Bu son derece ilgi ÇEKİCİ :) konuya bir göz atalım. The " Microsoft Windows XP Professional : Resource Kit Documentation " Part II, chapter 6 bakın neler diyor: Simple Sharing ve ForceGuest Domain'e üye olmamış bir XP Pro'nun paylaşım modeli önceki windows versiyonlarından farklıdır. Ağ üzerinde bağlanan tüm kullanıcılar Guest kullanıcısını kullanmaya zorlanırlar ve buna ForceGuest(zoraki misafir??) denir. ForceGuest Nasıl Çalışır W9x kullanan bilgisayarlarda read-only ve full-control paylaşımlar oluşturabilir ve bunlara şifre atayabilirsiniz. Bu şifreleri bilen kullanıcılarda paylaşımlara erişebilir. Ancak bu metod güvenli değildir. Çünkü bu şifreler ağ üzerinde açık text olarak iletilir ve kolayce ele geçirilebilir. Domain üyesi olmayan W2k makinalarında ise hem paylaşımı yapan W2k makinasında hem de bağlanan makinada aynı kullanıcı adı/şifre oluşturulur. Ya da bağlanan kullanıcı paylaşıma erişmek istediğinde kullanıcı adı/şifreyi girer. W2k ayrıca paylaşılan kaynağa ilgili kullanıcı için erişim hakkı vermenizi de gerektirir. Veya Guest hesabını aktif hale getirebilirsiniz. Ancak Guest hesabını aktifleştirmek beklenenden daha geniş bir etkiye yolaçabilir. Çünkü Guest kullanıcısının da dahil olduğu Everyone grubu sistem genelinde bir çok hakka sahiptir. Domain üyesi olmayan bir XP Pro makinasında ağ üzerinden gelen tüm kullanıcılar Guest kullanıcısını kullanmaya zorlanırlar. Ya da kullanıcı adı/şifreleri ne olursa olsun, paylaşım üzerinde sadece Guest kadar hakka sahip olurlar. Bu sebeple Guest kullanıcısı veya onun üyesi 1 / 12
olduğu tek grup olan Everyone grubu paylaşım üzerinde haklara, ve paylaşımın kapsadığı dizin ve dosyalar üzerinde haklara sahip olmalıdır. XP anonim bağlantıları desteklediği ve Everyone grubu sistem üzerinde çok az hakka sahip olduğu için W2k'da problem yaratabilecek bu sistem XP'de güvenlik sorunu çıkarmaz. XP ve 2000 Arasındaki Farklılıklar XP Home versiyonu ağ üzerinden erişim açısından Windows 9x makinalarından farksızdır. Yani bir XP Home makinasında bir kaynağı paylaştırınca, ağ üzerinden herhangi bir işletim sistemine sahip ve kullanıcı adı/şifresi ne olursa olsun herkes bu kaynağa erişebilir. Hatta XP Home versiyonunda Windows 9x makinalarında olan paylaşılan kaynağa bir şifre verip, en azından o şifre ile bir koruma sağlama özelliği dahi yoktur. Yani XP Home'da bir kaynağı paylaştırınca, istisnasız herkesin kullanımına açık duruma gelir. XP Professional ilk yüklendiğinde XP Home gibi çalışır. Eğer "Simple Filer Sharing" özelliği kapatılırsa, paylaşım yapılan ekranda Windows 2000'de olduğu gibi kullanıcılara bir kaynağa erişme hakkı verme/kısıtlama seçenekleri ortaya çıkar. Ancak bu noktada dikkat edilmesi gereken bir durum vardır. Bir kaynağı ilk paylaştırdığınızda otomatik olarak Everone grubuna tam erişim hakkı verilmektedir. XP Pro'da Guest kullanıcısı XP yüklendiğinde aktif durumdadır ve Everyone grubunun üyesidir. Böyle olunca, "Simple File Sharing" kapalı bir XP Pro'da bir kaynak paylaştırılınca, hala sanki XP Home'muş gibi ağ üzerinden herkes bu kaynağa erişebilir. Çünkü ağ üzerinden gelen bir erişimde kullanıcı adı/şifre XP'de tanımlı bir kullanıcı adı değilse, XP bunu Guest kullanıcısı olarak kabul eder. Paylaşılan kaynağa Everyone grubunun erişimi vardı, Guest'de Everyone'ın üyesi olduğuna göre, hala ağ üzerinden gelen herkes bu kaynağa erişebilmektedir. Bunun çözümü bir kaç şekilde olabilir. Kaynağı paylaştırdıktan sonra, "Permissions" düğmesi ile kullanıcılar ve hakları ekranını getirin. Everyone grubunu listeden çıkarın(deny yapmayın), sonra XP Pro üzerinde tanımlı ve sizin erişim hakkı vermek istediğiniz kullanıcıları ekleyin. 2 / 12
İkinci yol ise, Guest kullanıcısını "Computer Management"ten disable hale getirmektir. Böylece Everyone grubunun paylaşıma erişim hakkı olsa bile, ağ üzerinden gelen bir kullanıcı en azından XP üzerinde tanımlı bir kullanıc adı ve şifre girmek zorunda kalacaktır. Windows 2000'de ise Guest kullanıcısı zaten işletim sistemi yüklendiğinde Disable durumdadır. Dolayısı ile, bir 2000 makinasında bir kaynağı paylaştırınca, istenen kullanıcılara erişim hakkı verilir. Daha sonra ağ üzerindeki diğer makinalara bu kullanıcı adı/şifre ile login olunur ve 2000 makinasına ağ üzerinden erişilebilir. Simple Sharing Açıkken Paylaşım Yapma Windows XP Pro paylaşım işini kolaylaştırmak için "Simple file Sharing"i kullanır. "Simple file Sharing" açıkken bir paylaşım yaptığınızda üç seçeneğiniz vardır. - Share this folder on the network. Everyone grubuna paylaştırılan klasör ve altındaki tüm klasörler için Read hakkı verir. - Share name. Paylaşımın ağ üzerinden görünecek ismi. - Allow other users to change my files. Everyone grubuna paylaşılan klasör ve alt klasörleri için Full Control hakkını, dosyalar içinde Change hakkını verir. Bu hak tanımlamaları hem ağ üzerinden yapılacak bağlantıda kullanıcı adına göre geçerlidir, hem de NTFS bir disk üzerinde NTFS haklarında(security) geçerlidir. Domain üyesi olmayan bir XP Pro'da ana dizinin paylaştırılması önerilmez. 3 / 12
Deneyelim İsterseniz bir de deneyip görelim ve anlamaya çalışalım. C: sürücümde "JHTEST" isminde bir dizin oluşturdum. Simle File Sharing açık bir XP Pro veya Home bize NTFS diskler için Security ayarlarını normalde göstermiyor. Bu diskin NTFS haklarını görebilmek için restart ekranında F8 tuşuna basıyorum ve Safe Mode ile açıyorum. 4 / 12
Şimdi Administrators bir diskin/dizinin Properties'inde kullanıcılar (bu Full örnektec:\jhtest Control dizini) Security hakkına sahipler. tabını g 5 / 12
Limited Users ( Users grubunun üyeleri) sadece Read 6 / 12
Şimdi Tekrar normal F8-Safe yolla Mod tekrar yapınca; Allow makinayı network açıp users bu dizini to seçeneğini paylaştırıyorum chance my de files seçiyorum. ve 7 / 12
Yaptığımız paylaştırma işi, Everyone grubunu listeye eklemiş ve read/write/modify (silme hak Sonuç XP Home veya Simple File Sharing açık durumda olan bir XP Pro'da, paylaşım yapıldığında; 1. Disk NTFS formatlıysa, paylaşılan dizinin NTFS hak listesine Everyone read/write/modify haklarıyla ekleniyor. 2. Ağ üzerinden bağlanan her kullanıcı otomatik olarak(login oldukları kullanıcı/şifreye bakılmaksızın) Guest haklarına sahip oluyorlar. 3. Guest de Everyone üyesi olduğu için, paylaşılan kaynağa ağ üzerinden herkes girip, istediğini yapabiliyor. CACLS Komutu ile Security ayarlarını değiştirmek 8 / 12
XP Home veya Simple File Sharing açık durumda olan bir XP Pro NTFS formatlı bir diskin Security ayarlarını yapmamıza/görmemize normalde izin vermediği için Safe Modda açarak bu özelliğe erişmiş, kulağımızı ters elle tutmuştuk. Oysa komut isteminde "cacls" komutu ile de bu işlemler yapılabilir. C:JHTEST dizini henüz paylaştırılmamışken "cacls C:jhtest" komutu çalışınca: C:\jhtest BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F P733XPH\Owner:F CREATOR OWNER:(OI)(CI)(IO)F BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) BUILTIN\Users:(CI)(special access:) BUILTIN\Users:(CI)(special access:) GENERIC_READ GENERIC_EXECUTE FILE_APPEND_DATA FILE_WRITE_DATA 9 / 12
C:JHTEST dosya değiştirme hakkı verilmeden paylaştırılınca "cacls C:jhtest" komutuyla "Everyone"ın "Read" (R) hakkını aldığını görüyoruz. C:\jhtest Everyone:(OI)(CI)R BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F P733XPH\Owner:F CREATOR OWNER:(OI)(CI)(IO)F BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) BUILTIN\Users:(CI)(special access:) BUILTIN\Users:(CI)(special access:) GENERIC_READ GENERIC_EXECUTE FILE_APPEND_DATA FILE_WRITE_DATA C:JHTEST dosyalar değiştirilebilecek şekilde paylaştırınca 10 / 12
"cacls C:jhtest" komutu bu sefer "Everyone"ın "Full Control" (C) hakkına sahip olduğunu gösteriyor. C:\jhtest Everyone:(OI)(CI)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F P733XPH\Owner:F CREATOR OWNER:(OI)(CI)(IO)F BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) BUILTIN\Users:(CI)(special access:) BUILTIN\Users:(CI)(special access:) GENERIC_READ GENERIC_EXECUTE FILE_APPEND_DATA FILE_WRITE_DATA "cacls" komutuyla ilgili daha geniş bilgiyi ve kullanımını "cacls /?" yazarak alabilirsiniz. CACLS filename [/T] [/E/ [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] 11 / 12
12 / 12