Windows Sunucu Sistemlerinde Permission Güvenliği ve Optimizasyonu
Windows serverların en çok problem yaşadığı yer kuşkusuz permissionlardır.Şimdi bu permissionların güvenliği konusunda bazı konulara değineceğim.
Windows sistemlerinden bu permissionlardaki problemlerden yararlanarak diğer kullanıcı hesaplarına ulaşmak amaçlanır bu da file system object denen (FSO) asp nesnesiyle gerçekleşir.Fso yu kendi alanımıza upload edip yetkilerin zayıf yapılandırmasından istifade ederek diğer kullanıcıların hesaplarına ulaşılır.
Güvenlik adımlarını sisteminize uygularayarak güvenli bir sunucu elde edebilirsiniz.
İlk olarak sürücülerin güvenlik ayarlarını yapmak için C: sürücüsüne sağ tıklayarak özelliklere ordan güvenlik sekmesine geliyoruz .Açılan pencerede kullanıcı grupları ve bu grupların hakları listelenir.Administrator,SYSTEM,Create Owner. gibi gruplar göreceksiniz bunlar sistemin işleyişini sağlayan gruplardır bunlarda herhangi bir değişiklik yapmıyoruz.Bazen özel gruplar oluşturmak istersiniz hakları administrator kadar değilde sistemde yetkisi olmasını istediğiniz kullanıcı grupları olabilir genelde bunlar Power Users olarak adlandırılır bu grubuda aktif ederek yetkileri belirleyebilirsiniz.Sistemdeki Administrator kullanıcı hesaplarını yaratmak,güvenlik grupları yaratmak,değiştirmek,silmek,program yüklemek,klasor paylaştırmak,izin atamak,donanım aygıtlarını yüklemek kaldırmak vs. yetkilere sahiptir.
Kullanıcı grubu listesinde Bjk2Tr gibi bir kullanıcı bulunur yani Serverların müşterilerine açtığı hesaptır.Sistemin işleyişini etkilemeycek kullanıcı gruplarını kaldırmalısınız Users ve Everyone kullanıcı grupları herkesin erişimine açıktır bu yüzden bunların haklarını kısıtlamalasınız yada bunları kaldırıp yerine internet guest account gibi bir kullanıcı grubu ekleyip hakları kısıtlayabilirsiniz.Kullanıcıları eklerken add (ekle) butonuna tıklayın açılan pencerede advanced (gelişmiş) butonuna tıklayın ve açılan pencereden find now (şimdi bul) butonuna tıklayarak kullanıcı gruplarını görebilirsiniz.IUSR_(İsim) gibi olan kısmı seçip ok (tamam) butonlarına tıklayarak kullanıcı grubunu eklemiş olursunuz.Bu kullanıcıya hakları atarken Allow yada Deny kısmı altındaki hakları belirleyebilirsiniz okuma,yazma vs. hakları siz belirleyebilirsiniz.Kullanıcıların C sürücüsüne ulaşmalarını kısıtlamış oluyoruz bu şekilde diğer sürücleride yapabilirsiniz.C sürücüsü içindeki sitelerin yayınlandığı wwwroot,Windows vs. klasorleride kısıtlarsanız dışarıdan sisteminize verilecek zarar olasılığı azalır.
Sisteminiz başka şekilde de koruyabilirsiniz bu yine permission güvenliği ile ilgili ancak bunda bir klasor oluşturarak kullanıcı haklarını ona göre belirlemek belirtilecektir.
Root klasorune netkabus adında bir klasor oluşturursunuz Computer Management a gelip ordan Local Users and Groups seçeneği seçilir ve Users ta seçiltikten sonra buraya yeni bir kullanıcı grubu ekliyeceğiz sağ tıklarayak new user (yeni kullanıcı) seçeceksiniz kullanıcı grubunun adını belirtieceksiniz.Computer Management a gelip ordan IIS sekmesine tıklayacaksınız ve Default Web Site seçeneğine tıklayacaksınız ve pencerede site içindeki klasorler listelenecek netkabus isimli klasorde orda olcak şimdi buna yetkileri düzenlememiz gerekiyor bunun için netkabus klasorune sağ tıklayıp propertiese giriyoruz ve ordan directory sonra application settings kısmındaki create butonuna tıklıyoruz ve kullanıcıları ayarlabiliyoruz.Directory security >>> anonymous acces and authorize control seçin ve Anonymous access "Browse" düğmesine tıklayarak önceden yarattığınız user'ı seçiniz. Allow IIS to Control password seçeneğini aktif hale getirip OK deyip çıkınız.C: içinde wwwroot klasoru altında oluşturduğunuz netkaus klasorunu bulunuz ve klasore sağ tıklayarak properties (özellikler) seçip security sekmesini seçiyoruz ve açılan penceredeki tüm kullanıcıları (users) siliyoruz administrator ve oluşturduğunuz users (kullanıcı) seçiyorsunuz bu kullanıcıya yazma,okuma vs. istediğiniz yetkiyi allow deny kısmı altından verebilirsiniz.Bu işlemle üst dizinlere çıkış işlemleri ve klasorlere verilen yetkiler düzenlenebilir artık daha güvenliniz bir sunucuz var.Tabi ki tüm güvenlik bu değil diğer güvenlik konularıda önümüzdeki yayınlarda değineceğim.Bana yayınlanmasını istediğiniz güvenlik konusu bildirebilirsiniz