1- Windows NT'de güvenlik ve güvenlik Açıkları (Bölüm 1) (Düzenleyen Projman)

Bu yazıyı anlayabilmeniz için WindowsNT'yle ilgili temel bilgileri bildiğiniz varsayılacaktır. Eğer bilginiz yoksa bir NT kitabı almanız tavsiye edilir. (Kurulumla ilgili ve temel konfigürasyonlarla ilgili bilgileri ana sayfamdaki Teknik bölümü altında bulabilirsiniz)

NT'de güvenliğin sağlanabilmesi için çeşitli bileşenler mevcuttur. Bunlar;

1.1. Local Security Authority (LSA)

LSA aynı zamanda Security Subsystem (Güvenlik Alt Sistemi) olarak da bilinmektedir, NT güvenliğinin merkez bileşeni sayılabilir. Yerel güvenliği ve kullanıcılar sisteme girişlerini (authentication) idare eder. LSA aynı zamanda denetim mesajlarını da idare eder.

1.2. Security Account Manager (SAM)

SAM kullanıcıların ve grupların şifrelerini denetler, LSA'nın devreye girebilmesi için kullanıcıların sisteme girişini sağlar.

1.3-Security Reference Monitor (SRM)

SRM, LSA'ya erişimi ve kontrolünü sağlar. Aynı zamanda kullanıcıların şifrelerin kullanıcılar dosyalara, dizinlere ve diğer kaynaklara ulaşmak istiyormuş gibi kontrol eder. Bunun sonucunda kontrol mesajlarını üretir. SRM, kaynak tipini gözardı ederek üretilen sistem çıktılarını kaynaklar olarak atar ve erişim kodlarının bir kopyasını içerir.

1.4-User Interface (UI)

Güvenliğin önemli bir parçası olan UI (Kullanıcı arabirimi), kullanıcıların gördüğü ve sıkça etkileşimde bulunduğu yönetim birimidir.

2. Kullanıcı NT'ye girdiğinde ne olur?

Kullanıcı sisteme bağlandığında NT, kullanıcıyı temsil eden bir dosya yaratır. Her işlem bu dosya içinde tutulur. Sisteme giren her kullanıcı için oluşturulan bu dosya kombinasyonu bir başlıkla temsil edilir. Bu başlıklar aracılığıyla dizinlere ve dosyalara olan ulaşım aynı zamanda nesnelere olan ulaşımı da ifade eder. NT bu başlıkları ACL (Access Control List) ile beraber kontrol ederek aynı zamanda kullanıcının sisteme erişip erişemedğini de kontrol etmiş olur. Bu aynı zamanda bir kontrol mesajıyla da kullanıcıya bildirilir.

3. "Standalone" , "Workgroup" "Domain" nedir?

Her NT wokstation bir çalışma grubu (workgroup) ya da etki alanı (domain) olarak faaliyet gösterir. Çoğu firma NT workstation'ları bir yönetici tarafından kaynakları organize etmek amacıyla domain olarak çalıştırır.

Bir kullanıcı şifreniz varsa onunla sadece lokal etki alanına girebilirsiniz. Ancak bir domain şifreniz varsa bütün çalışma gruplarına ve etki alanlarına aynı şifreyle girebilirsiniz.

Bir etki alanında kullanıcı ve grup veritabanları sunucular tarafından paylaşımdadır. (Ortak olarak kullanılır. NT workstation'larda kullanıcı ve grup veri tabanının kopyası tutulmaz. Ancak workstation bu veritabanına erişip kullanabilir. Bir çalışma grubundaki her bilgisayarın kendine ait bir kullanıcı ve grup veri tabanı bulunur ve bu bilgiler diğer bilgisayarlarla paylaşılmaz.

4- Service Pack (Servis Paketi) Nedir?

Microsoft'un işletim sistemleri için çıkardığı ve sürekli güncellediği patch (yama) lar vardır. Bu yamalara Servis Paketi adı veriliyor. NT'nin servis paketlerinde son güvenlik açıklarını kapatan, değişik dil destekleri sağlayan, yeni donanımların kullanılmasına imkan veren sürücler vs. bulunur.

5- NT'de Default (öntanımlı) Gelen Gruplar Nelerdir?

NT'de ihtiyaçlarınıza uygun gruplar oluşturabilirsiniz. NT 4.0'da sistem tarafından oluşturulan gruplar ise;

-Administrator: Sistem yöneticileri sistemde herşeyi yapabilir, sistemi kapatabilir, dosyaları silip güncelleyebilir, dosyalara erişim izinlerini değiştirebilir.

-Server Operators: Sistemi kapatabilir (uzaktan da dahil), backup (yedek) alabilir ve yedekleri tekrar kopyalayabilir.

-Backup Operators: Sistemi kapatabilir (uzaktan kapatamaz), backup backup (yedek) alabilir ve yedekleri tekrar kopyalayabilir.

-Account Operators: Sistemi kapatabilir.

-Print Operators: Sistemi kapatabilir.

Aynı zamanda bu gruba dahil olan kullanıcılar console (direk server üzerinden) dan sisteme girebilir. Sistem üzerinde "Server Operator" yetkisi alabilen bir kullanıcı uzaktan bilgisayarı kapatıp açarak Administrator yetkisi alabilir.

6- Default (öntanımlı) dizin permission (erişim izni) lar nelerdir?

NT'de herhangi bir dizini okuma, yazma, değiştirme hakkı düzenlenebilir. Öntanımlı dizin erişim hakları;

\ (root), \SYSTEM32, \WIN32APP - Sistemdeki tüm kullanıcılar bu dizinler altındaki dosyaları okuyabilir ve çalıştırabilir, dosyaların erişim izinlerini görüntüleyebilir (değiştiremez)

\SYSTEM32\CONFIG - Bütün kullanıcılar bu dizin altındaki dosyaları listeleyebilir.

\SYSTEM32\DRIVERS, \SYSTEM\REPL - "Server Operators" bu dizinlerde tam erişime sahiptir, diğerleri ise sadece okuma iznine sahiptir.

\SYSTEM32\SPOOL - "Server Operators" ve "Print Operator" bu dizinde tam erişime sahiptir, diğerleri ise sadece okuma iznine sahiptir.

\SYSTEM32\REPL\EXPORT - "Server Operators" dosyaları listeleyebilir ve çalıştırabilir izinlerini değiştirebilir "Replicator" sadece okuyabilir. Diğerlerinin izni yoktur.

\SYSTEM32\REPL\IMPORT - "Server Operators" ve "Replicator" dosyaları listeleyebilir ve okuyabilir, dosyaların izinlerini görüntüleyebilir, diğerleri okuyabilir.

\USERS - "Account Operators" okuyabilir, yazabilir, silebilir ve çalıştırabilir. Diğerleri kendi dizinlerinde tüm erişim izinlerine sahiptir. Diğer dizinlere giremezler.

\USERS\DEFAULT - Bütün kullanıcılar okuyabilir, yazabilir ve değiştirebilir.

(Diğerleri "everyone" grubu olarak kullanılmıştır.)

7- Özel programlar:

Bazı sistem programlara NT 4.0 tarafından öntanımlı izinler verilmiştir. Bunlar;

Disk Administrator - Bu programı çalıştırabilmek için "Administrator" grubundan olmanız gerekir.

Event Log - Herkes Event Viewer programını çalıştırabilir ancak sadece "Administrator" grubu logları temizleyebilir ve "Security Log" u görebilir.

Backup - Herhangi bir dizini okuma hakkı olan herkes dizin altındaki dosyaların yedeğini alabilir. Ancak "Administrators" ve "Backup Operators" tüm dosyaların kopyasını alabilir.

User Manager - "Account Operators" bu programla yerel gruplar oluşturabilir ve gruplarını yeniden organize edebilir.

Server Manager - Sadece "Administrators", "Domain Admins" ve "Server Operators" grupları kullanabilir. "Account Operators" yeni bir kullanıcı ekleyebilir.

8- Öntanımlı Kullanıcılar nelerdir?

NT kurulduğunda iki kullanıcı açılmış olarak gelir. Birincisi "administrator" dür, kurulumda şifre verilmiştir. Bir diğeri de "guest" tir, öntanımlı olarak kullanıcı pasiftir (kullanılamaz). Guest kullanıcısının çoğu zaman sistemde -kullanılmasa da- tutulması gerekir. Bazı programların çalışabilmesi için bu gereklidir.

"Administrator" kullanıcısı da devreden çıkarılabilir. Ancak çoğu sistemde bir "administrator" kullanıcısı bulunur ve aktiftir.

9- NT Admin Şifresini Kaybettiniz, Ne yapmanız gerekir? (lokal)

Petter Nordahl-Hagen'nin yazdığı offline NT Password Editörü kullanabilirsiniz. Bunun için linux kurulu makinaya ihtiyacınız vardır. NT harddiskini linux'a tanıtıp okuma/yazma için mount (üzerinde farklı bir dosya sistemi bulunan harddiskin diğer bir işletim sistemi altından kullanılabilmesi için tanıtılması) ettikten sonra yeni kullanıcı açabilir ve kullanıcıların özelliklerini değiştirebilirsiniz. Linux un marifetleri

10- NT Passwordleri Nasıl Alınır?

\\WINNT\SYSTEM32\CONFIG\SAM dizininde NT güvenlik veritabanı bulunur. Bu dizindeki dosyalar okunabilir özelliktedir. Ancak sistem tarafından kullanıldıkları için kitlenmiş durumdadırlar. SAM.SAV isminde bir yedeği aynı dizinde bulunabilir.

Kurulum esnasında NT şifre dosyasının bir kopyasını \\WINNT\REPAIR dizini altına atar. Bu dizinde sadece "administrator" ve "guest" şifreleri tutulur. Administrator şifresini değitirmediği sürece bu dizinden alacağınız dosyadaki şifre administrator şifresi olacaktır.

NT Repair diskinin bir kopyasını bulabilirseniz NT şifrelerine de ulaşırsınız