WINDOWS NT SERVER
İŞLETİM SİSTEMİNDE GELİŞTİRİLMİŞ GÜVENLİK
SEÇENEKLERİ
E. Orçun Mengenli
MCSE, MCT
(Bu makalenin yazarı E. Orçun Mengenli önce öğrencim, sonra da çalışma arkadaşım oldu. Makaleden yararlanacağınızı umuyorum, MY)
Windows
NT Server İşletim Sistemi, mevcut diğer işletim sistemleri arasında en güvenli
olanıdır. Bu güvenlik unsurlarının başında parola güvenliği ve sürücülerin
gizlenebilmesi gelmektedir. Varsayılan değerler olarak “User Manager for
Domains” programından parolalar için kurallar belirlenmektedir. Sürücülerin
gizlenmesi için de “Policy Editor” programı kullanılmaktadır. Bütün bunlara ek
olarak, parolaların oluşturulması ve istenilen sürücülerin gizlenebilmesi için
bazı ek güvenlik kuralları Windows NT Server 4.0 işletim sistemine uygulamak
mümkündür.
Windows NT Server
işletim sisteminde varsayılan bir parola yönetimi vardır. Yeni bir kullanıcı,
etki alanına üye yapıldığında “Password” ve “Confirm Password” metin kutularına
bir parola girilir. Girilecek parola konusunda uyulması gereken bazı kurallar
mevcuttur.
Kullanıcıların boş
parola kullanmasına izin verilmesi, verilen parolaları oluşturan asgari
karakter sayısı, verilen parolanın geçerlilik süresi, belirli sayıda sisteme
başarısız giriş teşebbüsünden sonra hesabın kilitlenmesi, “User Manager for
Domains” programından kullanıcı hesaplarının uymaları gereken kurallar adı
altında “Account Policy” (Hesap Poliçesi) diyalog kutusunda tanımlanmaktadır .
Account Policy’de gösterilen
ve kullanıcıların uyması gereken kurallara ek olarak, daha çok güvenliği
arttırıcı kurallar tanımlanabilmektedir. Parola sınırlaması için kullanılacak
temel yöntemler şunlardır:
Windows NT Resource Kit
Windows NT Resource
Kit içinde gelen “PASSPROP.EXE” isimli program yardımıyla yukarıda
belirtilen kurallara yakın bir parola verme kuralı tanımlanabilmektedir. Bu
işlem komut satırından C:\PASSPROP /complex komutuyla yapılmaktadır. Bu
programla gelen parola kuralalları aşağıda verilmiştir:
Belirlenecek
parolalar aşağıda listesi ve tanımları verilen karakter sınıflarından en az 2
tanesini içermek zorundadır:
İngilizce büyük harfler: A, B, C, ... Z
İngilizce küçük harfler: a, b, c, ... z
Rakamlar: 0, 1, 2, ... 9
Alfabetik olmayan
özel karakterler: {} [], .< > ; : ” ? / | \ ’ ~!@ # $ %^&*( )_-+=
Bu program sadece
yukarıda örneği verilen karakter sınıflarından yalnızca en az 2 tanesini
kullanma zorunluluğu getirmektedir. Bunun yanında karakter sayısı sınırlaması
getirmemektedir. Eğer parola kısıtlaması getirmek için PASSPROP.EXE
programı kullanılacaksa, asgari karakter sayısı sınırlaması ve tanımlanacak
parola ile ilgili istenilen diğer sınırlamalar “User Manager for Domains”
programından “Account Policy” menüsünden, ayrıca tanımlanabilir. Bu uygulamayı
geri almak için komut satırından C:\PASSPROP /simple komutu
verilmelidir.
Parola Filtresi
Windows NT Service
Pack 2 ve daha yukarı sürümleri, kullanıcıların parolalarının belirlenmesinde
zorlayıcı kurallar getiren “passfilt.dll” isimli bir kitaplık (library)
dosyası sunmaktadır. “Passfilt.dll” dosyası, Windows NT İşletim
Sisteminin varsayılan parola kurallarının ötesinde çok daha gelişmiş bir parola
güvenliği getirmektedir. “passfilt.dll” dosyasıyla gelen parola
belirleme kuralları vardır:
Belirlenecek
parolaların yine yukarıda listesi ve tanımları verilen karakter sınıflarından
en az 3 tanesini içermesi zorunluluğu vardır:
Parola
filtresini uygulamak için etki alanında bulunan Birincil Etkialanı
Denetleyicisi (Primary Domain Controller - PDC) olan bilgisayarda bir
takım değişiklikler yapımlası gerekmektedir. Aynı değişikliklerin Yedek Etki
Alanı Denetleyicisi (Backup Domain Controller – BDC) üzerinde yapma zorunluluğu
bulunmamaktadır, çünkü etki alanındaki tüm veri tabanında yapılan değişiklikler
Birincil Etkialanı Denetleyicisi (Primary Domain Controller - PDC) olan
bilgisayarda yapılır. PDC’nin devre dışı kaldığı durumlar göz önüne
alındığında, BDC, PDC konumuna terfi ettirilebilir. Bu durumda ilgili
değişikliklerin BDC üzerinde de yapılması gerekmektedir. Parola filtresini
uygulama aşamalarını kapsayan ve PDC üzerinde yapılması gerekli değişiklikler
sırasıyla aşağıda verilmiştir:
1. En son sürümlü
Windows NT Service Pack yüklenir.
2. “Passfilt.dll” dosyası
%SYSTEMROOT%\SYSTEM32 alt klasörüne kopyalanır.
3. “Regedt32” komutu kullanılarak
“registry editor” den HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
kayıtı bulunur.
4. Bu kayıt altında
saklanan “Notification Package” anahtarını çift tıklanır ve REG_MULTI_SZ parametresindeki FPNWCLNT
değerinin altına PASSFILT girişi eklenir.
5. OK tuşuna basılarak “registry
editor” programından çıkılır.
6. Bilgisayar yeniden
başlatılır.
7. Bilgisayar
açıldıktan sonra “User Manager for Domain” programı çalıştırılır.
Sisteme eklenen kullanıcının özelliklerinin tanımlanacağı diyalog kutusunda “User
Must Change Password at Next Logon” kutusu işaretlenir.
8. Kullanıcı ilk defa
sisteme giriş yaptığı sırada kendisinden parolasını değiştirmesi istenecektir.
Kullanıcı “passfilt.dll” dosyasının getirdiği parola kuralları dahilinde
yeni parolasını belirleyecektir. Örneğin kullanıcı belirleyeceği parolada
İngilizce büyük, küçük harfler, rakamlar ve alfabetik olmayan özel
karakterlerden en az 3 tanesini bulundurmak zorunda kalacaktır. Hesap
poliçesinde belirlenen asgari parola uzunluğu da göz önüne alındığında
kullanıcının en az 8 karakterlik bir parola belirlediğini düşünelim.
Kullanıcının belirlediği parolanın “elmSAK198” olduğunu varsayalım. Getirilen
kurala göre belirlenen bu parola, kurala uymakta ve kullanıcıya bu parolayı
kullanmasına onay verilmektedir. Çünkü bu parolada kurallar dahilinde verilen
karakter sınıflarının en az 3 tanesi bulunmaktadır (İngilizce büyük ve küçük
harfler ve rakamlar). Kullanıcı bu kurala uymayan bir parola girdiğinde ekranda
kendisini uyaran bir mesajla karşılaşacaktır. Örneğin “portakal123” olarak
parolasını belirleyen kullanıcı bu parolanın kurallara uymadığını belirten ve
şu mesajı içeren bir diyalog kutusuyla karşılaşacaktır. “Your password must
be 0 characters long. Your new password can not be the same as any your
previous 0 passwords. Type a password which meets that requirements in both
text boxes” Dolayısıyla kullanıcı parolasını belirlerken, mutlaka
filtrelemeyle gelen kurallara uymaya zorlanması sağlanmış olacaktır.
Parola filtreleme
işlemi uygulanmadan önce yaratılan kullanıcıların şifrelerine her hangi bir
kısıtlama getirilmemektedir. Eğer mevcut kullanıcılar için de parola
filtrelemesinin uygulanması isteniyorsa, kullanıcıların özelliklerinin
yeraldığı “User Properties” diyalog kutusunda (Şekil 2) bulunan “User
Must Change Password at Next Logon” kutucuğunun işaretlenmesi
gerekmektedir.