanarak kullanıcıların kimliğini doğrulamak üzere akıllı kart teknolojisinden yararlanmalarına izin verir.
Güvenlik İyileştirmeleri
Windows XP Professional, işletmelerin seçilmiş dosyaları, uygulamaları ve diğer kaynakları korumak için kullanabilecekleri çeşitli özellikler içerir. Bu özellikler, erişim denetimi listeleri (ACL), güvenlik grupları ve Grup İlkesi’ni ve işletmelerin bu özellikleri yapılandırmaya ve yönetmeye izin veren araçları kapsar. Birlikte işletme ağları için güçlü ve esnek erişim denetimi altyapısı sağlarlar.
Windows XP, güvenlikle ilişkili tek tek gerçekleştirebilir binlerce ayar sunar. Windows XP işletim sistemi ayrıca, işletmelerin değişiklik yapmaya veya daha özelleştirilmiş güvenlik yapılandırmasının temeli olarak kullanmaya gerek olmadan gerçekleştirebileceği önceden tanımlanmış güvenlik şablonları da içerir. İşletmeler bu güvenlik şablonlarını aşağıdaki durumlarda uygulayabilir:
• Klasör veya dosya paylaşımı gibi bir kaynak oluşturup varsayılan erişim denetimi listesi ayarlarını kabul ederken veya özel erişim denetim listesi ayarları uygularken.
• Kullanıcıları Kullanıcılar, Güç Kullanıcılar ve Yöneticiler gibi standart güvenlik gruplarına yerleştirip bu güvenlik grupları için geçerli olan varsayılan ACL ayarları kabul ederken.
• İşletim sistemiyle birlikte sağlanmış Temel, Uyumlu, Güvenli ve Yüksek Güvenlikli Grup İlkesi şablonlarını kullanırken.
ACLS, güvenlik grupları ve Grup İlkesi gibi Windows XP güvenlik özelliklerinin her biri, belirli bir organizasyona uyacak şekilde değiştirilebilir varsayılan ayarlara sahiptir. İşletmeler ayrıca erişim denetimini gerçekleştirmek ve değiştirmek için de ilgili araçlardan yararlanabilirler. Microsoft Yönetimi Konsolu ek bileşenleri gibi araçların birçoğu Windows XP Professional’ın bileşenleridir. Diğer araçlar Windows XP Professional Kaynak Seti’nde bulunur.
Denetlenen Ağ Erişimi
Windows XP davetsiz konukları dışarıda tutmak için yerleşik güvenlik sağlar. Bunu, bir ağdan bilgisayarınıza “konuk” düzeyindeki ayrıcalıklarla erişmeyi deneyen herkesi sınırlayarak sağlar. Davetsiz konuklar zorla bilgisayarınıza girmeyi denerse ve parolaları tahmin ederek yetkisiz ayrıcalıklar ele geçirirse, başarısızlığa uğrayacaklardır veya yalnızca sınırlı, konuk düzeyinde erişim elde edeceklerdir.
Ağ Kimlik Doğrulamasını Yönetme
Windows XP Professional’i temel alan artan sayıda sistem, etki alanları yerine doğrudan Internet’e bağlanmaktadır. Bu da (değişik hesaplarla ilişkili güçlü parolalar ve izinler dahil) erişim denetimini her zamankinden daha önemli hale getirmektedir. Güvenlikten emin olmak için, çoğunlukla açık Internet ortamlarıyla ilişkili olan görece anonim erişimi denetim ayarları azaltılmalıdır.
Windows XP Professional varsayılan olarak, ağ üzerinden oturum açan her kullanıcıdan Konuk hesabını kullanmalarını gerekli kılar. Bu değişiklik, Internet aracılığıyla sisteme erişmeye çalışan bilgisayar korsanlarının, parolası olmayan yerel Yönetici hesabını kullanarak oturum açmalarını engellemek için tasarlanmıştır.
Basit Paylaşım
Varsayılan olarak bir etki alanına bağlı olmayan Windows XP Professional sistemleri, ağ üzerinden yapılan tüm oturum açma denemelerinde ağın Konuk hesabını kullanması sağlanmaktadır. Buna ek olarak, basit paylaşım güvenlik modelini kullanan bilgisayarlarda Güvenlik Özellikleri iletişim kutusunun yerine basitleştirilmiş bir Paylaşılan Belge Özellikleri iletişim kutusu kullanılır.
Konuk için Zorlama
Yerel hesapların paylaşım ve güvenlik modeli, Yalnızca Konuk güvenliği veya Klasik güvenlik modeli arasında seçim yapmanıza izin verir. Yalnızca Konuk modelinde, ağ üzerinden yerel bilgisayarda yapılan tüm oturum açma denemelerinde Konuk hesabı kullanılmaya zorlanır. Klasik güvenlik modelinde ağ üzerinden yerel bilgisayarda oturum açmayı deneyen kullanıcılar kimliklerini doğrular. Bu ilke, bir etki alanına katılmış bilgisayarlar için geçerli değildir. Değilse varsayılan olarak Yalnızca Konuk etkindir.
Kullanıcı hesabı etkinse ve parolası boşsa, oturum açmasına ve Konuk hesabının erişmekte yetkili olduğu tüm kaynaklara erişmesine izin verilir.
Yerel hesaplar kullanarak ağda oturum açanların Konuk olarak kimlik doğrulamasını zorla ilkesi etkinse, yerel hesaplar Konuk olarak kimlik doğrular. Bu ilke, ağdaki bilgisayara doğrudan bağlanan yerel hesabın Konuk kullanıcı olarak kimlik doğrulaması yapıp yapmamasını belirler. Bu ilkeyi, hedef bilgisayarın sistem kaynaklarına erişmeyi deneyen yerel bir hesabın izinlerini sınırlamak için kullanabilirsiniz. Bu ilkeyi etkinleştirirseniz, doğrudan bağlanmaya çalışan tüm yerel hesaplar genel olarak çeşitli şekillerde sınırlanan Konuk izinleriyle sınırlanır.
Boş Parola Sınırlaması
Hesaplarını parolayla korumayan kullanıcıları korumak üzere, parolasız Windows XP Professional hesapları yalnızca fiziksel bilgisayar konsolunda oturum açmak için kullanılabilir. Varsayılan olarak, parolaları boş hesaplar, artık ağ üzerindeki bilgisayarda uzaktan oturum açmak için veya temel fiziksel konsol oturum açma ekranı dışında başka hiçbir oturum açma etkinliğinde kullanılamaz. Örneğin, bir programı parolası boş yerel kullanıcı olarak başlatmak için ikincil oturum açma hizmetini (FarklıÇalıştır) kullanamazsınız.
Yerel hesaba parola atamak, ağ üzerinden oturum açmayı engelleyen sınırlamayı kaldırır. Ayrıca hesabın, ağ bağlantısıyla olsa bile, erişmekte yetkili olduğu her kaynağa erişmesine izin verir.
Dikkat Bilgisayarınız fiziksel olarak güvenli bir konumda değilse, tüm yerel kullanıcı hesaplarına parola atamanız önerilir. Bunu yapmamak, parolası olmayan hesap kullanan herkese, oturum açmak üzere bilgisayara fiziksel olarak erişim izni verir. Bu özellikle her zaman yerel tüm kullanıcılarda güçlü parolalara sahip olması gereken taşınabilir bilgisayarlar için önemlidir.
Not Bu sınırlama etki alanı hesapları için geçerli değildir. Yerel konuk hesabı için de geçerli değildir. Konuk hesabı etkinse ve parolası boşsa, oturum açmasına ve konuk hesabının erişmekte yetili olduğu tüm kaynaklara erişmesine izin verilir.
Ağda parolasız oturum açılmasına izin vermeyen sınırlamayı devre dışı bırakmak istiyorsanız, bunu Yerel Güvenlik İlkesi’yle yapabilirsiniz.
Şifreleme Dosya Sistemi
Şifreleme Dosya Sistemi’nin (EFS) artırılmış işlevselliği, ortak kullanıcılara şifrelenmiş veri dosyalarını temel alarak güvenlik çözümleri dağıtırlarken daha fazla esneklik sağlayarak Windows® XP Professional’ın gücünü önemli ölçüde artırmıştır.
EFS Mimarisi
EFS, genel anahtar şifrelemesini temel alır ve Windows XP’deki CryptoAPI mimarisinden yararlanır. EFS’nin varsayılan yapılandırması hiçbir yönetici çaba gerektirmez; dosyaları hemen şifrelemeye başlayabilirsiniz. EFS otomatik olarak şifreleme anahtar takımı ve henüz yoksa, kullanıcı için bir sertifika oluşturur.
EFS, şifreleme algoritma olarak genişletilmiş Veri Şifreleme Standardı’nda (DESX) veya Üçlü DES (3DES) öğesini kullanabilir. Şifreleme hizmeti sağlayıcıların (CSP) işletim sisteminde içerdiği RSA Temeli ve RSA Geliştirilmiş yazılımı, EFS sertifikaları ve simetrik şifreleme anahtarlarının şifrelenmesi için kullanılabilir.
Klasör şifrelediğinizde, şifrelenmiş klasördeki veya bu klasöre eklenen tüm dosya ve alt klasörler otomatik olarak şifrelenir. Dosya dönüşümü sırasında sabit diskinizde düz metin şeklinde geçici dosyaların oluşturulmasını önlemek için bu klasör düzeyinde şifrelemeniz önerilir.
EFS ve NTFS
Şifreleme Dosya Sistemi (EFS), NTFS dosya sistemini kullanarak diskte saklanan dosyalardaki önemli verileri korur. EFS, NTFS birimlerinde saklanan dosyaları şifrelemek ve şifrelerini çözümlemek için kullanılan temel teknolojidir. Yalnızca korunan bir dosyayı şifreleyen kullanıcı dosyayı açabilir ve dosyayla çalışabilir. Bu özellikle taşınabilir bilgisayar kullanıcıları için yararlıdır; çünkü kayıp veya çalınmış dizüstü bilgisayarına erişildiğinde bile, diskteki hiçbir dosyaya erişilemez. Windows XP için, EFS artık Çevrimdışı Dosyalar ve Klasörler ile çalışmaktadır.
EFS ile dosya ve klasörleri tek tek şifreleyebilirsiniz. Şifrelenmiş dosyalar, bir bilgisayar korsanı sistem güvenliğini yeni bir işletim sistemi kurarak aşsa bile, gizli kalır. EFS endüstri standart algoritmalarla güçlü şifreleme sağlar ve NTFS uyumlu şekilde tümleştirilmiş olduğundan kullanımı kolaydır. Windows® XP Professional için EFS, şifrelenmiş dosyaları paylaşmak veya veri kurtarma aracılarını devre dışı bırakmak için yeni seçenekler sunar ve Grup İlkesi ve komut satırı yardımcı programları aracılığıyla yönetimi kolaylaştırır.
Dosya Güvenliğini Sağlama
Oturum açma kimlik doğrulaması veya dosya izinleri ağ kaynaklarını yetkisiz erişimden korumak gibi güvenlik özellikleri. Bununla birlikte, bilgisayara fiziksel erişim elde eden herkes ilgili bilgisayara yeni bir işletim sistemi kurabilir ve böylece varolan işletim sisteminin güvenliğini aşabilir. Önemli bilgiler bu şekilde açıklanabilir. EFS aracılığıyla önemli dosyaları şifrelemek güvenliğe bir katman daha ekler. Dosyalar şifrelendiğinde verileri, bir bilgisayar korsanı bilgisayarın veri deposuna tam erişim elde ettiğinde bile korunur.
Yalnızca yetkili kullanıcılar ve belirlenmiş veri kurtarma aracıları şifrelenmiş dosyaların şifresini çözebilir. Dosya için izni (Sahiplik Al izni olanlar bile) olan diğer sistem hesapları yetki almadan dosyayı açamazlar. Hesabı veri kurtarma aracısı olarak belirlenmemiş bir yönetici hesabı da dosyayı açamaz. Yetkisiz bir kullanıcı şifreli dosyayı açmayı denerse erişim engellenir.
EFS Yerel Güvenlik Ayarları
EFS Nasıl Çalışır?
EFS, bilgisayara fiziksel erişimi olan kişilerin isteyerek veya istemeyerek gizli bilgilere ulaşabileceği durumlarda bu gizli bilgileri depolamanıza olanak tanır. EFS özellikle taşınabilir bilgisayarların veya çok sayıda kullanıcı tarafından paylaşılan bilgisayarların önemli verilerini güvenli hale getirmek için yararlıdır. Her iki sistem de ACL düzenlemelerinin getirdiği sınırlamalarını aşabilen teknikler tarafından saldırıya uğramaya açıktır.
Bilgisayar korsanı, paylaşılan sistemlerde farklı bir işletim sistemini başlatarak erişim sağlayabilir. Bilgisayar korsanı ayrıca bilgisayarı çalabilir, sabit diski/diskleri çıkarabilir, diski/diskleri başka bir sisteme takıp depolanan dosyalara erişebilir. Korsanlar şifre çözme anahtarına sahip değilse, EFS ile şifrelenen dosyalar anlaşılmaz karakterler olarak görüntülenir.
EFS, NTFS ile uyumlu bir şekilde tümleştirilmiş olduğundan, dosya şifrelemesi kolay anlaşılırdır. Dosyayı açtığınızda, EFS tarafından diskten okunan veri olarak şifresi çözülür. Dosyayı kaydettiğinizde EFS veriyi, diske yazılmış veri olduğunu kabul ederek şifreler. Yetkili bir kullanıcı olarak dosyanın şifrelenmiş olduğunu bile fark edemeyebilirsiniz, çünkü bu dosyalarla her zamanki gibi çalışabilirsiniz.
EFS, varsayılan yapılandırmasında, dosyaları hiçbir yönetici çabası gerekmeden Windows Explorer’da şifrelemenize olanak tanır. Kullanıcı bakış açısından dosyanın şifrelenmesi, dosya özelliğini belirlemek kadar basittir. Şifreleme özelliği dosya klasörü için de belirlenebilir. Klasörde oluşturulan veya klasöre eklenen her dosya otomatik olarak şifrelenir.
EFS’yi Ortamınıza Göre Yapılandırma
EFS varsayılan olarak etkindir. Dosyaları değiştirme izniniz varsa, dosyaları şifreleyebilirsiniz. EFS, dosyaları şifreleme için genel anahtara bağlı olduğundan, genel/özel anahtar takımına ve şifreleme için genel anahtar sertifikasına gereksiniminiz var. EFS kendi imzaladığı sertifikaları da kullanabildiğinden, kullanılmak için yönetici çabası gerektirmez.
EFS ortamınıza uygun değilse veya şifrelemek istemediğiniz dosyalarınız varsa, EFS’yi çeşitli yollarla devre dışı bırakabilirsiniz. EFS’yi organizasyonunuzun gereksinimlerine göre ayarlayabilmek için de çok sayıda yol vardır.
EFS’yi kullanmak için tüm kullanıcıların EFS sertifikaları olmalıdır. Şu anda Genel Anahtar Altyapısı (PKI) öğeniz yoksa, işletim sisteminin otomatik olarak oluşturup kendi imzaladığı sertifikaları kullanabilirsiniz. Bununla birlikte sertifika yetkilileriniz varsa, EFS sertifikaları sağlamaları için onları yapılandırmak isteyebilirsiniz. Sisteminizde EFS kullanırsanız ayrıca bir olağanüstü durum kurtarma planını göz önünde bulundurmanız gerekecek.
Neler Şifrelenebilir?
NTFS birimlerinde yer alan tek tek dosyalar ve dosya klasörleri (veya alt klasörler) şifreleme özelliğiyle ayarlanabilir. Genelde, şifreleme özelliğine sahip dosya klasörlerinden “şifrelenmiş” olarak söz edilmesine rağmen, klasörün kendisi şifreli değildir ve dosya klasörünün şifreleme özelliğini ayarlamak için genel/özel anahtar takımı gerekmez. Şifreleme klasör için ayarlandıysa, EFS otomatik olarak aşağıdakileri şifreler:
• Klasörde oluşturulan tüm yeni dosyalar.
• Klasöre kopyalanan veya taşınan tüm düz metin dosyalar.
• İsteğe bağlı olarak varolan tüm dosyalar ve alt klasörler.
Windows 2000’da istemci tarafı önbelleklemesi olarak bilinen Çevrimdışı Dosyalar da EFS aracılığıyla şifrelenebilir.
Çevrimdışı Dosyaları Şifreleme
Windows 2000 tarafından aktarılan istemci tarafı önbelleklemesi işlevselliği artık Çevrimdışı Dosyalar olarak adlandırılmaktadır. Bu, ağ kullanıcılarına istemci bilgisayarının ağ bağlantısı kesildiğinde bile, ağ paylaşımlarındaki dosyalara erişmelerine izin veren bir Microsoft IntelliMirror® yönetim teknolojisidir. Ağ bağlantısı kesildiğinde, istemci bilgisayarında önbellekleme yapıldığından, gezgin kullanıcılar göz atmaya, okumaya ve dosyaları düzenlemeye devam edebilir. Kullanıcı daha sonra sunucuya bağlandığında sistem, sunucuyla arasındaki değişiklikleri karşılaştırır.
Windows XP Professional istemcisi çevrimdışı dosyaları ve klasörleri şifrelemek için EFS’yi kullanabilir. Bu özellik özellikle düzenli aralıklarla çevrimdışı çalışmaya ve veri güvenliği sağlamaya gerek duyan seyahat eden çalışanlar için caziptir.
Çevrimdışı Dosyalar Veritabanını Şifreleme
Çevrimdışı Dosyalar veritabanını şifreleme olanağına sahipsiniz. Önbelleğe alınmış dosyaların şifrelenemediği yerde Windows 2000 üzerinde yapılmış bir iyileştirmedir. Windows XP, yerel olarak önbelleğe alınmış tüm belgeleri hırsızlığa karşı korurken, aynı zamanda yerel olarak önbelleğe alınmış veriler için ek güvenlik sağlamak için Çevrimdışı Dosyalar veritabanını şifreleme olanağı verir.
Örneğin, önemli verilerinizi güvenle saklarken çevrimdışı dosyalarınızı kullanabilirsiniz. BT yöneticisiyseniz, bu özelliği yerel olarak önbelleğe alınmış tüm belgeleri korumak için kullanabilirsiniz. Çevrimdışı Dosyalar, gizli bilgileri Çevrimdışı Dosyalar önbelleğine kaydedilmiş taşınabilir bilgisayarınız çalınırsa mükemmel bir koruma oluşturur.
Bu özellik, çevrimdışı veritabanının tamamının şifrelenmesini ve şifresinin çözülmesini destekler. Çevrimdışı dosyaların nasıl şifreleneceğini yapılandırmak için yönetici ayrıcalıkları gereklidir. Çevrimdışı dosyaları şifrelemek için Bilgisayarım’daki Araçları’ın altındaki Klasör Seçenekleri’ne gidip Veriyi güvenli hale getirmek için şifrele seçeneğini işaretleyin.
Çevrimdışı Dosyalar Veritabanını şifreleme
Dosya Paylaşımları ve Web Klasörleri’nde Uzaktan EFS İşlemleri
Ağ dosya paylaşımları veya Web Üzerinde Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) Web klasörlerinde depolanan dosyaları şifreleyebilir veya şifrelerini çözebilirsiniz. Dosya paylaşımlarıyla karşılaştırıldığında, Web klasörlerinin birçok yararı vardır ve Microsoft, şifrelenmiş dosyaların uzaktan depolanması için olası her zaman Web klasörlerinin kullanımını önermektedir.
Web klasörleri, dosya paylaşımlarından daha az yönetimsel çaba gerektirir ve daha güvenlidir. Web klasörleri ayrıca, standart HTTP dosya aktarımlarını kullanarak şifrelenmiş dosyaları güvenli bir şekilde depolayabilir ve teslim edebilir. Uzaktan EFS işlemleri için dosya paylaşımları kullanabilmek için Windows 2000 veya daha üstü bir etki alanı ortamı gereklidir. Bu, EFS’nin, kullanıcı için dosya şifrelemek veya şifre çözmek üzere Kerberos iletişim kuralı temsilcisi aracılığıyla kullanıcıyı kimliğe büründürmesi zorunlu olduğundan gereklidir.
Anahtar Farkı
Dosya paylaşımları ve Web klasörlerinde depolanan dosyalarda yapılan uzaktan EFS işlemlerde karşılaşılan birincil fark işlemlerin ortaya çıktığı yerdir.
Dosyalar dosya paylaşımlarında depolanıyorsa EFS işlemleri, dosyaların depolandığı bilgisayarda ortaya çıkar. Örneğin, ağ dosya paylaşımına bağlanıp daha önce şifresini çözdüğünüz bir dosyayı açmayı seçerseniz, dosyanın şifresi, depolandığı bilgisayarda çözülür ve düz metin biçiminde ağ üzerinden bilgisayarınıza aktarılır.
Dosyalar Web klasörlerinde depolanıyorsa, tüm EFS işlemleri yerel bilgisayarınızda ortaya çıkar. Örneğin, bir Web klasörüne bağlanıp önceden şifresini çözdüğünüz bir dosyayı açmayı seçerseniz, dosya, bilgisayarınıza aktarıldığı sırada şifrelenmiş kalır ve şifresi EFS tarafından bilgisayarınızda çözülür.
EFS işlemlerinin ortaya çıktığı yerin farklılığı ayrıca, dosya paylaşımlarının Web klasörlerinden daha fazla yönetimsel yapılandırma gerektirdiğini de açıklar.
Web Klasörü Ortamında Uzaktan EFS İşlemleri
Web klasörlerinde depolanan şifrelenmiş dosyaları açtığınızda, dosyalar dosya aktarımı sırasında şifreli kalır ve EFS tarafından yerel olarak şifreleri çözülür. Bilgisayarınızdan Web klasörlerine ve Web klasörlerinden bilgisayarınıza yüklemeler ham veri aktarımlarıdır; bir bilgisayar korsanı, şifrelenmiş dosyanın aktarımı sırasında veriye erişse bile, ele geçirilen veriler şifrelidir ve kullanılamaz.
Web klasörlü EFS, şifrelenmiş dosyaları kullanıcılar, işletmeler veya organizasyonlar arasında güvenli bir şekilde paylaşmak özelleştirilmiş yazılımın gerekliliğini ortadan kaldırır. Dosyalar, EFS aracılığıyla güçlü güvenlik sağlanırken kolay erişilir olmaları için ortak intranet dosya sunucularında veya Internet topluluklarında depolanabilir.
WebDAV Redirector
WebDAV Redirector, HTTP sürüm 1.1 standardının uzantısı olarak HTTP üzerinden uzaktan dosya paylaşımı için kullanılan WebDAV iletişim kuralını destekleyen küçük bir yeniden yönlendiricidir. WebDAV yeniden yönlendirici, varolan uygulamaların kullanımını destekler ve Internet’ten (örneğin, güvenlik duvarları, yönlendirici) HTTP sunucularına kadar dosya paylaşımına izin verir. Internet Information Services (IIS) sürüm 5.0 (Windows 2000) Web klasörlerini destekler.
Web klasörlerine dosya paylaşımlarına eriştiğiniz yoldan erişebilirsiniz. Bir ağ sürücüsünü, Ağ Kullan komutunu kullanarak veya Windows Explorer aracılığıyla Web klasörüyle eşleştirebilirsiniz. Web klasörüne bağlanıp bağlanmadığınıza göre, dosya paylaşımlarındaki dosyalarla olduğu gibi, dosyaları kopyalamayı, şifrelemeyi veya şifresini çözmeyi seçebilirsiniz.
Sertifika Hizmetleri
Sertifika Hizmetleri, bir işletmeye kendi sertifika yetkiliniz (CA) olduğunu varsayarak davranmasına ve dijital sertifikaları düzenleyip yönetmesine izin veren temel işlemin bir parçasıdır. Windows XP Professional, CA hiyerarşisinin ve çapraz sertifikalı güven ağının birden fazla düzeyini destekler: Bu çevrimdışı ve çevrimiçi sertifika yetkililerini içerir.
Sertifika ve Genel Anahtar Depolama
Windows XP Professional genel anahtar sertifikalarınızı kişisel sertifika depolama alanında depolar. Sertifikalar ortak bilgi olduklarından düz metin olarak depolanırlar ve izinsiz veya uygun olmayan değişikliğe karşı korunmak üzere sertifika yetkilileri tarafından dijital olarak imzalanırlar.
Kullanıcı sertifikaları her kullanıcı profilinin Documents and Settings\kullanıcıadı\ApplicationData\ Microsoft\SystemCertificates\My\Certificates dizininde yer alır. Bu sertifikalar, bilgisayarınızda her oturum açtığınızda sistem kayıt defterindeki kişisel depolama alanına yazılır. Sertifikalarınız, gezici profiller için herhangi bir yerde depolanabilir ve aynı etki alanında başka bir bilgisayarda oturum açtığınızda sizi izler.
Özel Anahtar Depolama
Temel CSP ve Gelişmiş CSP dahil, Microsoft’u temel alan şifreleme hizmet sağlayıcılarının (CSP) özel anahtarları, KökDizini\Documents and Settings\kullanıcıadı\Application Data\Microsoft\Crypto\RSA altındaki kullanıcı profilinde yer alır.
Gezici kullanıcı profilinde özel anahtar, etki alanı denetleyicisindeki RSA klasöründe yer alır ve bilgisayar oturumunuzu kapatana veya bilgisayarı yeniden başlatana kadar bilgisayarda yüklü kalır.
Özel anahtarların korunması gerektiğinden, RSA klasöründeki tüm dosyalar, kullanıcının ana anahtarı olarak adlandırılan rasgele, simetrik bir anahtarla otomatik olarak şifrelenir. Kullanıcının ana anahtarının uzunluğu 64 bayttır ve güçlü rasgele sayı üretici tarafından oluşturulmuştur. 3DES anahtarları ana anahtardan türetilmiştir ve özel anahtarları korumak için kullanılırlar. Ana anahtar otomatik olarak üretilir ve düzenli aralıklarla yenilir.
Ana anahtarı diske kaydedilirken parolanızın bir parçasını temel alan bir anahtar tarafından üçlü DES korumalıdır. RSA klasöründeki her dosyayı oluşturulduğu anda otomatik olarak şifreler.
Kullanıcı Sertifika Otomatik Kayıt
Windows 2000 kullanıcı otomatik kaydı sundu. Bilgisayar için otomatik kayıt veya etki alanı denetleyicisi sertifikaları Grup İlkesi ve Microsoft Active Directory™ aracılığıyla etkinleştirilir. Bilgisayar sertifikalarının otomatik kaydı, Windows XP Yönlendirme ve Uzaktan Erişim sunucularının ve diğer benzer aygıtlarla IPSec veya L2TP/IPSec VPN bağlantısını kolaylaştırmak için yararlıdır.
Sertifika otomatik kaydı, sahipliğin toplam maliyetini düşürür ve kullanıcılarla yöneticiler için sertifika yönetimi ömür döngüsünü basitleştirir. Otomatik akıllı kart kaydı ve otomatik kayıt yetkilisi özellikleri, kuruluş platformundaki kullanıcılar için, güvenlik bilinci olan organizasyonlar için basitleştirilmiş güvenlik işlemlerinin yanı sıra gelişmiş güvenlik sağlar.
Bekleyen Sertifika İstekleri ve Yenilemesi
Windows XP Professional’daki kullanıcı otomatik kaydı, hem bekleyen sertifika isteklerini, hem de yenileme özelliklerini destekler. Windows .NET Server CA’da el ile veya otomatik olarak sertifika isteyebilirsiniz. Bu istek, yönetimsel onay alınana veya onay işlemi tamamlanana dek bekletilir. Sertifika onaylandıktan veya düzenlendikten sonra otomatik kayıt işlemi tamamlanır ve otomatik olarak sertifikalarınızı yükler.
Süresi dolan kullanıcı sertifikaların yenilenme işlemi de otomatik kayıt mekanizmasından yararlanır. Sertifikalar Active Directory’deki sertifika şablonundaki belirtimlere bağlı olarak otomatik olarak kullanıcı adına yenilenir.
Sertifikalar ve anahtarlar varsayılan olarak korunur. Buna ek olarak, daha fazla koruma sağlamak için isteğe bağlı güvenlik ölçüleri de uygulayabilirsiniz. Sertifikalarınızın ve anahtarlarınızın güvenliğini artırmanız gerekiyorsa, özel anahtarları verip güvenli bir yerde saklayabilirsiniz.
Otomatik Kayıt Ayarları Özellikleri
Kimlik Bilgileri Yönetimi
Windows XP’deki Kimlik Bilgileri Yönetimi’nin üç bileşeni vardır: Kimlik bilgileri istemi kullanıcı arabirimi, depolanmış kullanıcı adları ve parolalar ve anahtar halkası. Bu üç bileşen birlikte tek bir oturum açma çözümü oluşturur.
Kimlik Bilgisi İstemi
Kimlik bilgileri istemi kullanıcı arabirimi, kimlik doğrulama paketinden kimlik doğrulama hatası döndüğünde bir uygulama tarafından görüntülenir. (Bu, yalnızca kullanıcı arabirimini uygulamış uygulamalarda kullanılabilir.)
İletişim kutusuna kullanıcı adı ve parolası girebilir veya Depolama Alanım nesnesinden X.509 sertifikasını seçebilirsiniz. Bu uygulama ayrıca, daha sonra kullanılmak üzere kimlik bilgilerini depolamanıza izin veren Parolamı anımsa onay kutusunu görüntüleme seçeneğine sahiptir.
Yalnızca tümleşik kimlik doğrulama paketleri (örneğin, Kerberos iletişim kuralı, NTLM, SSL vs.) kimlik bilgilerinin kaydedilmesine izin verir. Temel kimlik doğrulaması için kimlik bilgileri istemi kullanıcı arabirimini görüntülemeye devam edecektir, ancak kimlik bilgilerinizi kaydetme olanağınız olmayacaktır.
Kimlik Bilgileri Kullanıcı Arabirimi İstemi
Depolanan Kullanıcı Adları ve Parolalar
Depolanan Kullanıcı Adları ve Parolalar, kaydedilmiş kimlik bilgilerinizin saklandığı, güvenli gezinilebilir depolama alanıdır. Kimlik bilgilerine erişim Yerel Güvenlik Ayarları (LSA) tarafından denetlenir. Kimlik bilgileri, kaynak tarafından döndürülen hedef bilgileri temel alarak depolanır.
Kimlik bilgileri istemi kullanıcı arabirimindeki Parolamı anımsa onay kutusunu işaretleyerek kimlik bilgisini kaydettiğinizde, kimlik bilgisi olası en genel biçimde kaydedilir. Örneğin, bir etki alanında yer alan belirli bir sunucuya eriştiğinizde, kimlik bilgisi *.domain.com olarak kaydedilebilir. Bu etki alanındaki farklı bir sunucu için kaydedilen farklı kimlik bilgisi, bu kimlik bilgisinin üzerine yazılmaz. Daha belirli hedef Bilgiler karşılığında kaydedilir.
Kaynağa, tümleşik kimlik doğrulama paketi aracılığıyla erişildiğinde, kimlik doğrulama paketi kaynağın döndürdüğü hedef Bilgisi’yle en iyi eşleşen kimlik bilgisini bulmak üzere depolanmış kullanıcı adlarına ve parolalara bakar. Bu kimlik bilgisi bulunduğunda, herhangi bir etkileşimde bulunmanıza gerek kalmadan, kimlik doğrulama paketi tarafından kullanılacaktır. Kimlik bilgisi bulunamadığında, kaynağa erişmeyi deneyen uygulama için bir kimlik doğrulama hatası döndürülür.
Not Bu kesintisiz kimlik doğrulamasını kullanmak için kaynağa erişen uygulamanın kimlik bilgileri istemi kullanıcı arabirimini uygulamış olması gerekmemektedir. Uygulama tümleşik paket kullanıyorsa, kimlik doğrulama paketi kimlik bilgisini almayı deneyecektir. Kimlik bilgisini girdiğinizde, bu bilgi yalnızca kimlik doğrulama paketi tarafından alınabilir.
Kolay Parola Yönetimi Kullanıcı Arabirimi (Çalışma Grubunda Windows XP Home Edition ve Windows XP Professional)
Anahtar Halkası
Anahtar halkası, kullanıcı adları ve parolalarında depolanan kimlik bilgilerini el ile yönetmenize izin verir. Anahtar halkasına, kullanıcı hesaplarının Denetim Masası uygulaması üzerinden erişilir.
Anahtar halkasında, şu anda içinde kullanıcı adları ve parolalarının depolandığı kimlik bilgilerinin listesini göreceksiniz. Vurgulanan her kimlik bilgisi için ekranın alt bölümündeki açıklama alanında kimlik bilgisinin kısa açıklaması görüntülenir. Burada yeni kimlik bilgisi ekleyebilir, varolan kimlik bilgisini düzenleyebilir veya kaldırabilirsiniz.
• Kimlik bilgisi ekleme. Kimlik bilgisi eklemeniz için, kimlik bilgisi istemi kullanıcı arabirimine benzer bir kullanıcı arabirimi görüntülenir ve hedef bilgileri girmeniz gerekir. Hedef bilgilerinde “*” şeklinde joker karakterlerin kullanılabildiğini unutmayın.
• Kimlik bilgisi düzenleme. Kimlik bilgisini düzenleme, hedef bilgisini veya kimlik bilgilerini değiştirmenize olanak tanır. Bu bir kullanıcı adı ve/veya parola kimlik bilgisiyse, sunucudaki parolayı buradan değiştirebilirsiniz. Bir uygulama tarafından özellikle oluşturulmuş kimlik bilgileri istemi kullanıcı arabirimini kullanamazsınız. Örneğin, pasaport kimlik bilgilerini değiştiremezsiniz.
• Kimlik bilgisini kaldırma. Kimlik bilgilerinin tümünü kaldırabilirsiniz.
Kimlik bilgilerini depolanan kullanıcı adları ve parolalarında kaydetme yeteneği Grup İlkesi aracılığıyla açılıp kapanabilir.
Diğer yazılım geliştiricilerine bu mekanizmayı kullanmalarına izin vermek için, kimlik bilgileri istemi API’si ve temel kimlik bilgileri API’si Platform Yazılım Geliştirme Seti’nde (SDK) belgelenmiştir.
Hızlı Kullanıcı Değiştirme
Windows® XP Home Edition’da kullanılabilir Hızlı Kullanıcı Değiştirme özelliklerinin tümü Windows XP Professional’da bulunmaktadır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Hızlı Kullanıcı Değiştirme konusuna bakın.)
Bir etki alanına bağlı olmayan ve Windows XP Professional kullanan bilgisayarlarda, oturum kapatmadan veya uygulamalarınızı kapatmadan bir kullanıcı hesabından diğerine geçiş yapabilirsiniz.
Not Windows XP Professional işletim sistemindeki Hızlı Kullanıcı Değiştirme özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, bilgisayarda oturum açma seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Kişisel Gizlilik
Windows XP Home Edition ile çalışan kullanıcıları ilgilendiren gizlilik konuları, Windows XP Professional ile çalışan kullanıcıları etkileyenlerle aynıdır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Kişisel Gizlilik konusuna bakın.)
Not: Windows XP Professional’ı bir çalışma grubunun parçası veya tek başına yapılandırmalı olarak kullanıyorsanız, kullanabileceğiniz gizlilik özellikleri, bir etki alanının parçası olan bilgisayarın gizlilik özelliklerinden farklı olabilir. Bilgisayarınız bir etki alanının parçasıysa, sistem yöneticisi tarafından belirlenen ilkeler öncelik kazanır.
Internet Bağlantısını Paylaşma
Windows XP Home Edition’da kullanılabilir ICS özelliklerinin tümü Windows XP Professional’da bulunmaktadır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Internet Bağlantısını Paylaşma konusuna bakın.)
ICS’deki Konuma Duyarlı Grup İlkesi
Windows XP Professional’daki ICS’ye özgü olan, konuma duyarlı bir grup ilkesinin olmasıdır. Bu, gezici kullanıcılar için yararlı bir özelliktir. Windows XP Professional bilgisayarı bir etki alanının parçasıysa, etki alanı yöneticisi, Internet Bağlantısı Paylaşma özelliğinin şirket ağında kullanımını engelleyen bir grup ilkesi oluşturabilir. Bilgisayarınızı eve götürdüğünüzde, ilke evdeki ağınızla ilgili olmadığından Internet Bağlantısını Paylaşma özelliğini kullanabilirsiniz.
Not: Not Windows XP Professional işletim sistemindeki Internet Bağlantısını Paylaşma özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, Internet’e bağlanma seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Internet Bağlantısı Güvenlik Duvarı
Windows XP Home Edition’da kullanılabilir Internet Bağlantısı Güvenlik Duvarı tümü Windows XP Professional’da bulunmaktadır. Windows XP Professional Internet Bağlantısı Güvenlik Duvarı (ICF) masaüstü ve taşınabilir bilgisayarlar için, DSL, kablolu modem veya çevirmeli modem bağlantıları kullanarak Internet servis sağlayıcısına (ISS) bağlıyken güvenlik önlemleriyle korunma sağlar.
ICF’deki Konuma Duyarlı Grup İlkesi Windows XP Professional’daki ICS’ye özgü olan, konuma duyarlı bir grup ilkesinin olmasıdır. Bu özellik, çalışmak için kullandıkları taşınabilir bilgisayarlarını evde veya otel, hava limanı veya diğer genel Internet bağlantısı etkin noktalarında korumak isteyen gezici kullanıcılar için yararlıdır.
Windows XP Professional bilgisayarı bir etki alanının parçasıysa, etki alanı yöneticisi, bilgisayar şirket ağına bağlıyken ICF dosyasının kullanımını engelleyen bir grup ilkesi oluşturabilir. Bu, dizüstü bilgisayarının, sizin veya ağ yöneticisi için karmaşık bir düzenleme gerektirmeden kuruluş ağının kaynaklarını kullanmasına olanak tanır. Bilgisayarı eve veya genel Internet etkin noktasına getirdiğinizde, ilke iş yerinizin ağı dışında etkili olmadığından ICF kullanılabilir.
ICF Nasıl Çalışır?
ICF, ICS ile paylaşılan teknolojiyi kullanan durum bilgisi olan paket süzgeci olarak işlev görür. ICF özelliği tek başına olmasına rağmen, evdeki ağınızı korumak için paylaşılan bağdaştırıcıda da kullanılabilir.
Etkinse, durum bilgisi olan süzgeç, genel ağ arabiriminden gelen istenmeyen tüm bağlantıları engeller. Bunu başarmak için ICF Ağ Adresi Çevirme (NAT) akış tablosunu kullanır ve gelen tüm akışları NAT akış tablosundaki girişlere göre doğrular. Gelen veri akışlarına yalnızca, güvenlik duvarı sisteminden veya dahili olarak korunan ağdan gelen eşleşen bir NAT akış tablosu varsa izin verilir. Başka bir deyişle, ağ iletişimi korunan ağdan gelmiyorsa, gelen veri atılacaktır.
Windows XP Professional ICF’yi kullanırsanız, bilgisayar korsanları sistemlerinizi tarayamayacağından veya kaynaklarınıza erişemeyeceğinden kendinizi rahat hissedebilirsiniz. Bunun getirdiği aşağıdaki gibi bir etkisi vardır. Güvenlik duvarı sisteminizi diğerleri için Internet üzerinden sunucu olarak işlev görmesi için yapılandırılmasını zorlaştıracaktır.
Not Windows XP Professional işletim sistemindeki ICF özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, güvenlik duvarı koruma yetenekleriniz ve özellikleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Güvenlikle İlgili Grup İlkesi Ayarları
Windows XP önceden yapılandırılmış ve iş istasyonlarının güvenlik düzeyinin uygunluğunu doğrulamak için kullanabileceğiniz güvenlikle ilgili ilkelerden oluşan koleksiyonlar olan güvenlik şablonları içerir. Bu şablonlar standart düşük, orta ve yüksek güvenlik yapılandırmalarını temsil eder ve belirli güvenlik gereksinimlerini karşılamak üzere özelleştirilebilir.
Aşağıdaki gibi parola yönetimi öğeleri için de güvenlik ilkeleri ayarlayabilirsiniz:
• En kısa parola uzunluğunu belirleme.
• Gerekli parola değişikliklerin aralığı.
• Kaynaklara ve verilere erişimi denetleme.
Yazılım Sınırlamaları İlkeleri
Yazılım sınırlama ilkeleri yöneticilere, ilke tarafından yönetilen ve etki alanında çalışılan yazılımı tanımlayan ve bu yazılımı yürütme yeteneğini denetleyen bir mekanizma sağlar. Yönetici bir yazılım sınırlama ilkesi kullanarak istenmeyen uygulamaların çalışmasını engelleyebilir; bu virüsler ve Truva atları veya yüklendiğinde çakışmalara yol açtığı bilinen diğer yazılımlar için de geçerlidir.
Yazılım Sınırlama İlkeleri Kullanma
Yöneticisiyseniz, bir yazılım sınırlama ilkesini, yalnızca güvenilen bir uygulamalar kümesinin yürütülmesine izin vermek üzere kullanabilirsiniz. İlke bu uygulamaları yol, dosya karması, Microsoft® Authenticode® imza sahibi sertifikası veya Internet Bölgesi tarafından tanıtılır. Tanındıktan sonra, sistem yönetici tarafından belirlenen ilkelerin kullanılmasını sağlar.
Yazılım sınırlama ilkeleri ayrıca komut dosyasını temel alan virüslere ve Truva atlarına karşı da korunmanıza yardımcı olabilir. Yönetici, yazılım sınırlama ilkesini yalnızca BT organizasyonunun üyesi tarafından imzalanan komut dosyalarının çalışmasına izin vermesi için yapılandırabilir. Bu yolla ILOVEYOU.VBS gibi komut dosyasın temel alan tüm virüsler engellenebilir. Yazılım sınrılama ilkeleri ayrıca, kullanıcıların bilgisayarlara yükleyebileceği uygulamaları dengelemek için de kullanlabilir.
Yerel güvenlik ilkesi yapılandırılarak yazılım sınırlama ilkelerinin, tek başına çalışan bilgisayarda kullanılması sağlanabilir. Yazılım sınırlama ilkeleri Grup İlkesi ve Active Directory ile de tümleşir. Farklı kullanıcı veya bilgisayar kümeleri için farklı yazılım sınırlama ilkeleri özelleştirilebilir. Windows XP bilgisayarı, Windows 2000 ortamında yazılım sınırlama ilkesi oluşturmak için kullanılabilir. Etki alanındaki Windows XP bilgisayarları yazılım sınırlama ilkesinin kullanılmasını sağlarken Windows 2000 bilgisayarları bu ilkeyi yoksayar.
Yazılım Sınırlama İlkesi Oluşturma
Yazılım sınırlama ilkesi Microsoft Yönetim Konsolu (MMC) Grup İlkesi ek bileşeni aracılığıyla oluşturulur. İlke, programların çalışabilmek için izinli olup olmadıklarını belirleyen varsayılan bir kuraldan ve bu kuralla ilgili özel durumlardan oluşmaktadır. Varsayılan kural sınırlanmamış veya izin verilmeyen veya duruma göre “çalıştır” veya “çalıştırma” olarak belirlenebilir. Varsayılan kuralı “sınırlanmamış” olarak belirlemek yöneticiye, yalnızca çalıştırılması yasaklanan programlar kümesinden oluşan özel durumları belirlemesine olanak tanır. Daha güvenli bir yaklaşım için varsayılan kuralın izin verilmeyen olarak belirlenmesini ve yalnızca bilinen ve güvenilen programların çalıştırılmasının sağlanmasını gerektirir.
İki Tür Yazılım Sınırlama İlkesi
Yazılım sınırlama ilkelerini kullanmanın iki yolu vardır. Yöneticiler çalıştırılmasına izin verilmesi gereken yazılımların tümünü tanımladıktan sonra, yazılım sınırlama ilkesini yalnızca güvenilen uygulamaların çalıştırılması yönünde kullanabilirler. Yöneticiler, kullanıcıların hangi uygulamaları çalıştırmak istediğini bilmiyorlarsa, duyarlı olup uygun olmayan uygulamaları tanımlar tanımlamaz sınırlayıcı olmalıdırlar.
Yazılım sınırlama ilkeleri aşağıdaki durumlarda uygulanabilir:
• Yalnızca güvenilen kodun çalışmasına izin verme. Güvenilen tüm kodlar tanımlandığında, yönetici sistemi kilitleyebilirler. Aşağıdakiler “yalnızca güvenilen kodun çalışmasına izin ver” ilkesinin uygulanacağı yerlere örnektir:
Uygulama istasyonu
Görev istasyonu
Bilgi noktası
Bu durumlarda, varsayılan kural “izin verilmeyen” olarak belirlenmiş olacaktır. Bu kural için, yalnızca güvenilen uygulamaların çalışmasına izin veren özel durumlar oluşturulacaktır. Bu ilkenin bir örneği, yalnızca belirli uygulama yazılımların çalışmasına izin verilmesi gereken ve kullanıcıların başka yazılım yükleyemeyeceği bir bilgisayardır. Bir yönetici, bilgisayarda yalnızca Microsoft Word ve Microsoft Excel’in kullanılmasına izin verilen yerde kullanılmalıdır. Kullanıcı bir programı karşıdan yüklerse veya disketten çalıştırırsa, ilke tarafından tanımlanan güvenilenler listesinde olmadığından programın çalışması engellenir.
• İstenmeyen kodun çalışmasını engelleme. Yönetici bazı durumlarda kullanıcıların çalıştırmaya gerek duyduğu yazılımların tümünü öngöremez. Bu durumlarda yönetici, yalnızca duyarlı davranıp karşılaştığı anda istenmeyen kodları tanımlayabilir. İstemcilerine gevşek davranan şirketler bu modele örnektir. Aşağıdaki durumlar buna örnektir:
Kolay yönetilen kişisel bilgisayarlar.
Ilımlı olarak yönetilen kişisel bilgisayarlar
Örneğin yönetici, çok sayıda kullanıcının dosya paylaşım uygulamaları çalıştırdığını ve ağın bant genişliğinde yük oluşturacak yüklemeler yaptıklarını öğrenirse, dosya paylaşım programını tanıyan ve çalışmasını engelleyen bir kural oluşturabilir. Kullanıcılar, çakışmalar oluşturduğu bilinen bir programı yüklerlerse, yönetici bu yazılımın kurulum programını tanıyan ve yüklenmesini engelleyen bir kural oluşturabilir.
Yazılım Sınırlama İlkeleri-Yerel Güvenlik Ayarları
Yazılım Tanıma Kuralları
Yönetici yazılımı aşağıdaki kurallardan biriyle tanır:
• Karma kuralı. Yazılım sınırlama ilkesinin MMC ek bileşeni yöneticiye, göz atarak dosyaya gitmesine ve karmasını hesaplayarak programı tanımasına olanak sağlar. Karma, bir programı veya dosyayı benzersiz şekilde tanımlayan dijital bir parmak izidir. Dosya yeniden adlandırılabilir veya başka bir klasöre veya bilgisayara taşınıp aynı karmaya sahip olmaya devam edebilir.
• Yol kuralı. Yol kuralı yazılımı, C:\Program Files\Microsoft Office\Office\excel.exe gibi tam bir yol adıyla veya C:\Windows\System32 gibi içerilen klasöre giden yol adıyla tanıyabilir. (Bu, aynı dizin ve alt dizindeki tüm programlar için geçerlidir.) Yol kuralları ayrıca %userprofile%\Local Settings\Temp gibi ortam değişkenleri de kullanabilir.
• Sertifika kuralı. Sertifika kuralı yazılımı, yazılıma dijital olarak imza atmak için kullanılan yayıncı sertifikası aracılığıyla tanır. Örneğin yönetici, yalnızca Microsoft veya BT organizasyonu tarafından imzalanmış yazılımların yüklenmesine izin veren bir sertifika kuralı yapılandırabilir.
• Bölge kuralı. Bölge kuralı, Internet, yerel intraneti güvenilen siteler veya sınırlanmış site bölgelerinden gelen yazılımı tanır.
Dijital Olarak İmzalanmış Yazılımı Denetleme
Yazılım sınırlama ilkeleri, aşağıdaki yollarla yöneticinin dijital olarak imzalanmış yazılımı denetleme yeteneğini iyileştirmesine yardım eder:
• Microsoft ActiveX® Denetimlerini Sınırlama. Yönetici, güvenilen yazılım yayıncısı sertifikalarını listeleyen bir yazılım sınırlama ilkesi kullanarak belirli bir etki alanı için Internet Explorer’da çalışacak ActiveX denetimlerini belirleyebilir. ActiveX denetiminin yayıncısı güvenilen yayıncılar listesindeyse yazılımı, yüklenmesi tamamlandığında otomatik olarak çalışır. Yazılım sınırlama ilkesi izin verilmeyen yayıncıları da listeleyebilir. Böylece bu yayıncıların imzaladığı ActiveX denetimlerinin çalıştırılması otomatik olarak engellenir.
Yazılım sınırlama ilkesi kullanılarak kimin bilinmeyen bir yayıncı (kesin olarak güvenildiği veya güvenilmediği belirtilmemiş) hakkında güvenli bir karar verebileceği de denetlenebilir. Yazılım sınırlama ilkeleri, güvenilebilecek yayıncı hakkında karar verme yetkisini ve kullanıcıların bu kararı vermelerini engelleme izninin yalnızca yerel yöneticilere veya etki alanı yöneticilerine verilmesi için ayarlanabilir.
• Windows Installer’ı kullanma. Windows Installer kullanılarak yüklenen programlar dijital olarak imzalanabilir. Yönetici yazılım sınırlama ilkesinin kullanarak yalnızca belirli yazılım yayıncıları tarafından dijital olarak imzalanmış yazılıma yüklenme izni verilmesini isteyebilir. Windows Installer, yazılımı bilgisayara yüklemeden önce onaylı bir imzanın varolup olmadığını doğrulamak için denetim yapar.
• Microsoft Visual Basic® Script’i Kullanma. Visual Basic Script dosyaları dijital olarak imzalanabilir. Yönetici yazılım sınırlama ilkesini, Visual Basic Script dosyalarının (.vbs), çalıştırılabilmeleri için onaylanmış yazılım yayıncıları tarafından dijital olarak imzalanmasını gerektirecek şekilde yapılandırabilir.
Internet İletişim Kuralı Güvenliği (IPSec)
IP tabanlı ağ güvenliğine olan gereksinim, bugünün Internet, intranet, şube ofisler ve uzaktan erişimle birbirine bağlı iş dünyasında neredeyse evrensel bir gereksinimdir. Sürekli ağlardan geçen önemli bilgiler nedeniyle, ağ yöneticileri ve diğer bilgi hizmeti çalışanları için bu trafiğin aşağıdaki önlemlerin alınmasını sağlamak her gün yeni güçlüklerin aşılması gerektiği bir iştir:
• Aktarım sırasında verilerin değiştirilmesini önlemek.
• Ele geçirilmeyi, görüntülenmeyi veya kopyalanmayı önlemek.
• Yetkisiz tarafların kimliğinize bürünmesini önlemek.
• Bilgilerin ele geçirilip daha sonra önemli kaynaklara erişmek için kullanılmasını önlemek; genelde şifrelenmiş parolalar bu biçimde kullanılabilir.
Bu güvenlik hizmetleri veri bütünlüğü, veri gizliliği, veri doğrulaması ve yeniden kullanılma koruması hizmetleridir.
IPSec Neden Gereklidir?
IP varsayılan bir güvenlik mekanizmasına sahip değildir ve IP paketlerinin okunması, değiştirilmesi, yeniden kullanılması ve kopyalanması kolaydır. Güvenlik olmaksızın hem genel, hem de özel ağlar, yetkisiz bir biçimde izlenmeye ve erişime açıktır. Dahili saldırıların nedeni en az düzeyde güvenlikten veya hiç güvenlik olmamasından kaynaklanabilirken, özel ağın dışındaki tehlikeler Internet ve extranet ile olan bağlantılardan gelmektedir. Parola tabanlı sistemlerde, tek başına kullanıcı erişimi denetimleri ağ üzerinden aktarılan verilerin korunması için yeterli değildir.
Bunun sonucunda ağ düzeyinde veri doğrulamasını, veri bütünlüğünü, veri gizliliğini ve yeniden kullanılma korumasını desteklemek üzere, IETF (Internet Mühendisliği Geçici İşbirliği Grubu) tarafından IPSec tasarlanmıştır. IPSec, intranet ve Internet iletişimlerini korumak üzere en iyi platformu sağlamak için Windows 2000 ve Windows XP Professional güvenliğiyle tümleşir. Organizasyonun güvenlik duvarının her iki tarafında tüm TCP/IP iletişimleri için güvenlik sağlamak üzere, endüstri standardı şifreleme algoritmaları ve kapsamlı güvenlik yönetimi girişimi kullanır. Sonuç, hem harici hem dahili saldırılara karşı savunma sağlayan Windows 2000 ve Windows XP Professional sıralı güvenlik stratejisidir.
IP güvenliği taşınma katmanının altında dağıtılarak ağ yöneticileri bir kerede bir uygulama için güvenlik dağıtma ve düzenlemenin zorluğu ve maliyetinden kurtarılır. Ağ yöneticileri Windows XP Professional ve Windows 2000 IPSec’i dağıtarak IPSec etkinleştirilmiş sunucular ve istemcilerden otomatik olarak uygulamalar alan tüm ağın korunması için güçlü bir katman sağlar.
IPSec-Yerel Güvenlik Ayarları
IP Güvenliğinin Ağ Saldırılarını Nasıl Önler?
Gerekli yerlerde güvenlik ölçümleri yapılmazsa, veriye saldırılabilir. Bazı saldırılar edilgendir; bilgiler yalnızca izlenir. Diğerleri etkindir; bilgiler, verileri veya ağı bozmak veya yok etmek amacıyla alınır.
Tablo 1 geçerli ağlarda bulunmuş bazı bilinen güvenlik tehlikelerini ve bunları önlemek için IPSec öğesinin nasıl kullanılacağını göstermektedir.
Tablo 1 Ağ Saldırıları Türleri ve IPSec Kullanılarak Önlenmeleri
Saldırı türü Açıklama IPSec saldırıyı nasıl önler?
Gizlice dinleme (algılama, gözetleme olarak da adlandırılır) Düz metnin veya şifrelenmemiş paketlerin izlenmesi. Veri, paketler izleniyor veya kesiliyorsa bile özgün veriye erişilmesini engelleyerek aktarımdan önce şifrelenir. Yalnızca eşler şifreleme anahtarını bilir.
Verinin değiştirilmesi Değiştirilmiş paketlerin değiştirilmesi ve aktarılması. Verileri karma haline getirmek, alıcı bilgisayar tarafından değişiklik bulmak üzere denetlenen her pakete şifreli bir sağlama toplamı ekler.
Kimlik aldatmacası Yalanla geçerli bir adresin kimliğini üstlenerek düzenlenmiş veya yakalanmış paketlerin kullanılması. Kerberos sürüm 5 iletişim kuralı, genel anahtar sertifikaları veya önceden paylaşılmış anahtarlarla güvenli iletişim başlamadan önce eşlerin kimliklerini doğrular.
Hizmetin reddedilmesi Geçerli kullanıcıların ağa erişimini engellemek. Ağı yoğun paket trafiğine boğmak örneklerden biridir. Bağlantı noktaları ve iletişim kuralları engellenebilir.
Ortadaki adam IP paketlerinin izlenmesi ve bir olasılıkla değiştirilmesi için habersiz bir kişiye bölünmesi. Eşlerin kimliklerinin doğrulanması.
Bilinen anahtar Verinin şifresini çözmek veya veriyi değiştirmek için kullanma. Windows XP Professional’da şifre anahtarları, yakalanmış anahtarların gizli bilgiye erişmek için kullanılması olasılığını azaltmak için düzenli olarak yenilenir.
Uygulama katmanı saldırısı Genelde uygulama sunucularına yöneltilen bu saldırı, ağın işletim sisteminde veya uygulamalarında hataya neden olmak için veya ağa virüs sokmak için kullanılır. Ağ katmanına IPSec uygulandığından, bu düzeyde güvenlik süzgeçlerine uymayan paketler uygulamaları ve işletim sistemlerini koruyarak asla uygulamalara geçemez.
Şifreleme Tabanlı Mekanizma
IPSec, şifreleme tabanlı mekanizmalar kullanarak saldırıları önler. Şifreleme, bilgiyi karma haline getirerek ve şifreleyerek güvenli bilgi aktarımına olanak tanır.
Bilgiyi güvenli hale getirmek için algoritma ve anahtardan oluşan bir birleşim kullanılır.
• Algoritma, bilginin güvenli hale getirildiği matematiksel işlemdir.
• Bir anahtar güvenli bilgiyi okumak, değiştirmek veya doğrulamak için gerekli gizli kod veya sayıdır.
IPSec, iletişim oturumunda gerekli güvenlik düzeyini belirlemek için ilke tabanlı bir mekanizma kullanır..!
Michael Kessler, Teknik Editör, Microsoft Corporation.
Bu yayında sözü edilen bazı öğeler gelecek Windows XP Professional Kaynak Seti'nde de bulunmaktadır.
Giriş
Windows® XP, bugüne kadar sunulmuş en güvenilir Windows sürümünü sağlar; Windows'un sağladığı en iyi güvenlik ve gizlilik özellikleriyle birlikte. Genel olarak, güvenilir, güvenli ve gizli bilgisayar kullanma deneyimi elde etmenize yardımcı olmak üzere Windows XP'nin güvenliği iyileştirilmiştir. Windows XP iki sürümü kullanılabilir; biri evde kullanılmak üzere Windows XP Home Edition diğeri de her boyuttan işlerde kullanılmak üzere Windows XP Professional'dır.
Windows XP Home Edition'daki güvenlik özellikleri, Internet'te alışveriş edip tarama yapmanızı da daha güvenli hale getirir. Windows XP Home Edition, Internet'e bağlı olduğunuzda (özellikle kablolu modem ve DSL gibi her zaman açık bulunan bağlantılar kullanıyorsanız) güvenlik işlemleri için size çok koruyucu bir savunma sağlayan, yerleşik Internet Bağlantısı Güvenlik Duvarı yazılımıyla birlikte gelir.
Windows XP Professional, Windows XP Home Edition'ın tüm güvenlik yeteneklerinin yanı sıra başka güvenlik yönetim özellikleri de içerir. Bu önemli yeni güvenlik özellikleri, BT harcamalarınızı azaltacak ve iş sistemlerinizi geliştirecektir.
Windows XP Home Edition
•
• Kişiselleştirilmiş Oturum Açma
• Hızlı Kullanıcı Değiştirme
• Kişisel Gizlilik
• Internet Bağlantısı Güvenlik Duvarı
• Paylaşılan Belgeler Klasörü
Windows XP Professional
• Ortak Güvenlik
• Denetlenen Ağ Erişimi
• Basit Paylaşım
• Boş Parola Sınırlamaları
• Şifreleme Dosya Sistemi
• Sertifika Hizmetleri
• Kimlik Bilgileri Yönetimi
• Hızlı Kullanıcı Değiştirme
• Kişisel Gizlilik
• Internet Bağlantısını Paylaşma
• Internet Bağlantısı Güvenlik Duvarı
• Yazılım Sınırlamaları İlkeleri
• Internet İletişim Kuralı Güvenliği
• Akıllı Kart Desteği
• Kerberos
Windows XP Home Edition’da Yeni Güvenlik Özellikleri
Windows XP Home Edition’da güvenlik hizmetleri esnek bir yapıda ve ev kullanıcısı olarak karşılaşacağınız çeşitli güvenlik ve gizlilik durumu dikkate alınarak güvenlik tasarlanmıştır. Microsoft® Windows NT® sürüm 4.0 ve Microsoft® Windows® 2000’deki güvenlik modelini kullandıysanız, Windows XP Home Edition’daki güvenlik özelliklerinin çoğu size tanıdık gelecektir. Öte yandan sistem güvenliğini yönetme yeteneğinizi iyileştirecek yeni özelliklerin yanı sıra, size tanıdık gelen özelliklerden bazılarının da önemli ölçüde değişmiş olduğunu göreceksiniz.
Örneğin, çevrimiçi sohbet etmek veya e-posta gönderip almak için Internet’i kullanıyorsanız, bilgisayar korsanlarının saldırılarına açık olabilirsiniz. Bu tür tehditlerden korunmak için Windows XP, çevrimiçi deneyiminizi daha da güvenli hale getiren gelişmiş güvenlik özellikleriyle donatılmıştır.
Yaşadığınız en üretken Windows kullanıcı deneyimine ulaşırken Windows XP Home Edition’ın siz ve bilgileriniz için daha güvenli bir ortam sağlayan önemli güvenlik ve gizlilik özelliklerine göz atalım.
Unutmayın: Windows XP Home Edition’ı bir çalışma grubunun parçası olarak veya tek başına çalıştığı bir ortamda kullanıyorsanız ve bilgisayarınız üzerinde yönetici haklarınız varsa, işletim sisteminin tüm güvenlik özelliklerine erişebilirsiniz. Windows XP Home Edition ile donatılmış bilgisayarınız bir ağın parçasıysa, güvenlik seçenekleri ağ yöneticisi tarafından belirlenecektir.
Kişiselleştirilmiş Oturum Açma
Windows XP ile, tüm aile bireylerinin kendilerine ait, oturumu ve parolası olan birer arabirimi olacaktır. Yeni eklenen bu güvenlik düzeyi, kimsenin önemli belgelerinize erişememesini veya kazayla silememesini sağlar.
Çocuklu bir evde yaşıyor olabilirsiniz, onlar için uygun olmayabilecek Internet sitelerini süzmek için değişik güvenlik sınırlarına sahip profiller ayarlayabilirsiniz.
Birden Çok Kişinin Kullandığı Bilgisayarlarda Hızlı Kullanıcı Değiştirme
Ev için tasarlanmış Hızlı Kullanıcı Değiştirme, bilgisayarı kullananların bilgisayarı yalnızca kendine ait olduğunu varsayarak kullanmasına izin verir. Kimsenin oturumunu kapatmaya veya başkasının dosyasının kaydedilip edilmeyeceğine karar vermeye gerek kalmaz. Bunun yerine Windows XP, Terminal Hizmetler teknolojisinden yararlanarak her kullanıcının verilerinin tamamen ayrılmasına olanak tanıyan, benzersiz kullanıcı oturumları açar. Kullanıcı parolasıyla açılan oturumlar diğer kullanıcılara karşı korunmuştur.
Windows XP Home Edition veya Windows XP Professional tek başına kullanılan veya bir çalışma grubunun parçası olan bir bilgisayara yüklendiğinde, Hızlı Kullanıcı Değiştirme varsayılan olarak etkinleştirilir. Windows XP Professional ile çalışan bir bilgisayarın bulunduğu bir etki alanına katılırsanız, Hızlı Kullanıcı Değiştirme’yi kullanamazsınız.
Hızlı Kullanıcı Değiştirme, bir ailenin tek bir bilgisayarı paylaşmasını kolaylaştırır. Örneğin, bir anne bilgisayarı mali kaynaklarıyla ilgili kullanıyorsa ve kısa süreliğine bilgisayarın başından ayrılması gerekiyorsa, oğlu kendi hesabına geçiş yapıp oyun oynayabilir. Mali kaynaklarla ilgili uygulama annenin hesabında çalışmaya devam eder. Tüm bunlar oturumu kapatmadan yapılır. Hoş Geldiniz ekranı bilgisayarda oturum açan her kullanıcı için ayrı ayrı resimlerle Şekil 1’de gösterildiği gibi, kolayca özelleştirilebildiğinden, kullanıcılar arasında geçiş yapmak kolaydır.
Kişisel Oturum Açma ve Hızlı Kullanıcı Değiştirme Hoş Geldiniz ekranı
Kişisel Gizlilik
Microsoft Internet Explorer sürüm 6.0, World Wide Web Konsorsiyumu (W3C) Gizlilik Tercihleri Platformu (P3P) standardını desteklediğindeni Web sitelerini ziyaret ettiğinizde kişisel bilgilerinizin üzerinde denetim sağlamanıza yardımcı olur. W3C’nin taraflarından biri olarak, Microsoft Web sitesi gizlilik ilkeleri için bir standardın geliştirilmesine yardım etmiştir. Bu standart, çevrimiçi ortamda paylaşacağınız bilginin miktarı hakkında bilinçli bir karar vermenize olanak tanır. Internet Explorer 6.0, ziyaret ettiğiniz Web sitelerinin W3C standartlarına uyup uymadığına karar verir ve kişisel bilgilerinizi girmeden önce bu sitelerin durumunu bildirir.
Internet Explorer 6.0’da kişisel bilgilerinizi açıklamaya ilişkin gizlilik tercihlerinizi tanımladıktan sonra, tarayıcı ziyaret ettiğiniz sitelerin P3P ile uyumlu olup olmadığını belirler. P3P ile uyumlu siteler için tarayıcı, gizlilik tercihlerinizi site için tanımlanmış gizlilik ilkeleriyle karşılaştırır. Internet Explorer, bu ilke bilgilerinin alışverişi için HTTP’yi kullanır. Tarayıcı, gizlilik tercihlerinizi temel alarak ilgili Web sitelerinde kişisel bilgilerinizi açıklayıp açıklamayacağına karar verir.
Tanımlama Bilgisi Yönetimi
P3P standardı Internet Explorer 6.0’da tanımlama bilgisi yönetimi özelliklerini de destekler. Tanımlama bilgisi, tek bir Web sitesinin özelleştirme özellikleri sağlamak için bilgisayarınıza kaydettiği küçük bir dosyadır. Örneğin, MSN® için özel ayarlar uyguladığınızda, bu bilgi bilgisayarınızda bir tanımlama bilgisi dosyası olarak saklanır. MSN daha sonra siteyi her ziyaret ettiğinizde tanımlama bilgisini okur ve belirlediğiniz seçenekleri görüntüler.
Gizlilik ilkelerinin parçası olarak P3P ile uyumlu Web siteleri, kendi tanımlama bilgileri için ilke bilgileri sağlayabilir. Gizlilik tercihlerinizi yapılandırdığınızda, Internet Explorer’ı tanımlama bilgilerine aşağıdakileri uygulaması için yapılandırabilirsiniz:
• Tanımlama bilgilerinin bilgisayarınızda depolanmasını önle.
• Başka şirkete ait, ziyaret edilen Web sitesiyle aynı etki alanı kaynaklı olmayan ve bu nedenle söz konusu Web sitesinin gizlilik ilkesince kapsanmayan tanımlama bilgilerini reddet, ancak tüm diğer tanımlama bilgilerinin bilgisayarda sakla.
• Tüm tanımlama bilgilerinin sizi uyarmadan bilgisayarınızda depolanmasına izin ver.
Tanımlama Bilgisi Yönetimi Gelişmiş Gizlilik Ayarları
P3P hakkında daha fazla bilgi için http://www.w3.org/ adresindeki W3C Web sitesine bakın.
Internet Bağlantısını Paylaşma
Internet Bağlantı Paylaşımı Ayarları (ICS), tek bir Internet bağlantısı kullanarak birden fazla bilgisayarı Internet’e bağlar. ICS ile kullanıcılar DSL, kablolu modem veya telefon hattı bağlantılarını birden fazla bilgisayar arasında güvenli bir şekilde paylaşabilir
ICS Nasıl Çalışır?
ICS ana bilgisayarı adı verilen bir bilgisayar, doğrudan Internet’e bağlanır ve bağlantısını ağda yer alan geri kalan bilgisayarların tümüyle paylaşır. İstemci bilgisayarları Internet’e erişim sağlamak için ICS ana bilgisayarına gereksinim duyar. Yalnızca ICS ana bilgisayarı Internet’te görünür olduğundan, CS etkinleştirildiğinde güvenlik yüksektir. İstemci bilgisayarlarla Internet arasındaki her türlü iletişim ICS ana bilgisayarından geçmek zorundadır. Bu işlemle istemci bilgisayarların adresleri Internet’ten gizli kalır. İstemci bilgisayarlar, ağın dışından görülemediklerinden korunaklıdır. Yalnızca ICS ile çalışan bilgisayar ortak taraftan görülebilir. Buna ek olarak, ICS ana bilgisayarı ağa yöneltmeyi de yönetir. ICS ana bilgisayarı kendine kalıcı bir adres atar ve ICS istemcilerine Dinamik Ana Bilgisayar Yapılandırma İletişim Kuralı (DHCP) sağlar. ICS ana bilgisayarı her ICS istemcisine benzersiz bir adres atayarak bilgisayarlara ağdaki diğer bilgisayarlarla iletişim kurma yolu sağlar.
Windows XP, tek bir Internet bağlantısını ICS üzerinden ev veya küçük işletme ağında birden fazla bilgisayarla paylaşma yeteneğini sağlar. Bu özellik ilk önce Windows 2000 Professional ve Windows 98 İkinci Sürüm’e eklendi ve Windows XP’de geliştirildi.
Ağ İletişim Kurallarını Kullanma
Windows XP’deki ICS özelliği, istemcilerin kullanıcı yapılandırmasını gereksiz kılarak eve kurulan ağa Ağ Adresi Çevirme (NAT), DHCP ve Etki Alanı Adı Hizmeti (DNS) sağlar.
Windows XP’deki DNS işlevselliği, eve kurulan ağın tüm istemcilerine ad çözümlemesi sağlamak üzere yerel DNS Çözümleyici’yi kapsayacak şekilde iyileştirilmiştir. DNS Çözümleyici’yle, Windows tabanlı olmayan ağ aygıtları ağ istemcileri için ad çözümlemesi yapabilir. Ad çözümlemesine gereksinim duyan Internet adları, çözümleme için Internet servis sağlayıcılarının DNS sunucularına iletilmeye devam eder.
Uzaktan Bulma ve Denetim İşlevselliği
ICS ayrıca uzaktan bulma ve denetim işlevselliği de içerir. Ağ istemcileri Evrensel Tak ve Kullan’ı kullanarak ICS ana bilgisayarının varlığını algılar ve Internet bağlantı durumunu sorgular ve belirler.
Evinizdeki başka bir kişisel bilgisayardan Internet’te tarama yapmak isterseniz, Windows XP ile çalışan kişisel bilgisayar (henüz bağlı değilse) diğer bilgisayarın adında otomatik olarak Internet’e bağlanır. Veya evin başka bir yerindeki istemci bilgisayarını kullanan kullanıcı, hazır bir Internet bağlantısının olup olmadığını öğrenip isterse telefonu sıradan sesli iletişim için kullanmak üzere Internet bağlantısını kesecektir. Bu, çevirmeli bağlantılarda dakika başına ücret ödendiği durumlarda yararlıdır. Bunun dışında, Internet’i kullanmadığınızda kapatmayı da tercih edebilirsiniz.
ICS’yi Ayarlama
Internet Bağlantısı Güvenlik Duvarı
Windows® XP yeni Internet Bağlantısı Güvenlik Duvarı (ICF) ile Internet güvenliği sağlar. Yıllarca işletmelerde kurulu ağlar güvenlik duvarları kullanarak kendilerini dışardan gelen saldırılardan korumayı başarmıştır. Windows XP, ICF koruma özelliğiyle aynı güvenliği tüketicilere sağlamaktadır. Bu, Windows XP’yi çalıştırır çalıştırmaz bilgilerinizin, bilgisayarlarınızın ve ailenizin verilerinin davetsiz konuklara karşı daha korumalı hale geleceği anlamına gelir.
Güvenliğe Olan Artan Gereksinim
Evlerde ve işletmelerde geniş bant Internet erişimi yaygınlaştıkça, kişisel bilgisayarları ve diğer aygıtları korumak ve bu ev ağları için yeterli bağlantıyı sağlamak için güvenlik ölçülerine gereksinim de artmaktadır. Internet’e bağlanmak için çevirmeli modem kullanan bilgisayarlar bile saldırıya karşı dayanıklı değildir.
Evde veya küçük bir işletmede kullanılmak üzere tasarlanmış ICF, doğrudan Internet’e bağlı Windows XP ile çalışan kişisel bilgisayarlar veya ICF ile çalışan Internet Bağlantısını Paylaşma ana bilgisayarına bağlı aygıtlar için koruma sağlar.
Internet Bağlantısı Güvelik Duvarı Nasıl Çalışır?
Windows XP ICF, güvenlik duvarındaki bağlantı noktalarının yalnızca ilgilendiğiniz hizmetlere erişmenizi sağlayacak kadar süre boyunca dinamik olarak açıldığı anlamına gelen, etkin paket süzme özelliğinden yararlanır. Genelde daha karmaşık kuruluş güvenlik duvarlarıyla ilişkili bu türden bir güvenlik duvarı teknolojisi, bilgisayar korsanı olmaya çalışanların bilgisayarınızın dosya ve yazıcı paylaşımları dahil, bağlantı noktalarını ve kaynaklarını taramasını engeller. Bu durum, harici saldırıları önemli ölçüde azaltır. ICF bağlantı başına temeline göre etkinleşir.
Bu güvenlik duvarı özelliği yerel alan ağları (LAN), Ethernet Üzerinden Noktadan Noktaya İletişim Kuralı (PPPoE), VPN veya çevirmeli bağlantılar tarafından kullanılabilir. PPPoE yeni bir IETF taslak standardıdır. Kablo modemleri veya dijital abone hatları üzerinden geniş bant bağlanabilirliğini, çevirmeli modem bağlantıları kadar kolay hale getirmek için kullanılır. Windows XP, bu kendiliğinden PPPoE desteğini içeren ilk işletim sistemidir.
Taşınabilir bilgisayarınızla yolculuk ederken Internet’e çevirmeli bağlantıyla veya başka şekillerde eriştiğinizde, ICF özelliği güvenlik için otomatik olarak etkinleştirilebilir.
Güvenlik Duvarı Korumasını Etkinleştirmek Kolaydır
Ağ Kurulum Sihirbazı’nı çalıştırdığınızda, bulabildiği etkin her Internet bağlantısında ICF2yi etkinleştirir. Bir bağlantının ICF kullanıp kullanmadığını iki kez denetlemek için:
Denetim Masası’nı açın.
Ağ ve Internet Bağlantıları’nı tıklatın.
Ağ Bağlantıları’nı tıklatın.
Internet bağlantınızı sağ tıklatıp Özellikler’i tıklatın.
Seçenekler iletişim kutunuzun Gelişmiş sekmesini tıklatın.
ICF’yi Etkinleştirme
Bağlantı Noktasını Eşleştirme
ICF varsayılan olarak kendisi için istekte bulunulmamış dahili trafiğin girişine izin vermez. Diğer insanlara bilgisayarınıza erişim izni vermeniz gerekiyorsa, örneğin, bilgisayarınız bir Web sitesine veya bir bilgisayar oyunun Internet oturumuna ev sahipliği yapıyorsa Windows XP, güvenlik duvarına belirli bağlantı noktalarında trafiğe izin veren aralıklar açmanıza olanak tanır. Buna “bağlantı noktası eşleştirme” adı verilir.
Paylaşılan Belgeler Klasörü
Paylaşılan klasörler kişisel klasörlerinizle aynı işleve sahiptir. Belgelerim, Resimlerim ve Müziğim. Paylaşılan Belgeler, Paylaşılan Resimler ve Paylaşılan Müzik, herkesin bilgisayarınızdan erişebileceği dosya, resim ve müzik kayıtları depolamanız için bir yer sağlar. Örneğin Can, annesinin denetleyebilmesi için ev ödevini Paylaşılan Belgeler’e koyabilir. Baba da, tüm ailenin görebilmesi için dijital tatil fotoğraflarını Paylaşılan Resimler’e koyabilir.
Ev bilgisayarları genelde güvenilen ortamda bulunduğundan, Windows XP ev kullanıcıları varsayılan olarak isteğe bağlı parola korumasıyla birbirinden ayrı, ancak erişilebilir dosya depolaması edinir. Bu adım, bir aileye tek bir bilgisayarda ve eve kurulan bir ağın birden fazla bilgisayarında kolaylıkla dosya, resim, müzik kayıtları ve videolar paylaşmasına izin verir.
Bununla birlikte, kendiniz için bir parola oluşturduğunuzda Windows, tüm alt klasörleriyle birlikte “Belgelerim” klasörünüzü kilitlemeyi teklif eder. Parolanız varsa ve gizlilik istiyorsanız bu yöntemle, bilgisayarın yönetimiyle ilgisi olmayan kullanıcılara karşı korunursunuz.
Not Bu, yalnızca sabit diskiniz NTFS’de biçimlendirilmişse geçerlidir; bu özellik sabit diskinizi dosya paylaşımı tablosu (FAT) veya FAT32’de biçimlendirilmişse çalışmaz.
Windows XP Professional için Yeni Güvenlik Özellikleri
Windows XP Professional, her boyuttan işletmenin tercih ettiği işletim sistemidir ve işletme bilgisayarları için en güvenilir güvenlik hizmetini sağlar. Windows XP Professional, işletmenizin ağı ve güvenliği için gereksinim duyduğunuz güvenlik özelliklerini içerir. Bu güvenlik özellikleri, BT harcamalarını azaltacak ve işinizle ilgili hizmetler oluşturmaya yoğunlaşabilmenize olanak tanıyacak yeni yönetim yetenekleri sunar.
Microsoft® Windows NT® 4.0 ve Microsoft® Windows® 2000’deki güvenlik modelini kullandıysanız, Windows XP Professional’daki özelliklerin birçoğu size tanıdık gelecektir. Aynı zamanda sistem güvenliğini yönetme yeteneğinizi iyileştirecek yeni özellikler ve size daha önceden tanıdık gelen özelliklerden bazılarının önemli ölçüde değişmiş olduğunu da göreceksiniz.
Unutmayın: Windows XP Professional’ı bir çalışma grubunun parçası olarak veya tek başına çalıştığı bir ortamda kullanıyorsanız ve bilgisayarınız üzerinde yönetici haklarınız varsa, işletim sisteminin tüm güvenlik özelliklerine erişebilirsiniz. Windows XP Professional ile çalışan bilgisayarınız bir etki alanının parçasıysa, seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Şirket Güvenliği
Windows XP Professional, işletmelere önemli verileri korumalarında yardımcı olmak için çok güçlü güvenlik özellikleri ve ağdaki kullanıcıları yönetmek için destek sağlar. Windows XP Professional’da kullanılabilir en iyi özelliklerden birisi Grup İlkesi nesnelerinin (GPO) kullanılmasıdır. GPO’lar sistem yöneticilerine, birden fazla bilgisayara tek bir güvenlik profili uygulamalarına ve isteğe bağlı olarak akıllı kartta depolanmış bilgileri kullanarak kullanıcıların kimliğini doğrulamak üzere akıllı kart teknolojisinden yararlanmalarına izin verir.
Güvenlik İyileştirmeleri
Windows XP Professional, işletmelerin seçilmiş dosyaları, uygulamaları ve diğer kaynakları korumak için kullanabilecekleri çeşitli özellikler içerir. Bu özellikler, erişim denetimi listeleri (ACL), güvenlik grupları ve Grup İlkesi’ni ve işletmelerin bu özellikleri yapılandırmaya ve yönetmeye izin veren araçları kapsar. Birlikte işletme ağları için güçlü ve esnek erişim denetimi altyapısı sağlarlar.
Windows XP, güvenlikle ilişkili tek tek gerçekleştirebilir binlerce ayar sunar. Windows XP işletim sistemi ayrıca, işletmelerin değişiklik yapmaya veya daha özelleştirilmiş güvenlik yapılandırmasının temeli olarak kullanmaya gerek olmadan gerçekleştirebileceği önceden tanımlanmış güvenlik şablonları da içerir. İşletmeler bu güvenlik şablonlarını aşağıdaki durumlarda uygulayabilir:
• Klasör veya dosya paylaşımı gibi bir kaynak oluşturup varsayılan erişim denetimi listesi ayarlarını kabul ederken veya özel erişim denetim listesi ayarları uygularken.
• Kullanıcıları Kullanıcılar, Güç Kullanıcılar ve Yöneticiler gibi standart güvenlik gruplarına yerleştirip bu güvenlik grupları için geçerli olan varsayılan ACL ayarları kabul ederken.
• İşletim sistemiyle birlikte sağlanmış Temel, Uyumlu, Güvenli ve Yüksek Güvenlikli Grup İlkesi şablonlarını kullanırken.
ACLS, güvenlik grupları ve Grup İlkesi gibi Windows XP güvenlik özelliklerinin her biri, belirli bir organizasyona uyacak şekilde değiştirilebilir varsayılan ayarlara sahiptir. İşletmeler ayrıca erişim denetimini gerçekleştirmek ve değiştirmek için de ilgili araçlardan yararlanabilirler. Microsoft Yönetimi Konsolu ek bileşenleri gibi araçların birçoğu Windows XP Professional’ın bileşenleridir. Diğer araçlar Windows XP Professional Kaynak Seti’nde bulunur.
Denetlenen Ağ Erişimi
Windows XP davetsiz konukları dışarıda tutmak için yerleşik güvenlik sağlar. Bunu, bir ağdan bilgisayarınıza “konuk” düzeyindeki ayrıcalıklarla erişmeyi deneyen herkesi sınırlayarak sağlar. Davetsiz konuklar zorla bilgisayarınıza girmeyi denerse ve parolaları tahmin ederek yetkisiz ayrıcalıklar ele geçirirse, başarısızlığa uğrayacaklardır veya yalnızca sınırlı, konuk düzeyinde erişim elde edeceklerdir.
Ağ Kimlik Doğrulamasını Yönetme
Windows XP Professional’i temel alan artan sayıda sistem, etki alanları yerine doğrudan Internet’e bağlanmaktadır. Bu da (değişik hesaplarla ilişkili güçlü parolalar ve izinler dahil) erişim denetimini her zamankinden daha önemli hale getirmektedir. Güvenlikten emin olmak için, çoğunlukla açık Internet ortamlarıyla ilişkili olan görece anonim erişimi denetim ayarları azaltılmalıdır.
Windows XP Professional varsayılan olarak, ağ üzerinden oturum açan her kullanıcıdan Konuk hesabını kullanmalarını gerekli kılar. Bu değişiklik, Internet aracılığıyla sisteme erişmeye çalışan bilgisayar korsanlarının, parolası olmayan yerel Yönetici hesabını kullanarak oturum açmalarını engellemek için tasarlanmıştır.
Basit Paylaşım
Varsayılan olarak bir etki alanına bağlı olmayan Windows XP Professional sistemleri, ağ üzerinden yapılan tüm oturum açma denemelerinde ağın Konuk hesabını kullanması sağlanmaktadır. Buna ek olarak, basit paylaşım güvenlik modelini kullanan bilgisayarlarda Güvenlik Özellikleri iletişim kutusunun yerine basitleştirilmiş bir Paylaşılan Belge Özellikleri iletişim kutusu kullanılır.
Konuk için Zorlama
Yerel hesapların paylaşım ve güvenlik modeli, Yalnızca Konuk güvenliği veya Klasik güvenlik modeli arasında seçim yapmanıza izin verir. Yalnızca Konuk modelinde, ağ üzerinden yerel bilgisayarda yapılan tüm oturum açma denemelerinde Konuk hesabı kullanılmaya zorlanır. Klasik güvenlik modelinde ağ üzerinden yerel bilgisayarda oturum açmayı deneyen kullanıcılar kimliklerini doğrular. Bu ilke, bir etki alanına katılmış bilgisayarlar için geçerli değildir. Değilse varsayılan olarak Yalnızca Konuk etkindir.
Kullanıcı hesabı etkinse ve parolası boşsa, oturum açmasına ve Konuk hesabının erişmekte yetkili olduğu tüm kaynaklara erişmesine izin verilir.
Yerel hesaplar kullanarak ağda oturum açanların Konuk olarak kimlik doğrulamasını zorla ilkesi etkinse, yerel hesaplar Konuk olarak kimlik doğrular. Bu ilke, ağdaki bilgisayara doğrudan bağlanan yerel hesabın Konuk kullanıcı olarak kimlik doğrulaması yapıp yapmamasını belirler. Bu ilkeyi, hedef bilgisayarın sistem kaynaklarına erişmeyi deneyen yerel bir hesabın izinlerini sınırlamak için kullanabilirsiniz. Bu ilkeyi etkinleştirirseniz, doğrudan bağlanmaya çalışan tüm yerel hesaplar genel olarak çeşitli şekillerde sınırlanan Konuk izinleriyle sınırlanır.
Boş Parola Sınırlaması
Hesaplarını parolayla korumayan kullanıcıları korumak üzere, parolasız Windows XP Professional hesapları yalnızca fiziksel bilgisayar konsolunda oturum açmak için kullanılabilir. Varsayılan olarak, parolaları boş hesaplar, artık ağ üzerindeki bilgisayarda uzaktan oturum açmak için veya temel fiziksel konsol oturum açma ekranı dışında başka hiçbir oturum açma etkinliğinde kullanılamaz. Örneğin, bir programı parolası boş yerel kullanıcı olarak başlatmak için ikincil oturum açma hizmetini (FarklıÇalıştır) kullanamazsınız.
Yerel hesaba parola atamak, ağ üzerinden oturum açmayı engelleyen sınırlamayı kaldırır. Ayrıca hesabın, ağ bağlantısıyla olsa bile, erişmekte yetkili olduğu her kaynağa erişmesine izin verir.
Dikkat Bilgisayarınız fiziksel olarak güvenli bir konumda değilse, tüm yerel kullanıcı hesaplarına parola atamanız önerilir. Bunu yapmamak, parolası olmayan hesap kullanan herkese, oturum açmak üzere bilgisayara fiziksel olarak erişim izni verir. Bu özellikle her zaman yerel tüm kullanıcılarda güçlü parolalara sahip olması gereken taşınabilir bilgisayarlar için önemlidir.
Not Bu sınırlama etki alanı hesapları için geçerli değildir. Yerel konuk hesabı için de geçerli değildir. Konuk hesabı etkinse ve parolası boşsa, oturum açmasına ve konuk hesabının erişmekte yetili olduğu tüm kaynaklara erişmesine izin verilir.
Ağda parolasız oturum açılmasına izin vermeyen sınırlamayı devre dışı bırakmak istiyorsanız, bunu Yerel Güvenlik İlkesi’yle yapabilirsiniz.
Şifreleme Dosya Sistemi
Şifreleme Dosya Sistemi’nin (EFS) artırılmış işlevselliği, ortak kullanıcılara şifrelenmiş veri dosyalarını temel alarak güvenlik çözümleri dağıtırlarken daha fazla esneklik sağlayarak Windows® XP Professional’ın gücünü önemli ölçüde artırmıştır.
EFS Mimarisi
EFS, genel anahtar şifrelemesini temel alır ve Windows XP’deki CryptoAPI mimarisinden yararlanır. EFS’nin varsayılan yapılandırması hiçbir yönetici çaba gerektirmez; dosyaları hemen şifrelemeye başlayabilirsiniz. EFS otomatik olarak şifreleme anahtar takımı ve henüz yoksa, kullanıcı için bir sertifika oluşturur.
EFS, şifreleme algoritma olarak genişletilmiş Veri Şifreleme Standardı’nda (DESX) veya Üçlü DES (3DES) öğesini kullanabilir. Şifreleme hizmeti sağlayıcıların (CSP) işletim sisteminde içerdiği RSA Temeli ve RSA Geliştirilmiş yazılımı, EFS sertifikaları ve simetrik şifreleme anahtarlarının şifrelenmesi için kullanılabilir.
Klasör şifrelediğinizde, şifrelenmiş klasördeki veya bu klasöre eklenen tüm dosya ve alt klasörler otomatik olarak şifrelenir. Dosya dönüşümü sırasında sabit diskinizde düz metin şeklinde geçici dosyaların oluşturulmasını önlemek için bu klasör düzeyinde şifrelemeniz önerilir.
EFS ve NTFS
Şifreleme Dosya Sistemi (EFS), NTFS dosya sistemini kullanarak diskte saklanan dosyalardaki önemli verileri korur. EFS, NTFS birimlerinde saklanan dosyaları şifrelemek ve şifrelerini çözümlemek için kullanılan temel teknolojidir. Yalnızca korunan bir dosyayı şifreleyen kullanıcı dosyayı açabilir ve dosyayla çalışabilir. Bu özellikle taşınabilir bilgisayar kullanıcıları için yararlıdır; çünkü kayıp veya çalınmış dizüstü bilgisayarına erişildiğinde bile, diskteki hiçbir dosyaya erişilemez. Windows XP için, EFS artık Çevrimdışı Dosyalar ve Klasörler ile çalışmaktadır.
EFS ile dosya ve klasörleri tek tek şifreleyebilirsiniz. Şifrelenmiş dosyalar, bir bilgisayar korsanı sistem güvenliğini yeni bir işletim sistemi kurarak aşsa bile, gizli kalır. EFS endüstri standart algoritmalarla güçlü şifreleme sağlar ve NTFS uyumlu şekilde tümleştirilmiş olduğundan kullanımı kolaydır. Windows® XP Professional için EFS, şifrelenmiş dosyaları paylaşmak veya veri kurtarma aracılarını devre dışı bırakmak için yeni seçenekler sunar ve Grup İlkesi ve komut satırı yardımcı programları aracılığıyla yönetimi kolaylaştırır.
Dosya Güvenliğini Sağlama
Oturum açma kimlik doğrulaması veya dosya izinleri ağ kaynaklarını yetkisiz erişimden korumak gibi güvenlik özellikleri. Bununla birlikte, bilgisayara fiziksel erişim elde eden herkes ilgili bilgisayara yeni bir işletim sistemi kurabilir ve böylece varolan işletim sisteminin güvenliğini aşabilir. Önemli bilgiler bu şekilde açıklanabilir. EFS aracılığıyla önemli dosyaları şifrelemek güvenliğe bir katman daha ekler. Dosyalar şifrelendiğinde verileri, bir bilgisayar korsanı bilgisayarın veri deposuna tam erişim elde ettiğinde bile korunur.
Yalnızca yetkili kullanıcılar ve belirlenmiş veri kurtarma aracıları şifrelenmiş dosyaların şifresini çözebilir. Dosya için izni (Sahiplik Al izni olanlar bile) olan diğer sistem hesapları yetki almadan dosyayı açamazlar. Hesabı veri kurtarma aracısı olarak belirlenmemiş bir yönetici hesabı da dosyayı açamaz. Yetkisiz bir kullanıcı şifreli dosyayı açmayı denerse erişim engellenir.
EFS Yerel Güvenlik Ayarları
EFS Nasıl Çalışır?
EFS, bilgisayara fiziksel erişimi olan kişilerin isteyerek veya istemeyerek gizli bilgilere ulaşabileceği durumlarda bu gizli bilgileri depolamanıza olanak tanır. EFS özellikle taşınabilir bilgisayarların veya çok sayıda kullanıcı tarafından paylaşılan bilgisayarların önemli verilerini güvenli hale getirmek için yararlıdır. Her iki sistem de ACL düzenlemelerinin getirdiği sınırlamalarını aşabilen teknikler tarafından saldırıya uğramaya açıktır.
Bilgisayar korsanı, paylaşılan sistemlerde farklı bir işletim sistemini başlatarak erişim sağlayabilir. Bilgisayar korsanı ayrıca bilgisayarı çalabilir, sabit diski/diskleri çıkarabilir, diski/diskleri başka bir sisteme takıp depolanan dosyalara erişebilir. Korsanlar şifre çözme anahtarına sahip değilse, EFS ile şifrelenen dosyalar anlaşılmaz karakterler olarak görüntülenir.
EFS, NTFS ile uyumlu bir şekilde tümleştirilmiş olduğundan, dosya şifrelemesi kolay anlaşılırdır. Dosyayı açtığınızda, EFS tarafından diskten okunan veri olarak şifresi çözülür. Dosyayı kaydettiğinizde EFS veriyi, diske yazılmış veri olduğunu kabul ederek şifreler. Yetkili bir kullanıcı olarak dosyanın şifrelenmiş olduğunu bile fark edemeyebilirsiniz, çünkü bu dosyalarla her zamanki gibi çalışabilirsiniz.
EFS, varsayılan yapılandırmasında, dosyaları hiçbir yönetici çabası gerekmeden Windows Explorer’da şifrelemenize olanak tanır. Kullanıcı bakış açısından dosyanın şifrelenmesi, dosya özelliğini belirlemek kadar basittir. Şifreleme özelliği dosya klasörü için de belirlenebilir. Klasörde oluşturulan veya klasöre eklenen her dosya otomatik olarak şifrelenir.
EFS’yi Ortamınıza Göre Yapılandırma
EFS varsayılan olarak etkindir. Dosyaları değiştirme izniniz varsa, dosyaları şifreleyebilirsiniz. EFS, dosyaları şifreleme için genel anahtara bağlı olduğundan, genel/özel anahtar takımına ve şifreleme için genel anahtar sertifikasına gereksiniminiz var. EFS kendi imzaladığı sertifikaları da kullanabildiğinden, kullanılmak için yönetici çabası gerektirmez.
EFS ortamınıza uygun değilse veya şifrelemek istemediğiniz dosyalarınız varsa, EFS’yi çeşitli yollarla devre dışı bırakabilirsiniz. EFS’yi organizasyonunuzun gereksinimlerine göre ayarlayabilmek için de çok sayıda yol vardır.
EFS’yi kullanmak için tüm kullanıcıların EFS sertifikaları olmalıdır. Şu anda Genel Anahtar Altyapısı (PKI) öğeniz yoksa, işletim sisteminin otomatik olarak oluşturup kendi imzaladığı sertifikaları kullanabilirsiniz. Bununla birlikte sertifika yetkilileriniz varsa, EFS sertifikaları sağlamaları için onları yapılandırmak isteyebilirsiniz. Sisteminizde EFS kullanırsanız ayrıca bir olağanüstü durum kurtarma planını göz önünde bulundurmanız gerekecek.
Neler Şifrelenebilir?
NTFS birimlerinde yer alan tek tek dosyalar ve dosya klasörleri (veya alt klasörler) şifreleme özelliğiyle ayarlanabilir. Genelde, şifreleme özelliğine sahip dosya klasörlerinden “şifrelenmiş” olarak söz edilmesine rağmen, klasörün kendisi şifreli değildir ve dosya klasörünün şifreleme özelliğini ayarlamak için genel/özel anahtar takımı gerekmez. Şifreleme klasör için ayarlandıysa, EFS otomatik olarak aşağıdakileri şifreler:
• Klasörde oluşturulan tüm yeni dosyalar.
• Klasöre kopyalanan veya taşınan tüm düz metin dosyalar.
• İsteğe bağlı olarak varolan tüm dosyalar ve alt klasörler.
Windows 2000’da istemci tarafı önbelleklemesi olarak bilinen Çevrimdışı Dosyalar da EFS aracılığıyla şifrelenebilir.
Çevrimdışı Dosyaları Şifreleme
Windows 2000 tarafından aktarılan istemci tarafı önbelleklemesi işlevselliği artık Çevrimdışı Dosyalar olarak adlandırılmaktadır. Bu, ağ kullanıcılarına istemci bilgisayarının ağ bağlantısı kesildiğinde bile, ağ paylaşımlarındaki dosyalara erişmelerine izin veren bir Microsoft IntelliMirror® yönetim teknolojisidir. Ağ bağlantısı kesildiğinde, istemci bilgisayarında önbellekleme yapıldığından, gezgin kullanıcılar göz atmaya, okumaya ve dosyaları düzenlemeye devam edebilir. Kullanıcı daha sonra sunucuya bağlandığında sistem, sunucuyla arasındaki değişiklikleri karşılaştırır.
Windows XP Professional istemcisi çevrimdışı dosyaları ve klasörleri şifrelemek için EFS’yi kullanabilir. Bu özellik özellikle düzenli aralıklarla çevrimdışı çalışmaya ve veri güvenliği sağlamaya gerek duyan seyahat eden çalışanlar için caziptir.
Çevrimdışı Dosyalar Veritabanını Şifreleme
Çevrimdışı Dosyalar veritabanını şifreleme olanağına sahipsiniz. Önbelleğe alınmış dosyaların şifrelenemediği yerde Windows 2000 üzerinde yapılmış bir iyileştirmedir. Windows XP, yerel olarak önbelleğe alınmış tüm belgeleri hırsızlığa karşı korurken, aynı zamanda yerel olarak önbelleğe alınmış veriler için ek güvenlik sağlamak için Çevrimdışı Dosyalar veritabanını şifreleme olanağı verir.
Örneğin, önemli verilerinizi güvenle saklarken çevrimdışı dosyalarınızı kullanabilirsiniz. BT yöneticisiyseniz, bu özelliği yerel olarak önbelleğe alınmış tüm belgeleri korumak için kullanabilirsiniz. Çevrimdışı Dosyalar, gizli bilgileri Çevrimdışı Dosyalar önbelleğine kaydedilmiş taşınabilir bilgisayarınız çalınırsa mükemmel bir koruma oluşturur.
Bu özellik, çevrimdışı veritabanının tamamının şifrelenmesini ve şifresinin çözülmesini destekler. Çevrimdışı dosyaların nasıl şifreleneceğini yapılandırmak için yönetici ayrıcalıkları gereklidir. Çevrimdışı dosyaları şifrelemek için Bilgisayarım’daki Araçları’ın altındaki Klasör Seçenekleri’ne gidip Veriyi güvenli hale getirmek için şifrele seçeneğini işaretleyin.
Çevrimdışı Dosyalar Veritabanını şifreleme
Dosya Paylaşımları ve Web Klasörleri’nde Uzaktan EFS İşlemleri
Ağ dosya paylaşımları veya Web Üzerinde Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) Web klasörlerinde depolanan dosyaları şifreleyebilir veya şifrelerini çözebilirsiniz. Dosya paylaşımlarıyla karşılaştırıldığında, Web klasörlerinin birçok yararı vardır ve Microsoft, şifrelenmiş dosyaların uzaktan depolanması için olası her zaman Web klasörlerinin kullanımını önermektedir.
Web klasörleri, dosya paylaşımlarından daha az yönetimsel çaba gerektirir ve daha güvenlidir. Web klasörleri ayrıca, standart HTTP dosya aktarımlarını kullanarak şifrelenmiş dosyaları güvenli bir şekilde depolayabilir ve teslim edebilir. Uzaktan EFS işlemleri için dosya paylaşımları kullanabilmek için Windows 2000 veya daha üstü bir etki alanı ortamı gereklidir. Bu, EFS’nin, kullanıcı için dosya şifrelemek veya şifre çözmek üzere Kerberos iletişim kuralı temsilcisi aracılığıyla kullanıcıyı kimliğe büründürmesi zorunlu olduğundan gereklidir.
Anahtar Farkı
Dosya paylaşımları ve Web klasörlerinde depolanan dosyalarda yapılan uzaktan EFS işlemlerde karşılaşılan birincil fark işlemlerin ortaya çıktığı yerdir.
Dosyalar dosya paylaşımlarında depolanıyorsa EFS işlemleri, dosyaların depolandığı bilgisayarda ortaya çıkar. Örneğin, ağ dosya paylaşımına bağlanıp daha önce şifresini çözdüğünüz bir dosyayı açmayı seçerseniz, dosyanın şifresi, depolandığı bilgisayarda çözülür ve düz metin biçiminde ağ üzerinden bilgisayarınıza aktarılır.
Dosyalar Web klasörlerinde depolanıyorsa, tüm EFS işlemleri yerel bilgisayarınızda ortaya çıkar. Örneğin, bir Web klasörüne bağlanıp önceden şifresini çözdüğünüz bir dosyayı açmayı seçerseniz, dosya, bilgisayarınıza aktarıldığı sırada şifrelenmiş kalır ve şifresi EFS tarafından bilgisayarınızda çözülür.
EFS işlemlerinin ortaya çıktığı yerin farklılığı ayrıca, dosya paylaşımlarının Web klasörlerinden daha fazla yönetimsel yapılandırma gerektirdiğini de açıklar.
Web Klasörü Ortamında Uzaktan EFS İşlemleri
Web klasörlerinde depolanan şifrelenmiş dosyaları açtığınızda, dosyalar dosya aktarımı sırasında şifreli kalır ve EFS tarafından yerel olarak şifreleri çözülür. Bilgisayarınızdan Web klasörlerine ve Web klasörlerinden bilgisayarınıza yüklemeler ham veri aktarımlarıdır; bir bilgisayar korsanı, şifrelenmiş dosyanın aktarımı sırasında veriye erişse bile, ele geçirilen veriler şifrelidir ve kullanılamaz.
Web klasörlü EFS, şifrelenmiş dosyaları kullanıcılar, işletmeler veya organizasyonlar arasında güvenli bir şekilde paylaşmak özelleştirilmiş yazılımın gerekliliğini ortadan kaldırır. Dosyalar, EFS aracılığıyla güçlü güvenlik sağlanırken kolay erişilir olmaları için ortak intranet dosya sunucularında veya Internet topluluklarında depolanabilir.
WebDAV Redirector
WebDAV Redirector, HTTP sürüm 1.1 standardının uzantısı olarak HTTP üzerinden uzaktan dosya paylaşımı için kullanılan WebDAV iletişim kuralını destekleyen küçük bir yeniden yönlendiricidir. WebDAV yeniden yönlendirici, varolan uygulamaların kullanımını destekler ve Internet’ten (örneğin, güvenlik duvarları, yönlendirici) HTTP sunucularına kadar dosya paylaşımına izin verir. Internet Information Services (IIS) sürüm 5.0 (Windows 2000) Web klasörlerini destekler.
Web klasörlerine dosya paylaşımlarına eriştiğiniz yoldan erişebilirsiniz. Bir ağ sürücüsünü, Ağ Kullan komutunu kullanarak veya Windows Explorer aracılığıyla Web klasörüyle eşleştirebilirsiniz. Web klasörüne bağlanıp bağlanmadığınıza göre, dosya paylaşımlarındaki dosyalarla olduğu gibi, dosyaları kopyalamayı, şifrelemeyi veya şifresini çözmeyi seçebilirsiniz.
Sertifika Hizmetleri
Sertifika Hizmetleri, bir işletmeye kendi sertifika yetkiliniz (CA) olduğunu varsayarak davranmasına ve dijital sertifikaları düzenleyip yönetmesine izin veren temel işlemin bir parçasıdır. Windows XP Professional, CA hiyerarşisinin ve çapraz sertifikalı güven ağının birden fazla düzeyini destekler: Bu çevrimdışı ve çevrimiçi sertifika yetkililerini içerir.
Sertifika ve Genel Anahtar Depolama
Windows XP Professional genel anahtar sertifikalarınızı kişisel sertifika depolama alanında depolar. Sertifikalar ortak bilgi olduklarından düz metin olarak depolanırlar ve izinsiz veya uygun olmayan değişikliğe karşı korunmak üzere sertifika yetkilileri tarafından dijital olarak imzalanırlar.
Kullanıcı sertifikaları her kullanıcı profilinin Documents and Settings\kullanıcıadı\ApplicationData\ Microsoft\SystemCertificates\My\Certificates dizininde yer alır. Bu sertifikalar, bilgisayarınızda her oturum açtığınızda sistem kayıt defterindeki kişisel depolama alanına yazılır. Sertifikalarınız, gezici profiller için herhangi bir yerde depolanabilir ve aynı etki alanında başka bir bilgisayarda oturum açtığınızda sizi izler.
Özel Anahtar Depolama
Temel CSP ve Gelişmiş CSP dahil, Microsoft’u temel alan şifreleme hizmet sağlayıcılarının (CSP) özel anahtarları, KökDizini\Documents and Settings\kullanıcıadı\Application Data\Microsoft\Crypto\RSA altındaki kullanıcı profilinde yer alır.
Gezici kullanıcı profilinde özel anahtar, etki alanı denetleyicisindeki RSA klasöründe yer alır ve bilgisayar oturumunuzu kapatana veya bilgisayarı yeniden başlatana kadar bilgisayarda yüklü kalır.
Özel anahtarların korunması gerektiğinden, RSA klasöründeki tüm dosyalar, kullanıcının ana anahtarı olarak adlandırılan rasgele, simetrik bir anahtarla otomatik olarak şifrelenir. Kullanıcının ana anahtarının uzunluğu 64 bayttır ve güçlü rasgele sayı üretici tarafından oluşturulmuştur. 3DES anahtarları ana anahtardan türetilmiştir ve özel anahtarları korumak için kullanılırlar. Ana anahtar otomatik olarak üretilir ve düzenli aralıklarla yenilir.
Ana anahtarı diske kaydedilirken parolanızın bir parçasını temel alan bir anahtar tarafından üçlü DES korumalıdır. RSA klasöründeki her dosyayı oluşturulduğu anda otomatik olarak şifreler.
Kullanıcı Sertifika Otomatik Kayıt
Windows 2000 kullanıcı otomatik kaydı sundu. Bilgisayar için otomatik kayıt veya etki alanı denetleyicisi sertifikaları Grup İlkesi ve Microsoft Active Directory™ aracılığıyla etkinleştirilir. Bilgisayar sertifikalarının otomatik kaydı, Windows XP Yönlendirme ve Uzaktan Erişim sunucularının ve diğer benzer aygıtlarla IPSec veya L2TP/IPSec VPN bağlantısını kolaylaştırmak için yararlıdır.
Sertifika otomatik kaydı, sahipliğin toplam maliyetini düşürür ve kullanıcılarla yöneticiler için sertifika yönetimi ömür döngüsünü basitleştirir. Otomatik akıllı kart kaydı ve otomatik kayıt yetkilisi özellikleri, kuruluş platformundaki kullanıcılar için, güvenlik bilinci olan organizasyonlar için basitleştirilmiş güvenlik işlemlerinin yanı sıra gelişmiş güvenlik sağlar.
Bekleyen Sertifika İstekleri ve Yenilemesi
Windows XP Professional’daki kullanıcı otomatik kaydı, hem bekleyen sertifika isteklerini, hem de yenileme özelliklerini destekler. Windows .NET Server CA’da el ile veya otomatik olarak sertifika isteyebilirsiniz. Bu istek, yönetimsel onay alınana veya onay işlemi tamamlanana dek bekletilir. Sertifika onaylandıktan veya düzenlendikten sonra otomatik kayıt işlemi tamamlanır ve otomatik olarak sertifikalarınızı yükler.
Süresi dolan kullanıcı sertifikaların yenilenme işlemi de otomatik kayıt mekanizmasından yararlanır. Sertifikalar Active Directory’deki sertifika şablonundaki belirtimlere bağlı olarak otomatik olarak kullanıcı adına yenilenir.
Sertifikalar ve anahtarlar varsayılan olarak korunur. Buna ek olarak, daha fazla koruma sağlamak için isteğe bağlı güvenlik ölçüleri de uygulayabilirsiniz. Sertifikalarınızın ve anahtarlarınızın güvenliğini artırmanız gerekiyorsa, özel anahtarları verip güvenli bir yerde saklayabilirsiniz.
Otomatik Kayıt Ayarları Özellikleri
Kimlik Bilgileri Yönetimi
Windows XP’deki Kimlik Bilgileri Yönetimi’nin üç bileşeni vardır: Kimlik bilgileri istemi kullanıcı arabirimi, depolanmış kullanıcı adları ve parolalar ve anahtar halkası. Bu üç bileşen birlikte tek bir oturum açma çözümü oluşturur.
Kimlik Bilgisi İstemi
Kimlik bilgileri istemi kullanıcı arabirimi, kimlik doğrulama paketinden kimlik doğrulama hatası döndüğünde bir uygulama tarafından görüntülenir. (Bu, yalnızca kullanıcı arabirimini uygulamış uygulamalarda kullanılabilir.)
İletişim kutusuna kullanıcı adı ve parolası girebilir veya Depolama Alanım nesnesinden X.509 sertifikasını seçebilirsiniz. Bu uygulama ayrıca, daha sonra kullanılmak üzere kimlik bilgilerini depolamanıza izin veren Parolamı anımsa onay kutusunu görüntüleme seçeneğine sahiptir.
Yalnızca tümleşik kimlik doğrulama paketleri (örneğin, Kerberos iletişim kuralı, NTLM, SSL vs.) kimlik bilgilerinin kaydedilmesine izin verir. Temel kimlik doğrulaması için kimlik bilgileri istemi kullanıcı arabirimini görüntülemeye devam edecektir, ancak kimlik bilgilerinizi kaydetme olanağınız olmayacaktır.
Kimlik Bilgileri Kullanıcı Arabirimi İstemi
Depolanan Kullanıcı Adları ve Parolalar
Depolanan Kullanıcı Adları ve Parolalar, kaydedilmiş kimlik bilgilerinizin saklandığı, güvenli gezinilebilir depolama alanıdır. Kimlik bilgilerine erişim Yerel Güvenlik Ayarları (LSA) tarafından denetlenir. Kimlik bilgileri, kaynak tarafından döndürülen hedef bilgileri temel alarak depolanır.
Kimlik bilgileri istemi kullanıcı arabirimindeki Parolamı anımsa onay kutusunu işaretleyerek kimlik bilgisini kaydettiğinizde, kimlik bilgisi olası en genel biçimde kaydedilir. Örneğin, bir etki alanında yer alan belirli bir sunucuya eriştiğinizde, kimlik bilgisi *.domain.com olarak kaydedilebilir. Bu etki alanındaki farklı bir sunucu için kaydedilen farklı kimlik bilgisi, bu kimlik bilgisinin üzerine yazılmaz. Daha belirli hedef Bilgiler karşılığında kaydedilir.
Kaynağa, tümleşik kimlik doğrulama paketi aracılığıyla erişildiğinde, kimlik doğrulama paketi kaynağın döndürdüğü hedef Bilgisi’yle en iyi eşleşen kimlik bilgisini bulmak üzere depolanmış kullanıcı adlarına ve parolalara bakar. Bu kimlik bilgisi bulunduğunda, herhangi bir etkileşimde bulunmanıza gerek kalmadan, kimlik doğrulama paketi tarafından kullanılacaktır. Kimlik bilgisi bulunamadığında, kaynağa erişmeyi deneyen uygulama için bir kimlik doğrulama hatası döndürülür.
Not Bu kesintisiz kimlik doğrulamasını kullanmak için kaynağa erişen uygulamanın kimlik bilgileri istemi kullanıcı arabirimini uygulamış olması gerekmemektedir. Uygulama tümleşik paket kullanıyorsa, kimlik doğrulama paketi kimlik bilgisini almayı deneyecektir. Kimlik bilgisini girdiğinizde, bu bilgi yalnızca kimlik doğrulama paketi tarafından alınabilir.
Kolay Parola Yönetimi Kullanıcı Arabirimi (Çalışma Grubunda Windows XP Home Edition ve Windows XP Professional)
Anahtar Halkası
Anahtar halkası, kullanıcı adları ve parolalarında depolanan kimlik bilgilerini el ile yönetmenize izin verir. Anahtar halkasına, kullanıcı hesaplarının Denetim Masası uygulaması üzerinden erişilir.
Anahtar halkasında, şu anda içinde kullanıcı adları ve parolalarının depolandığı kimlik bilgilerinin listesini göreceksiniz. Vurgulanan her kimlik bilgisi için ekranın alt bölümündeki açıklama alanında kimlik bilgisinin kısa açıklaması görüntülenir. Burada yeni kimlik bilgisi ekleyebilir, varolan kimlik bilgisini düzenleyebilir veya kaldırabilirsiniz.
• Kimlik bilgisi ekleme. Kimlik bilgisi eklemeniz için, kimlik bilgisi istemi kullanıcı arabirimine benzer bir kullanıcı arabirimi görüntülenir ve hedef bilgileri girmeniz gerekir. Hedef bilgilerinde “*” şeklinde joker karakterlerin kullanılabildiğini unutmayın.
• Kimlik bilgisi düzenleme. Kimlik bilgisini düzenleme, hedef bilgisini veya kimlik bilgilerini değiştirmenize olanak tanır. Bu bir kullanıcı adı ve/veya parola kimlik bilgisiyse, sunucudaki parolayı buradan değiştirebilirsiniz. Bir uygulama tarafından özellikle oluşturulmuş kimlik bilgileri istemi kullanıcı arabirimini kullanamazsınız. Örneğin, pasaport kimlik bilgilerini değiştiremezsiniz.
• Kimlik bilgisini kaldırma. Kimlik bilgilerinin tümünü kaldırabilirsiniz.
Kimlik bilgilerini depolanan kullanıcı adları ve parolalarında kaydetme yeteneği Grup İlkesi aracılığıyla açılıp kapanabilir.
Diğer yazılım geliştiricilerine bu mekanizmayı kullanmalarına izin vermek için, kimlik bilgileri istemi API’si ve temel kimlik bilgileri API’si Platform Yazılım Geliştirme Seti’nde (SDK) belgelenmiştir.
Hızlı Kullanıcı Değiştirme
Windows® XP Home Edition’da kullanılabilir Hızlı Kullanıcı Değiştirme özelliklerinin tümü Windows XP Professional’da bulunmaktadır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Hızlı Kullanıcı Değiştirme konusuna bakın.)
Bir etki alanına bağlı olmayan ve Windows XP Professional kullanan bilgisayarlarda, oturum kapatmadan veya uygulamalarınızı kapatmadan bir kullanıcı hesabından diğerine geçiş yapabilirsiniz.
Not Windows XP Professional işletim sistemindeki Hızlı Kullanıcı Değiştirme özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, bilgisayarda oturum açma seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Kişisel Gizlilik
Windows XP Home Edition ile çalışan kullanıcıları ilgilendiren gizlilik konuları, Windows XP Professional ile çalışan kullanıcıları etkileyenlerle aynıdır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Kişisel Gizlilik konusuna bakın.)
Not: Windows XP Professional’ı bir çalışma grubunun parçası veya tek başına yapılandırmalı olarak kullanıyorsanız, kullanabileceğiniz gizlilik özellikleri, bir etki alanının parçası olan bilgisayarın gizlilik özelliklerinden farklı olabilir. Bilgisayarınız bir etki alanının parçasıysa, sistem yöneticisi tarafından belirlenen ilkeler öncelik kazanır.
Internet Bağlantısını Paylaşma
Windows XP Home Edition’da kullanılabilir ICS özelliklerinin tümü Windows XP Professional’da bulunmaktadır. (Ayrıntılar için bu belgenin Windows XP Home Edition bölümündeki Internet Bağlantısını Paylaşma konusuna bakın.)
ICS’deki Konuma Duyarlı Grup İlkesi
Windows XP Professional’daki ICS’ye özgü olan, konuma duyarlı bir grup ilkesinin olmasıdır. Bu, gezici kullanıcılar için yararlı bir özelliktir. Windows XP Professional bilgisayarı bir etki alanının parçasıysa, etki alanı yöneticisi, Internet Bağlantısı Paylaşma özelliğinin şirket ağında kullanımını engelleyen bir grup ilkesi oluşturabilir. Bilgisayarınızı eve götürdüğünüzde, ilke evdeki ağınızla ilgili olmadığından Internet Bağlantısını Paylaşma özelliğini kullanabilirsiniz.
Not: Not Windows XP Professional işletim sistemindeki Internet Bağlantısını Paylaşma özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, Internet’e bağlanma seçenekleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Internet Bağlantısı Güvenlik Duvarı
Windows XP Home Edition’da kullanılabilir Internet Bağlantısı Güvenlik Duvarı tümü Windows XP Professional’da bulunmaktadır. Windows XP Professional Internet Bağlantısı Güvenlik Duvarı (ICF) masaüstü ve taşınabilir bilgisayarlar için, DSL, kablolu modem veya çevirmeli modem bağlantıları kullanarak Internet servis sağlayıcısına (ISS) bağlıyken güvenlik önlemleriyle korunma sağlar.
ICF’deki Konuma Duyarlı Grup İlkesi Windows XP Professional’daki ICS’ye özgü olan, konuma duyarlı bir grup ilkesinin olmasıdır. Bu özellik, çalışmak için kullandıkları taşınabilir bilgisayarlarını evde veya otel, hava limanı veya diğer genel Internet bağlantısı etkin noktalarında korumak isteyen gezici kullanıcılar için yararlıdır.
Windows XP Professional bilgisayarı bir etki alanının parçasıysa, etki alanı yöneticisi, bilgisayar şirket ağına bağlıyken ICF dosyasının kullanımını engelleyen bir grup ilkesi oluşturabilir. Bu, dizüstü bilgisayarının, sizin veya ağ yöneticisi için karmaşık bir düzenleme gerektirmeden kuruluş ağının kaynaklarını kullanmasına olanak tanır. Bilgisayarı eve veya genel Internet etkin noktasına getirdiğinizde, ilke iş yerinizin ağı dışında etkili olmadığından ICF kullanılabilir.
ICF Nasıl Çalışır?
ICF, ICS ile paylaşılan teknolojiyi kullanan durum bilgisi olan paket süzgeci olarak işlev görür. ICF özelliği tek başına olmasına rağmen, evdeki ağınızı korumak için paylaşılan bağdaştırıcıda da kullanılabilir.
Etkinse, durum bilgisi olan süzgeç, genel ağ arabiriminden gelen istenmeyen tüm bağlantıları engeller. Bunu başarmak için ICF Ağ Adresi Çevirme (NAT) akış tablosunu kullanır ve gelen tüm akışları NAT akış tablosundaki girişlere göre doğrular. Gelen veri akışlarına yalnızca, güvenlik duvarı sisteminden veya dahili olarak korunan ağdan gelen eşleşen bir NAT akış tablosu varsa izin verilir. Başka bir deyişle, ağ iletişimi korunan ağdan gelmiyorsa, gelen veri atılacaktır.
Windows XP Professional ICF’yi kullanırsanız, bilgisayar korsanları sistemlerinizi tarayamayacağından veya kaynaklarınıza erişemeyeceğinden kendinizi rahat hissedebilirsiniz. Bunun getirdiği aşağıdaki gibi bir etkisi vardır. Güvenlik duvarı sisteminizi diğerleri için Internet üzerinden sunucu olarak işlev görmesi için yapılandırılmasını zorlaştıracaktır.
Not Windows XP Professional işletim sistemindeki ICF özelliği yalnızca bilgisayarınız bir çalışma grubunun parçasıysa veya tek başına yapılandırmasıyla çalışıyorsa kullanılabilir. Bilgisayarınız bir etki alanının parçasıysa, güvenlik duvarı koruma yetenekleriniz ve özellikleriniz BT yöneticisinin belirlediği ilkeler tarafından belirlenecektir.
Güvenlikle İlgili Grup İlkesi Ayarları
Windows XP önceden yapılandırılmış ve iş istasyonlarının güvenlik düzeyinin uygunluğunu doğrulamak için kullanabileceğiniz güvenlikle ilgili ilkelerden oluşan koleksiyonlar olan güvenlik şablonları içerir. Bu şablonlar standart düşük, orta ve yüksek güvenlik yapılandırmalarını temsil eder ve belirli güvenlik gereksinimlerini karşılamak üzere özelleştirilebilir.
Aşağıdaki gibi parola yönetimi öğeleri için de güvenlik ilkeleri ayarlayabilirsiniz:
• En kısa parola uzunluğunu belirleme.
• Gerekli parola değişikliklerin aralığı.
• Kaynaklara ve verilere erişimi denetleme.
Yazılım Sınırlamaları İlkeleri
Yazılım sınırlama ilkeleri yöneticilere, ilke tarafından yönetilen ve etki alanında çalışılan yazılımı tanımlayan ve bu yazılımı yürütme yeteneğini denetleyen bir mekanizma sağlar. Yönetici bir yazılım sınırlama ilkesi kullanarak istenmeyen uygulamaların çalışmasını engelleyebilir; bu virüsler ve Truva atları veya yüklendiğinde çakışmalara yol açtığı bilinen diğer yazılımlar için de geçerlidir.
Yazılım Sınırlama İlkeleri Kullanma
Yöneticisiyseniz, bir yazılım sınırlama ilkesini, yalnızca güvenilen bir uygulamalar kümesinin yürütülmesine izin vermek üzere kullanabilirsiniz. İlke bu uygulamaları yol, dosya karması, Microsoft® Authenticode® imza sahibi sertifikası veya Internet Bölgesi tarafından tanıtılır. Tanındıktan sonra, sistem yönetici tarafından belirlenen ilkelerin kullanılmasını sağlar.
Yazılım sınırlama ilkeleri ayrıca komut dosyasını temel alan virüslere ve Truva atlarına karşı da korunmanıza yardımcı olabilir. Yönetici, yazılım sınırlama ilkesini yalnızca BT organizasyonunun üyesi tarafından imzalanan komut dosyalarının çalışmasına izin vermesi için yapılandırabilir. Bu yolla ILOVEYOU.VBS gibi komut dosyasın temel alan tüm virüsler engellenebilir. Yazılım sınrılama ilkeleri ayrıca, kullanıcıların bilgisayarlara yükleyebileceği uygulamaları dengelemek için de kullanlabilir.
Yerel güvenlik ilkesi yapılandırılarak yazılım sınırlama ilkelerinin, tek başına çalışan bilgisayarda kullanılması sağlanabilir. Yazılım sınırlama ilkeleri Grup İlkesi ve Active Directory ile de tümleşir. Farklı kullanıcı veya bilgisayar kümeleri için farklı yazılım sınırlama ilkeleri özelleştirilebilir. Windows XP bilgisayarı, Windows 2000 ortamında yazılım sınırlama ilkesi oluşturmak için kullanılabilir. Etki alanındaki Windows XP bilgisayarları yazılım sınırlama ilkesinin kullanılmasını sağlarken Windows 2000 bilgisayarları bu ilkeyi yoksayar.
Yazılım Sınırlama İlkesi Oluşturma
Yazılım sınırlama ilkesi Microsoft Yönetim Konsolu (MMC) Grup İlkesi ek bileşeni aracılığıyla oluşturulur. İlke, programların çalışabilmek için izinli olup olmadıklarını belirleyen varsayılan bir kuraldan ve bu kuralla ilgili özel durumlardan oluşmaktadır. Varsayılan kural sınırlanmamış veya izin verilmeyen veya duruma göre “çalıştır” veya “çalıştırma” olarak belirlenebilir. Varsayılan kuralı “sınırlanmamış” olarak belirlemek yöneticiye, yalnızca çalıştırılması yasaklanan programlar kümesinden oluşan özel durumları belirlemesine olanak tanır. Daha güvenli bir yaklaşım için varsayılan kuralın izin verilmeyen olarak belirlenmesini ve yalnızca bilinen ve güvenilen programların çalıştırılmasının sağlanmasını gerektirir.
İki Tür Yazılım Sınırlama İlkesi
Yazılım sınırlama ilkelerini kullanmanın iki yolu vardır. Yöneticiler çalıştırılmasına izin verilmesi gereken yazılımların tümünü tanımladıktan sonra, yazılım sınırlama ilkesini yalnızca güvenilen uygulamaların çalıştırılması yönünde kullanabilirler. Yöneticiler, kullanıcıların hangi uygulamaları çalıştırmak istediğini bilmiyorlarsa, duyarlı olup uygun olmayan uygulamaları tanımlar tanımlamaz sınırlayıcı olmalıdırlar.
Yazılım sınırlama ilkeleri aşağıdaki durumlarda uygulanabilir:
• Yalnızca güvenilen kodun çalışmasına izin verme. Güvenilen tüm kodlar tanımlandığında, yönetici sistemi kilitleyebilirler. Aşağıdakiler “yalnızca güvenilen kodun çalışmasına izin ver” ilkesinin uygulanacağı yerlere örnektir:
Uygulama istasyonu
Görev istasyonu
Bilgi noktası
Bu durumlarda, varsayılan kural “izin verilmeyen” olarak belirlenmiş olacaktır. Bu kural için, yalnızca güvenilen uygulamaların çalışmasına izin veren özel durumlar oluşturulacaktır. Bu ilkenin bir örneği, yalnızca belirli uygulama yazılımların çalışmasına izin verilmesi gereken ve kullanıcıların başka yazılım yükleyemeyeceği bir bilgisayardır. Bir yönetici, bilgisayarda yalnızca Microsoft Word ve Microsoft Excel’in kullanılmasına izin verilen yerde kullanılmalıdır. Kullanıcı bir programı karşıdan yüklerse veya disketten çalıştırırsa, ilke tarafından tanımlanan güvenilenler listesinde olmadığından programın çalışması engellenir.
• İstenmeyen kodun çalışmasını engelleme. Yönetici bazı durumlarda kullanıcıların çalıştırmaya gerek duyduğu yazılımların tümünü öngöremez. Bu durumlarda yönetici, yalnızca duyarlı davranıp karşılaştığı anda istenmeyen kodları tanımlayabilir. İstemcilerine gevşek davranan şirketler bu modele örnektir. Aşağıdaki durumlar buna örnektir:
Kolay yönetilen kişisel bilgisayarlar.
Ilımlı olarak yönetilen kişisel bilgisayarlar
Örneğin yönetici, çok sayıda kullanıcının dosya paylaşım uygulamaları çalıştırdığını ve ağın bant genişliğinde yük oluşturacak yüklemeler yaptıklarını öğrenirse, dosya paylaşım programını tanıyan ve çalışmasını engelleyen bir kural oluşturabilir. Kullanıcılar, çakışmalar oluşturduğu bilinen bir programı yüklerlerse, yönetici bu yazılımın kurulum programını tanıyan ve yüklenmesini engelleyen bir kural oluşturabilir.
Yazılım Sınırlama İlkeleri-Yerel Güvenlik Ayarları
Yazılım Tanıma Kuralları
Yönetici yazılımı aşağıdaki kurallardan biriyle tanır:
• Karma kuralı. Yazılım sınırlama ilkesinin MMC ek bileşeni yöneticiye, göz atarak dosyaya gitmesine ve karmasını hesaplayarak programı tanımasına olanak sağlar. Karma, bir programı veya dosyayı benzersiz şekilde tanımlayan dijital bir parmak izidir. Dosya yeniden adlandırılabilir veya başka bir klasöre veya bilgisayara taşınıp aynı karmaya sahip olmaya devam edebilir.
• Yol kuralı. Yol kuralı yazılımı, C:\Program Files\Microsoft Office\Office\excel.exe gibi tam bir yol adıyla veya C:\Windows\System32 gibi içerilen klasöre giden yol adıyla tanıyabilir. (Bu, aynı dizin ve alt dizindeki tüm programlar için geçerlidir.) Yol kuralları ayrıca %userprofile%\Local Settings\Temp gibi ortam değişkenleri de kullanabilir.
• Sertifika kuralı. Sertifika kuralı yazılımı, yazılıma dijital olarak imza atmak için kullanılan yayıncı sertifikası aracılığıyla tanır. Örneğin yönetici, yalnızca Microsoft veya BT organizasyonu tarafından imzalanmış yazılımların yüklenmesine izin veren bir sertifika kuralı yapılandırabilir.
• Bölge kuralı. Bölge kuralı, Internet, yerel intraneti güvenilen siteler veya sınırlanmış site bölgelerinden gelen yazılımı tanır.
Dijital Olarak İmzalanmış Yazılımı Denetleme
Yazılım sınırlama ilkeleri, aşağıdaki yollarla yöneticinin dijital olarak imzalanmış yazılımı denetleme yeteneğini iyileştirmesine yardım eder:
• Microsoft ActiveX® Denetimlerini Sınırlama. Yönetici, güvenilen yazılım yayıncısı sertifikalarını listeleyen bir yazılım sınırlama ilkesi kullanarak belirli bir etki alanı için Internet Explorer’da çalışacak ActiveX denetimlerini belirleyebilir. ActiveX denetiminin yayıncısı güvenilen yayıncılar listesindeyse yazılımı, yüklenmesi tamamlandığında otomatik olarak çalışır. Yazılım sınırlama ilkesi izin verilmeyen yayıncıları da listeleyebilir. Böylece bu yayıncıların imzaladığı ActiveX denetimlerinin çalıştırılması otomatik olarak engellenir.
Yazılım sınırlama ilkesi kullanılarak kimin bilinmeyen bir yayıncı (kesin olarak güvenildiği veya güvenilmediği belirtilmemiş) hakkında güvenli bir karar verebileceği de denetlenebilir. Yazılım sınırlama ilkeleri, güvenilebilecek yayıncı hakkında karar verme yetkisini ve kullanıcıların bu kararı vermelerini engelleme izninin yalnızca yerel yöneticilere veya etki alanı yöneticilerine verilmesi için ayarlanabilir.
• Windows Installer’ı kullanma. Windows Installer kullanılarak yüklenen programlar dijital olarak imzalanabilir. Yönetici yazılım sınırlama ilkesinin kullanarak yalnızca belirli yazılım yayıncıları tarafından dijital olarak imzalanmış yazılıma yüklenme izni verilmesini isteyebilir. Windows Installer, yazılımı bilgisayara yüklemeden önce onaylı bir imzanın varolup olmadığını doğrulamak için denetim yapar.
• Microsoft Visual Basic® Script’i Kullanma. Visual Basic Script dosyaları dijital olarak imzalanabilir. Yönetici yazılım sınırlama ilkesini, Visual Basic Script dosyalarının (.vbs), çalıştırılabilmeleri için onaylanmış yazılım yayıncıları tarafından dijital olarak imzalanmasını gerektirecek şekilde yapılandırabilir.
Internet İletişim Kuralı Güvenliği (IPSec)
IP tabanlı ağ güvenliğine olan gereksinim, bugünün Internet, intranet, şube ofisler ve uzaktan erişimle birbirine bağlı iş dünyasında neredeyse evrensel bir gereksinimdir. Sürekli ağlardan geçen önemli bilgiler nedeniyle, ağ yöneticileri ve diğer bilgi hizmeti çalışanları için bu trafiğin aşağıdaki önlemlerin alınmasını sağlamak her gün yeni güçlüklerin aşılması gerektiği bir iştir:
• Aktarım sırasında verilerin değiştirilmesini önlemek.
• Ele geçirilmeyi, görüntülenmeyi veya kopyalanmayı önlemek.
• Yetkisiz tarafların kimliğinize bürünmesini önlemek.
• Bilgilerin ele geçirilip daha sonra önemli kaynaklara erişmek için kullanılmasını önlemek; genelde şifrelenmiş parolalar bu biçimde kullanılabilir.
Bu güvenlik hizmetleri veri bütünlüğü, veri gizliliği, veri doğrulaması ve yeniden kullanılma koruması hizmetleridir.
IPSec Neden Gereklidir?
IP varsayılan bir güvenlik mekanizmasına sahip değildir ve IP paketlerinin okunması, değiştirilmesi, yeniden kullanılması ve kopyalanması kolaydır. Güvenlik olmaksızın hem genel, hem de özel ağlar, yetkisiz bir biçimde izlenmeye ve erişime açıktır. Dahili saldırıların nedeni en az düzeyde güvenlikten veya hiç güvenlik olmamasından kaynaklanabilirken, özel ağın dışındaki tehlikeler Internet ve extranet ile olan bağlantılardan gelmektedir. Parola tabanlı sistemlerde, tek başına kullanıcı erişimi denetimleri ağ üzerinden aktarılan verilerin korunması için yeterli değildir.
Bunun sonucunda ağ düzeyinde veri doğrulamasını, veri bütünlüğünü, veri gizliliğini ve yeniden kullanılma korumasını desteklemek üzere, IETF (Internet Mühendisliği Geçici İşbirliği Grubu) tarafından IPSec tasarlanmıştır. IPSec, intranet ve Internet iletişimlerini korumak üzere en iyi platformu sağlamak için Windows 2000 ve Windows XP Professional güvenliğiyle tümleşir. Organizasyonun güvenlik duvarının her iki tarafında tüm TCP/IP iletişimleri için güvenlik sağlamak üzere, endüstri standardı şifreleme algoritmaları ve kapsamlı güvenlik yönetimi girişimi kullanır. Sonuç, hem harici hem dahili saldırılara karşı savunma sağlayan Windows 2000 ve Windows XP Professional sıralı güvenlik stratejisidir.
IP güvenliği taşınma katmanının altında dağıtılarak ağ yöneticileri bir kerede bir uygulama için güvenlik dağıtma ve düzenlemenin zorluğu ve maliyetinden kurtarılır. Ağ yöneticileri Windows XP Professional ve Windows 2000 IPSec’i dağıtarak IPSec etkinleştirilmiş sunucular ve istemcilerden otomatik olarak uygulamalar alan tüm ağın korunması için güçlü bir katman sağlar.
IPSec-Yerel Güvenlik Ayarları
IP Güvenliğinin Ağ Saldırılarını Nasıl Önler?
Gerekli yerlerde güvenlik ölçümleri yapılmazsa, veriye saldırılabilir. Bazı saldırılar edilgendir; bilgiler yalnızca izlenir. Diğerleri etkindir; bilgiler, verileri veya ağı bozmak veya yok etmek amacıyla alınır.
Tablo 1 geçerli ağlarda bulunmuş bazı bilinen güvenlik tehlikelerini ve bunları önlemek için IPSec öğesinin nasıl kullanılacağını göstermektedir.
Tablo 1 Ağ Saldırıları Türleri ve IPSec Kullanılarak Önlenmeleri
Saldırı türü Açıklama IPSec saldırıyı nasıl önler?
Gizlice dinleme (algılama, gözetleme olarak da adlandırılır) Düz metnin veya şifrelenmemiş paketlerin izlenmesi. Veri, paketler izleniyor veya kesiliyorsa bile özgün veriye erişilmesini engelleyerek aktarımdan önce şifrelenir. Yalnızca eşler şifreleme anahtarını bilir.
Verinin değiştirilmesi Değiştirilmiş paketlerin değiştirilmesi ve aktarılması. Verileri karma haline getirmek, alıcı bilgisayar tarafından değişiklik bulmak üzere denetlenen her pakete şifreli bir sağlama toplamı ekler.
Kimlik aldatmacası Yalanla geçerli bir adresin kimliğini üstlenerek düzenlenmiş veya yakalanmış paketlerin kullanılması. Kerberos sürüm 5 iletişim kuralı, genel anahtar sertifikaları veya önceden paylaşılmış anahtarlarla güvenli iletişim başlamadan önce eşlerin kimliklerini doğrular.
Hizmetin reddedilmesi Geçerli kullanıcıların ağa erişimini engellemek. Ağı yoğun paket trafiğine boğmak örneklerden biridir. Bağlantı noktaları ve iletişim kuralları engellenebilir.
Ortadaki adam IP paketlerinin izlenmesi ve bir olasılıkla değiştirilmesi için habersiz bir kişiye bölünmesi. Eşlerin kimliklerinin doğrulanması.
Bilinen anahtar Verinin şifresini çözmek veya veriyi değiştirmek için kullanma. Windows XP Professional’da şifre anahtarları, yakalanmış anahtarların gizli bilgiye erişmek için kullanılması olasılığını azaltmak için düzenli olarak yenilenir.
Uygulama katmanı saldırısı Genelde uygulama sunucularına yöneltilen bu saldırı, ağın işletim sisteminde veya uygulamalarında hataya neden olmak için veya ağa virüs sokmak için kullanılır. Ağ katmanına IPSec uygulandığından, bu düzeyde güvenlik süzgeçlerine uymayan paketler uygulamaları ve işletim sistemlerini koruyarak asla uygulamalara geçemez.
Şifreleme Tabanlı Mekanizma
IPSec, şifreleme tabanlı mekanizmalar kullanarak saldırıları önler. Şifreleme, bilgiyi karma haline getirerek ve şifreleyerek güvenli bilgi aktarımına olanak tanır.
Bilgiyi güvenli hale getirmek için algoritma ve anahtardan oluşan bir birleşim kullanılır.
• Algoritma, bilginin güvenli hale getirildiği matematiksel işlemdir.
• Bir anahtar güvenli bilgiyi okumak, değiştirmek veya doğrulamak için gerekli gizli kod veya sayıdır.
IPSec, iletişim oturumunda gerekli güvenlik düzeyini belirlemek için ilke tabanlı bir mekanizma kullanır..!