|
|
Ana sayfa
Kütüphane
Dokümanlar
Microsoft
1. Policy Nedir?
Günümüzde bilgisayarlar ev yada iş ortamlarında çok yaygın olarak kullanılmaktadır. Özellikle internet’in çok geniş kullanımı da göz önüne alındığında bilgisayarların ihtiyaç duyduğu güvenlik göz ardı edilemeyecek bir hal alır. Tabi ki bu söz konusu ettiğimiz güvenlik seviyesi, kurumlar, networkler ve bilgisayarın hangi işlevde kullanılıyor olduğuna bağlı olarak değişiklik göstermektedir. Örnek olarak 10 bilgisayardan oluşmuş ve sadece günlük yazışmalar için kullanılan bir network ile, belki binlerce bilgisayardan oluşmuş, bankacılık alanında hizmet veren bir network’un ihtiyaç duyduğu güvenlik seviyesi aynı değildir. İşte bu değişik seviyelerde ki güvenlik ihtiyaçlarını policy'ler ayarlamaktadır.
|
Policy'ler, güvenliğin yanı sıra kullanıcıların ihtiyaç duyduğu çalışma ortamlarının yaratılması, kullanıcılara belli bazı hakların verilmesi veya kısıtlanması, kullanıcıların ihtiyaç duyduğu programların kurulması gibi manuel yapıldıklarında çok zaman harcayacak işlemlerin merkezi bir yerden otomatik yapılmasına izin veren yönetimsel araçlar olarak tarif edilebilir.
Policy'nin çalışması obje tabanlıdır. Tıpkı Microsoft Word’ün bilgiyi .DOC uzantılı dosyada saklaması gibi, policy ile uygulanmasını istediğimiz ayarlar ve kurallar Group Policy Object (GPO) dediğimiz dosyalarda saklanır. Bu bahsettiğimiz kuralların belirlenmesi ve yaratılması için Group Policy Editör!ü kullanırız. Yarattığımız GPO (Group Policy Object) bilgisayar tarafından okunur ve belirtilen ayarlar makine tarafından işlenerek gereken ayarlamalar yapılır.
Genel olarak iki tür policy’nin varlığından söz edebiliriz. Bunlardan ilki tek bir bilgisayar için düzenlenen ve bilgisayarda yerel olarak bulunan policy’dir. İkinci tür policy domain ortamında merkezi bir yerden (Domain Controller) ayarlanıp birden fazla bilgisayar için düzenleme yapan policy’dir. Bir bilgisayara local (yerel) ve domain policyleri aynı anda uygulanabilir. Ama her zaman domain grup policy yerel policy’e göre üstünlük sağlar. Bu konuya daha sonra tekrar döneceğiz. Şimdi local (yerel) Policy’lerin nasıl çalıştığından ve nasıl düzenlendiğinden bahsedelim
2. Policy Türleri
Genel olarak iki tür policy’nin olduğu söylenebilir. Local policyler ve domain ortamında bir den çok bilgisayara aynı anda uyugulanabilen Group Policy. Uygulanma yöntemi ve hazırlanışı farklı olsa da her iki policy türünün amacı aynıdır. Bilgisayarda security, temel bazı kullanıcı hakları gibi konularda düzenlemeler yapmak. Local policyleri hazırlamak ve uygulamak için Local Group policy, Security Configuration and Analysis gibi araçlar kullanılırken, domain policy’de Active Directory ve Domain Group Policy kullanılır.
3. Uygulanma Sırası
Policy’lerin uygulanmasının belli bir sırası vardır. Bu sıranın anlaşılması için öncelikle Group Policy Container’in ne olduğunu açıklamamız gerekir. Group Policy Container (GPC) bir policy’nin uygulandığı yerdir. Bu yer Site, Domain ya da Organizational Unit (OU) olabilir. İşte Group Policy’nin uygulanabildiği bu noktalara GPC yani Group Policy container denir. Bir de domain’den bağımsız olarak her bir bilgisayara uygulanabilen policy vardır ki biz buna Local Policy adını veriyoruz. Kendisine local policy uygulanmış bir bilgisayar aynı zamanda bir Domaine üye olabilir. Üye olduğu domainde içinde bulunduğu container’a göre sırasıyla site, domain, sonrasında OU ve en nihayetinde local policy’lerden etkilenebilir. Farklı policylerin uygulanma sırası sayesinde çıkabilecek karmaşa bir nebze olsun önlenmeye çalışılmıştır. Buna göre her seviyede uygulanmış Policy’nin belli bir sırası vardır. İlk olarak uygulanan policy bilgisayarın local policy’sidir. Daha sonra sırasıyla Site, sonra Domain ve en nihayetinde OU seviyesinde uygulanmış olan policy uygulanır ve her zaman en son uygulanmış olan policy’nin kuralları geçerli kalır. Şayet değişik seviyelerde uygulanmış olan policyler arasında çakışma yoksa yukarıdan aşağıya olmak kaydıyle bütün policyler geçerli olurlar.
1. Local policy
2. Site seviyesinde uygulanmış Group policy
3. Domain seviyesinde uygulanmış Group policy
4. OU seviyesinde uygulanmış Group policy
4. Windows Üzerindeki Genel Policy Ayarları
Local Policy (Yerel Policy)
Bir domaine üye olsun olmasın, bir bilgisayarın güvenlik ihtiyacını yada belli bazı yerel hakların tanımlanması için local policy’den faydalanırız. Local policy’nin ayarlanmasını ya GPO (Group Policy Object), yada Template (şablon)leri kullanarak yapabiliriz. Template önceden hazırlanmış değişik seviyelerdeki policy şablonları olarak ifade edilebilir.
Localde kullanılmak üzere Group Policy’i yaratmak için yine MMC consolundan ulaştığımız Group Policy Object Editor’ü kullanırız. Şimdi bu snap-in’i biraz yakından tanıyalım. Group Policy Objec Editor’u açmak için:
1. Start / Run menusünden MMC yazıp Enter tuşuna basarız.
2. Açılan boş yönetim konsolunda “File” menusünden “Add/Remove snap-in” komutunu veririz.
3. Karşımıza çıkan “Add stand alone Snap-in” iletişim kutusunda “Add” düğmesine basarız (Şekil 1)
|
|
Şekil 1
|
4. “Add Standalone Snap-in” iletişim kutusunda “Group Policy objectEditor”ü seçip “Add” düğmesine basarız. (Şekil 2)
|
|
Şekil 2
|
5. “Select Group Policy Object” iletişim kutusunda “Local Computer” seçili iken “Finish” düğmesine, (Şekil 3) ardından “Close” ve “OK” düğmelerine basarız.
|
|
Şekil 3
|
6. Karşımıza Local Group policy yönetim konsolu çıkar. (Şekil 4). Buradaki ayarları kullanarak local bilgisayarı yapılandırabiliriz.
|
|
Şekil 4
|
Şekil 4 de göründüğü gibi policy’nin iki ana menüsü vardır; Computer configuration (bilgisayar ayarları) ve User configuration (kullanıcı ayarları). İsimlerinde de anlaşılacağı üzere bilgisayarın kendisi üzerinde yapılacak ayarlar computer configuration kısmından, kullanıcıyı ilgilendiren ve direk kullanıcı göz önüne alınarak yapılacak ayarlamalar User configuration’dan yapılır. Computer Configuration’da yapılacak bir ayarlama bilgisayarı kullanan kullanıcıdan bağımsız olarak bizzat bilgisayarın kendisine uygulanır. Söz gelimi kendisinde kritik bilgilerin bulunduğu, bu nedenle de yüksek güvenlik gerektiren bir workstation, A ve ya B kullanıcısından bağımsız olarak bir takım güvenlik kurallarını zorunlu olarak isteyebilir. Bu tarz bir ihitiyaç karşısında computer configuration’da yapılan değişiklik kullanıcıdan bağımsız olarak istenir. Aynı şekilde bir güvenlik ihtiyacı bilgisayara değil de kullanıcının kendisine de uygulanmak istenebilir. Bu durumda güvenlik ihtiyacı sadece user configuration’da ayarlanarak o bilgisayarı kullanabilecek başka kişiler göz ardı edlilmemiş olur. Domain ortamında domain üyesi bütün bilgisayarlar, kullanıcıya uygulanmış kuralları Domain Controller’dan alarak kullanıcıya uygularlar. Tabi bu dediğimiz, ileride bahsedeceğimiz policy’ler arasında çakışma yada Loopback processing söz konusu değilse olur. Şimdi Group Policy Object Editor’ün ana menülerine bir göz atalım.
|
|
|
|
