Windows Applocker...

Applocker, bilgisayar üzerinde admin yetkisini kullanarak bilgisayarı kullanan kullanıcıların veya grupların uygulamalar üzerindeki yetkilerini kısıtlamak amacıyla kullanılan bir Windows bileşenidir. Örnek ile açıklar isek; Applocker'ı kullanarak bilgisayarımız üzerinde var olan Adobe Reader uygulamasını standart bir kullanıcı tarafından çalıştırılmasını engelleyebiliriz. Applocker'ı Windows 7 ve üzeri Windows işletim sistemleri üzerinde kullanabilirsiniz. Ek bir yükleme gerektiren bir yazılım falan değildir. Applocker'ı kullanarak bir örnek yaptığımda daha iyi anlaşılacağını düşünüyorum. Active Directory yapınız varsa bunu merkezi olarak gerçekleştirebilirsiniz. Mesela bilgisayarımda admin yetkisi ile vSphere programının belirlemiş olduğum standart bir kullanıcı tarafından çalıştırmasını engelleyelim. İlk iş olarak;

Bilgisayar üzerinde Windows+R tuş kombinasyonu ile veya başlat arama çubuğuna gpedit.msc yazarak programı çalıştırıyoruz. Karşımıza gelecek olan ekran görüntüsü;

şeklinde olucak ve yukarıda göründüğü gibi Applocker'ı göreceksiniz. Alt dizini olan Executable Rules seçeneğine sağ tıklayarak Create New Rule ile yeni kural belirleme işleme başlıyoruz.

Yukarıdaki resimde görünen arayüzde farklı bir işlem yapmayacağız. Tabi yukarıda belirten bilgileri okumada yarar var. Next diyoruz.

Burada ne tür bir eylem gerçekleştireceğimiz soruluyor. Biz yetki kısıtlayacağımız için doğal olarak Deny (Reddetmek - gelen çalıştırma isteklerini) seçeneğini işaretleyip hangi kullanıcı veya gruba bu işlemi yansıtacağımızı Select butonuna tıklayarak gelen arayüzden belirliyoruz. Ben TestEmre kullanıcısına kısıtlamayı uygulamak istediğim için Enter the object name to select bölümüne TestEmre yazıp Check Names seçeneği ile bilgisayar içinden kullanıcıya ulaştım. Burada sizdeki kullanıcı farklı domainde yer alıyorsa kullanıcıya ulaşmak için gerekli ayarları üstteki bölümlerden yapmanız gerekmektedir. Next diyoruz.

Burada hiçbir işlem yapmayıp Next diyeceğiz fakat kısaca bilgi vermekte yarar olacaktır.

Publisher : Yayımcı, uygulamayı imzalamadıysa bu seçeneği seçiyoruz. Biz imzalamadığını kabul ediyoruz.

Path : Belirli bir dosya veya dizin için kural oluşturmak için seçilir. Dizin seçilmiş ise dizin altındaki tüm klasör ve dosyalar kurala tabi tutulacaktır.

File hash : İmzalanmamış bir uygulamaya kural koyacaksak seçilmelidir.

Publisher seçeneğini seçerek devam ediyoruz.

Yukarıdaki resimde gördüğünüz gibi kural koyacağınız uygulamayı seçiyoruz. Alttaki seçeneğe bakarsak exe uzantılı olmasına dikkat etmeliyiz. Ben buradan vSphere uygulamasını seçiyorum, bilgilerin çekildiğini görüyorum ve Next ile ilerliyorum.

Yine buna bağlı olarak özel durumlar olabilir örnek vermek gerekirse Office paketi için böyle bir kural oluşturduğumuzu varsayalım. İlgili kullanıcı Outlook uygulamasını yasakladığımızı düşünürsek Excel, ve Word uygulamasını çalıştırmasını sağlayabiliriz. Şuan öyle bir seçeneğimiz olmadığı için ilerlemeye devam edelim.

Bu bölümde oluşturduğumuz kurala bir isim veriyoruz ve Create diyoruz.

Önemli sistem dosyalarının çalışabilmesi için bizden varsayılan kuralların oluşturulması gerektiği bilgisi görüntüleniyor. Yes butonuna tıklayarak devam ediyoruz.

Buradan gördüğümüz üzere işlemimiz ve varsayılan kurallar gerçekleştirilmiş durumda.

Uyarı: Oluşturduğumuz kuralın client bilgisayarlar üzerinde etkin olabilmesi için Application Identitiy (Uygulama Kimliği) servisinin açık olması ve otomatik olarak çalışıyor olması gerekmektedir. Burada otomatikten anlatmak istediğim işletim sistemi her açıldığında Uygulama Kimliği servisinin otomatik olarak başlaması gerekmektedir. Aksi taktirde oluşturduğumuz kural etkin olarak çalışmayacaktır.

Yukarıdaki resim ile bu işlemi nasıl gerçekleştirdiğimizi görüntülüyoruz. Service status Start olması gerektiğini unutmamalıyız.

Şimdi son olarak yaptığımız işlemleri test edeceğiz. Kuralı ilişkilendirdiğimiz standart user account'u ile bilgisayara giriş yaptığımızda ve vSphere uygulamasını çalıştırmak istediğimizde;

Yukarıdaki resimdeki ekran görüntüsüyle testimizin istediğimiz şekilde gerçekleştirdiğini görüyoruz. Artık bu kullanıcı hiç bir şekilde bu uygulamayı çalıştıramayacaktır ta ki admin yetki vermedikçe.

Local Group Policy Editor'ü ile yetkilendirme...

Merhaba, bugün size Windows üzerinde önceden çoğu kez aklıma gelen fakat bir türlü öğrenip uygulamaya girişim göstermediğim bir olaydan bahsedeceğim. Bu olayı kısaca tanımlarsak bilgisayarda bazı kullanıcılar tarafından çalıştırılmasını veya görülmesini istemediğimiz bileşenlere erişimini engellemesi diyebiliriz. Bu daha çok Active Directory dizin sistemini kullanan kurumlar içindeki kullanıcı, bilgisayar veya printer gibi bileşenler üzerinde erişim yetkilerini belirlemek için kullanılmaktadır. Bu Group Policy denilen sistem ile gerçekleştiriliyor. Ben bu yazıda daha çok localimizdeki bilgisayar üzerinde bazı erişim yetkilerini kısıtlama hakkında bahsetmeyi hedefledim(Local Group Policy Editor). Mesela bilgisayarımız üzerinde arka plan resminin değiştirilmesi ve default olarak gelen Windows Sounds ayarlarının yapılabilmesi yetkisini kullanıcıların elinden almayı deneyelim. Tabi bu yetkileri düzenlemek için o bilgisayar üzerinde admin olarak bu işlemleri yapmalısınız. Engelsiz halde iken engelleyeceğimiz özelliklerin bir ekran görüntüsünü gösterirsem:

Görüldüğü üzere renkli çerçeveye aldığım bölümlere tıklayarak bu olayları standart kullanıcı rahatlıkla yapabiliyordu. Şimdi bu kullanıcının yoluna taş koyma işlemine başlayalım. İlk olarak arama bölümüne gpedit.msc komutunu yazıp arama sonucu çıkan programı çalıştırıyoruz.

Karşımıza gelen arayüzde kısıtlamaları yapabileceğimiz iki tür configuration seçeneği bulunuyor. Computer Configuration üzerinden bir kısıtlama gerçekleştirirsek bu bilgiasayarın kendi üzerindeki kısıtlaması olacaktır. User Configuration bölümünden ise bilgisayarı kullanan userlara kısıtlama getirebiliriz. Biz User Configuration seçeneği altında Administrator Templates ve altında Control Panel (Denetim Masası) dizini altından Personelization (Kişiselleştirme) dizini altından arka planı değiştirilmesini engelleyecek olan bileşeni bulup çift tıklama yapıyoruz. Bu bölümde user'lara uygulayabileceğimiz tüm kısıtlamalar gerçekleştirilebilir, buraya bir göz atmanızı tavsiye ederim.

Karşıma gelen arayüzde Not Configured olarak işaretlenmiş seçeneği Enable yapıp uyguluyoruz.

Aynı şekilde sounds (ses) ayarı yetkisini değiştirebileceğimiz seçeneğiniz bulup çift tıklıyoruz.

Enable olarak işaretleyip uyguluyoruz.

Dilersek yukarıdaki seçenekten local üzerinde program ekle veya kaldırma işlemini de kısıtlayabiliriz.

Ya da yukarıdaki seçenekten olduğu gibi Control Panel (Deneim Masası)'ine erişim yetkisini de kısıtlayabiliriz. Fakat biz şu an bu işlemleri gerçekleştirmeyelim.

Yukarıda yapmış olduğum iki seçeneği Enable olarak değiştirmiş iseniz cmd'yi açıp komut satırına gpupdate /force yazarak yapılan yetkilendirme işlemlerini aktif edebilirsiniz. Eğer bunu yapmaz iseniz bu değişikliklerin aktif olmasının biraz gecikme olasılığı var. Karşınıza gelen soruya y veya e (YES/EVET) olarak girdiğinizde oturumunuz kapanacaktır ve işlemler aktif olacaktır. Bu işlemi yapmadan önce işlemin aktif olup olmadığını kontrol edin, eğer aktif olmuş ise bu işlemi gerçekleştirmenize gerek yoktur. Yeniden logon olunduğunda ya da işlemler aktif olmuşsa;

İşaretlemiş olduğum alanlara tıklayamadığınızı göreceksiniz. Bu işlemi eski haline döndürmek için aynı şekilde Enable yaptığınız seçeneği Not Configured yapıp apply etmeniz yeterli olucaktır.

Active Directory hakkında...

           Active Directory yapı olarak etkileşimi olduğu ağ içerisinde var olan kaynaklara erişimin kullanıcı bazında yetkilendirme işlemlerinin ayarlanması amacıyla oluşturulmuş bir dizin sistemidir. Bu işlemler kullanıcıya özel olarakta yapılabilir, kullanıcıları bir gruba tabi tutarakta yapılabilir veya sistem üzerindeki bir printer’a da uygulanabilir.

Staj yapmakta olduğum şirket içinde Active Directory yapısından bahsedersek kullanıcıların, şirket bilgisayarlarının, müşterisi olan firmaların ve varsa bunların çeşitli lokasyonlarının bilgilerini tutuyor, gruplama yapıyor ve bunları Group Policy ile yetkileri düzenlemiş halde tutuyor. Mesela bir şirkete personel alımı durumunda Active Directory içine o personelin hesabı yaratılır, tüm gerekli bilgileri eklenir. O kişiye verilecek bilgisayar için aynı işlemler yapılır ve kişiyle ilişkilendirilir. Bu personel hangi grup içinde yer alacaksa (Sistem yönetim ekibinde ise Sistem Yönetim Grubuna eklenir) o gruba eklenir ve bu ekleme işlemi ile o grubun yetkilerine tabi tutulur. Eklenen personelin sisteme dahil olabilmesi için birer kullanıcı adı ve parolası bulunur. Bu kullanıcı adı ve parola ile lokasyon içinde herhangi bir bilgisayardan sisteme giriş yapabilir fakat kendi bilgisayarından giriş yapmadığı durumlarda standart user olarak işlemini yapabilir. Yani o bilgisayar üzerinde kendi bilgisayarı üzerinde yapabileceği şeylerin hepsini yapamayacaktır. Kendi bilgisayarında oturum açtığında local user olup grubu ya da kendi adına hangi yetkilendirmeler belirlenmişse o yetkiler aktif olur. Standart userların yetkileri farklı bir bilgisayarda oturum açan kullanıcılar için geçerlidir. Standart user olan kullanıcı şirket içerisinde o bilgisayar içerisinde program kaldırma, değiştirme gibi olayları gerçekleştiremeyip sadece programları çalıştırabilir. Eğer kullanıcı domain user (ya da administrator) ise tüm bilgisayarlarda istediği işlemleri gerçekleştirebilecektir.

Active Directory içindeki temel terimlerden bahsedersek ;

·         Domain, kullanıcı ve kaynakları barındırır. Domain’e girmek için kullanıcı adı ve parola kullanılır. İçinde operational unit’leri barındırır.

·         Operational Unit, domainin alt parçalarıdır (Gruplar, user’lar, computer’lar). Kısıtllamalara tabi tutulurlar.

·         Tree, domain içinde belli bir hiyerarşi sağlar.

·         Forrest, içerisinde domainleri barındıran ortamın genel adıdır. İçinde treeler, domainler bulunur.

          Bu sistemde tüm kontrolleri yapıldığı Primary Domain Controller adı verilen bir server bulunur.Bu server’a replike olan Additional Server  adı verilen server’lar bulunur. Bu, sistem için ayrıca süreklilik sağlar. Primary serverda Additional server’ların içerdiği bilgileri barındırır. Bir Additional server’ın problem yaşadığı durumlarda bilgi Primary server’da bulunduğundan geri döndürülebilir, primary serverdaki oluşan bir problemde ise bilgiler zaten Additional server’larda var olduğundan sorun olmayacaktır. Etki alanı denetleyici olarak kullanılan domain controller sunucusunun şirket bütünlüğünü koruması, bilgisayarların daha etkili kullanılması ve güvenliğe kattığı önem bakımından kritik bir konuma sahiptir.