Bazı durumlarda User (kullanıcı/kısıtlı) yetkiler ile çalışan oturumlara belirli bir servis için durdurma, başlatma veya yeniden başlatma hakkı vermek isteyebilirsiniz. Normal şartlarda Users grubu üye kullanıcılar işletim sistemi servislerini yönetemezler ve genelde bu ihtiyacı karşılamak için kullanıcı grup üyeliği değiştirilerek daha yüksek yetkiler atanır. Bu pratik bir yöntem olmasına karşın, genelde kullanıcı oturumuna vermek istemeyeceğiniz birçok yetkiyi de beraberinde getirir.

Belirli bir Windows işletim sistemi servisi yönetimi için bir kullanıcıya veya bir gruba, administrators üyesi yapmadan veya benzeri bir yöntem kullanmadan nasıl yetki verebilirsiniz?

Bu iş için genelde Sc.exe aracını kullanıyoruz. Sc.exe, Windows işletim sistemi üzerinde çalışan veya bundan sonra çalışacak olan servislerle ve tüm bu mekanizmayı yöneten Service Controller ile konuşmanızı sağlayan bir komut satrı aracıdır. Sc.exe, Services.msc gibi UI üzerinden yapabileceğiniz tüm işleri yerine getirebildiği gibi, UI’dan yapmanın mümkün olmadığı birçok şeyi de sağlayabiliyor.

Sc.exe ‘yi şuralarda bulabilirsiniz:

Windows XP ve Windows Server 2003 sürümleri için Resource Kit içerisinden alınır.

Windows Vista, Windows 7, Windows Server 2008 ve Windows Server 2008 R2 için yerleşik olarak gelir.

Sc.exe sayesinde, herhangi bir SID (security identifier) ‘ye, servis SDDL (security descriptor definition language) string içerisinde istediğiniz yetkiyi tanımlayabilirsiniz.

SID, bazı objeleri (ki bunlardan biri de kullanıcı hesaplarıdır) işletim sistemi içerisinde tanımlayan unique tanımlayıcılardır. SDDL ise özel bir tanımlama dilidir ve bu senaryoda servislerin üzerindeki yetki tanımlarını tutar.

Örnek senaryo şu:

Windows 7 işletim sistemi üzerinde Test isimli ve sadece Users grubuna üye olan, yani kısıtlı yetkiler ile çalışan bir kullanıcı var. Senaryo gereği bu kullanıcıya sadece “HP Quick Synchronization Service” için başlatma/durdurma/yenidenbaşlatma yetkileri atıyorum.

Test kullanıcısının şu an servisi yönetme hakkı yok.

1) Öncelikle kullanıcının SID’sini bulun. Bunun çin çok fazla yöntem var. Mesela tek satırlık WMIC sorgusu kullanabilirsiniz.

wmic useraccount get name,sid

test kullanıcısı için kullanacağımız SID: S-1-5-21-1771203805-3482426351-2602944862-1001

2) Daha sonra servisin mevcut SDDL String’ini alın.

sc sdshow “HP Quick Synchronization Service”

“HP Quick Synchronization Service” gibi display name kullanırsanız hata alırsınız çünkü işletim sistemi açısından bu bir servis adı değildir. Gerçek servis adını şu şekilde bulabilirsiniz:

sc getkeyname “HP Quick Synchronization Service”

SDDL String’I almak için doğru service name ile tekrar sdshow yapıyorum.

sc sdshow HPDrvMntSvc.exe

Dönen SDDL String:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Bu özel bir dil (SDDL). Eğer buradaki format ve bu dili oluşturan bileşenler hakkında daha detaylı bilgi isterseniz şuralara bakabilirsiniz.

Security Descriptor String Format
http://msdn.microsoft.com/en-us/library/windows/desktop/aa379570%28v=vs.85%29.aspx

Security Descriptor Definition Language for Conditional ACEs
http://msdn.microsoft.com/en-us/library/windows/desktop/dd981030%28v=vs.85%29.aspx

ACE Strings
http://msdn.microsoft.com/en-us/library/windows/desktop/aa374928%28v=vs.85%29.aspx

SID Strings
http://msdn.microsoft.com/en-us/library/windows/desktop/aa379602%28v=vs.85%29.aspx

3) SDDL String’i, Test kullanıcısının SID’si ve gerekli yetkiler ile birleştiriyorum.

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPDTLO;;;S-1-5-21-1771203805-3482426351-2602944862-1001)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Şu iki nokta çok önemli.

- Ekleyeceğiniz yeni String mutlaka S:( ‘den hemen önce yer almalı.

- Start/Stop/Restart için şu sabit ACE String’i SID ile birleştirerek kullanıyoruz: (A;;RPWPDTLO;;;**SID**)

4) Yeni SDDL String’i yine sc.exe ile gönderiyorum.

sc sdset HPDrvMntSvc.exe “D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPDTLO;;;S-1-5-21-1771203805-3482426351-2602944862-1001)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)”

SetServiceObjectSecurity SUCCESS gördüğünüz taktirde işiniz bitmiştir.

5) Artık Test kullanıcısı ile servisi yönetebilirsiniz.

Bunun yanı sıra Test kullanıcısı diğer servislere müdahale edemez ve hala Users grubu yetkileri ile çalışır.

Bu işi bir user SID yerine bir group SID için yaparak daha genel bir yetkilendirme de yapmak mümkün.

Mesela şirketinize ait özel bir servis için kullanıcılarınıza yönetim yetkisi vermek istiyorsunuz. Bu durumda her kullanıcı hesabının SID’si ile uğraşmak yerine, örneğin local Users group SID’sini alıp tüm Client OS’lere uygulayarak topluca ve daha hızlı bir şekilde devreye alabilirsiniz.

Desktop üzerinde sağ tuş yaptığımızda gelen “Yeni” menüsünü kaldırmak ve yeniden görünür yapmak için, registry değerlerini kullanabiliriz.

Sağ Click “Yeni” menüsünü Gizlemek ve Göstermek için gerekli registry dosyalarını buradan indirebilirsiniz.

 Yeni Remote Desktop Connection aracı olan RDC 6.1, artık windows xp sp2 için de kullanılabilir durumda.

Peki RDC 6.1 bize ne sağlıyor?

Herşeyden önce Windows Server 2008 Terminal Services teknolojilerini ve TS oturumları için güvenlik özelliklerini kullanabilmemizi sağlıyor. Bu özelliklere ana başlıklar halinde göz atarsak;

- TS Web Access desteği
- TS Easy Print desteği
- TS Remote Programs desteği
- TS Gateway desteği
- TS Sessioan Security desteği

RDC 6.1; Windows Server 2008, Windows Vista SP1 ve Windows XP SP3 içerisinde kullanılabilir durumda.

RDC 6.1 ‘i Windows XP SP2 üzerinde kullanmak için aşağıdan download etmemiz gerekiyor (KB952155)

RDC 6.1 Download

RDC 6.1 ‘in dili ingilizcedir. Diğer dillere çevirmek için (Türkçe de dahil) aşağıdaki MUI pakedini indirip kurmalıyız. (KB952230)

RDC 6.1 MUI Download

İyi çalışmalar.

Aşağıdaki anahtarı ve değeri yaratın

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer   altında

yeni bir Dword yaratın ve adını NoDrives yapın.

Bu dwordun değerini

3 yaparsanız A ve B sürücüleri,

4 yaparsanız C sürücüsü,

7 yaparsanız A, B, C sürücüleri,

8 yaparsanız D sürücüsü,

0x03ffffff(67108863) yaparsanız tümü gizlenir.

Yukarıda verdiğim değerler ve gizlenebilir sürücüler, windows xp professional üzerinde gpedit.msc ile kısıtlanabilir sürücülerdir.

Diğer sürücüler için bir takım hesaplar gerekir ki bu kombinasyonu birkaç cümleyle anlatmak çok zor, başlı başına bir makale konusudur.

Örnek vermek gerekirse; C G ve H sürücülerini gizlemek için;

Öncelikle bu 3 sürücüyü gizlemek için yaratacağımız değer dword değil ikili değer olmalı, buna dikkat etmeliyz.

Yukarıda bahsettiğim registry anahtarına gidin ve NoDrives adında yeni bir İkili Değer (REG_BINARY) yaratın.

İçeriğini C4 00 00 00 olacak şekilde ayarlayın.

Aşağıdaki gibi görünmeli.

0000        C4 00 00 00      A…

Daha sonra oturumu kapatıp yeniden logon olun.. ve sürücüler gizlenecektir.

Diğer sürücü kombinasyonları için isteklerinizi yorum şeklinde yazarsanız, yardımcı olmaya çalışırım.

Windows XP için Türkçe SP3 hazır !!

Microsoft tarafından yapılmış resmi bir açıklama yok ancak, microsoft sunucularında duran ve 32bit (x86) windows xp türkçe işletim sistemleri için olan SP3 ‘ü indirmek için buraya tıklayın.

Açık Link: http://download.windowsupdate.com/msdownload/update/software/svpk/2008/04/windowsxp-kb936929-sp3-x86-trk_5AAF60501636AF08C97EF1C18F1315F4ED6FBCDF.exe

Bildiğiniz gibi Windows XP işletim sistemi için Service Pack 3 ‘ün çıkmasına çok az kaldı. Şu an RC hali birkaç dil için kullanılabilir durumda (aralarında Türkçe yok!). XP SP3 RC hakkında yazdığım kısa bir yazıya buradan ulaşabilirsiniz. Kararlı sürümün ise Mayıs ortasına kadar release olması bekleniyor.

Windows XP, SP2 paketi ile gayet kararlı bir hal aldı ve birçok işletmenin ihtiyacını fazlası ile karşılayabilir durumda. Şimdi ise SP3 ile çok daha güçlü bir hal alacağına hiç şüphe yok.

Windows XP’nin, SP3 ile neler kazanacağına bir göz atalım.

Her servis paketinde olduğu gibi SP3 için de; Windows’un daha güvenli, daha stabil ve daha performanslı çalışmasını amaçladığını söyleyebiliriz.

Yine her servis paketinde olduğu gibi, yayınlanma tarihine kadar olan Windows update’leri, güvenlik update’lerini ve hotfix’leri içeriyor olacak.

Windows XP’nin SP3 ile sıra dışı özellikler kazanmasını bekleyenlerin hayal kırıklığına uğrayacağının altını çizmek isterim. Windows Server 2008 ve Vista teknolojileri arasından sadece NAP (Network Access Protection) uyumu SP3 ile gelecek. Bunun dışında herhangi bir yenilik şimdilik söz konu değil.

Ayrıca Internet Explorer 7 de SP3 içine dahil edilmemiş. Ama manuel olarak indirilip kurulabilir.

Yazının devamını oku … »

Bildiğiniz gibi Uzak Masaüstü Bağlantısında oturum açacak hesabın mutlaka bir şifresi olmalı. Bu, windows güvenlik mimarisinde tasarımsal bir durumdur.

Aşağıdaki policy ayarını uyguladığımız sistemler üzerinde, şifresi olmayan hesaplar da, Uzak Masaüstü Bağlantısı ile oturum açabilir.

Bootable olmayan Windows XP cdlerine, bootable cd özelliği kazandırmak için WBT dosyaları kullanıyoruz.

Windows XP SP2 bootable cd için gerekli WBT dosyasını buradan indriebilirsiniz.

Uygulama için buraya bakabilirsiniz.

Merhaba,

Çok sık karşılaştığımız bir problem var. (Yada hep bana denk geliyor :)

Bilgisayarı açıyorsunuz ve karşınıza “Bu windows kopyasını etkinleştirmeniz gerekiyor. Şimdi etkinleştirmek istiyormusunuz?” gibilerinden bir uyarı geliyor.

“-Hay allah benim işletim sistemim lisanslı deyilmiydi, nası oldu bu iş şimdi böyle” dememek elde değil.

Her neyse, “Evet” diyerek onaylıyorsunuz ve karşınıza “Bu windows kopyası zaten etkinleştirildi” gibilerinden bir uyarı daha geliyor. Madem etkinleştirilmiş o halde sorun yok, “Tamam” diyip  oturum açmak istiyorsunuz ve ilk uyarı tekrar karşınıza çıkıyor “Bu windows kopyasını etkinleştirmeniz gerekiyor. Şimdi etkinleştirmek istiyormusunuz?”. Birkez daha “Evet” diyorsunuz ve işlemler kısır döngü şeklinde böyle sürüp gidiyor. Yazının devamını oku … »