NT4.0 sistemlerden bu zamana network üzerinde paylaştırılmış her klasör, izni olan ya da olmayan herkes tarafından görüntülenebiliyordu. Peki ama bunu engellemenin bir yöntemi var mı? Server 2003 SP1 ve R2 sistemlerde Access-Based Enumeration (ABE) kullanarak paylaşılan klasörleri sadece izni olanların görüntülemesini sağlayabiliyoruz. Bu makalemde bu işlemin nasıl yapıldığına değineceğiz.
Çalıştığım birçok networkte, herhangi bir bilgisayar üzerinden paylaştırılmış bir klasörün, izni olan-olmayan tüm kullanıcılar tarafından görüntülenmesinin zaman zaman karışıklıklara zaman zamanda istenmeyen birçok sıkıntıya yol açtığını gördüm. Şimdi ABE ile işlemlerimize başlayalım.
Setup dosyasını buraya klikleyerek indirdikten sonra Access-Based Enumeration kurulumuna geçebiliriz. x86, AMD64 veya IA64 paketlerinden sisteminize uygun olan paketi seçmeniz dikkat etmeniz gereken bir nokta.
1. Setup.exe’yi çalıştıralım ve Next ile devam edelim.
Şekil-1
2. I will enable Access-based Enumeration on individual shared folders’ı seçelim ve Next ile kurulumu tamamlayalım. Diğer seçeneğin seçilmesi durumunda paylaşımdaki tüm dosyalarınızda ABE etkinleşecektir.
Şekil-2
Bu senaryomuzda kullanacağımız yapıda, File Server (R2 isimli) üzerinde Access-Based Enumeration isimli bir paylaşımın içerisinde Emre Aydin ve Onder Erunsal isimli iki tane klasör bulunmaktadır. Bu üç klasörün izinleri ve hakları aşağıda verilen şekillerdeki gibidir.
Şekil-3
Şekil-4
Şekil-5
Şekil-6
Bu izinlere ve haklara sahip olan Emre Aydin ve Onder Erunsal kullanıcıları network üzerinden kendi klasörlerine sorunsuz şekilde erişebilirler. Fakat Emre Aydin isimli kullanıcı networkten diğer kullanıcının klasörüne erişmek istediğinde şekil-7’deki Access is denied hatasını alacaktır.
Şekil-7
3. Access-Based Enumeration isimli klasörün özeliklerini açalım.
4. Access-based Enumeration tabına geçelim.
5. Enable access-based enumeration on this shared folder kutucuğunu işaretleyelim.
Şekil-8
Bu değişiklikten sonra Emre Aydin kullanıcısıyla network üzerinden Access-Based Enumeration isimli klasöre eriştiğimizde görüntü şekil-9 deki gibi olacaktır. Artık kullanıcı sadece kendi izninin olduğu klasörleri görebilir haldedir.
Şekil-9
ABE tüm File Server’lar üzerinde kullanılabilecek, basit kurulumu ve neredeyse konfigürasyon istemeyen yapısıyla Server 2003 SP1 ve R2 sistemlerinde güvenliği bir seviye daha artıracak gibi görünüyor. ABE ile ilgili dikkat edilmesi gereken birkaç noktaya değinecek olursak:
- Windows 2003 SP1 veya R2 kullanılması gerekir.
- Administrators grubuna dahil olan hesaplar ABE uygulanmış olsa bile tüm paylaştırılmış dosya ve klasörleri görebilirler.
- ABE Terminal Server yapısı içinde kullanılmaz.
- Yeni yaratılan paylaşımlarda ABE otomatik olarak etkin olmaz. Manuel olarak etkinleştirmeniz gerekir.
- ABE, File Server’lardaki işlemci performansını biraz düşürebilir.
- Windows Vista ve Longhorn Server’da, ABE otomatik olarak yüklü geleceği için bu makalede anlatılan manuel işlemlere gerek kalmayacak.
Referanslar
Windows Server 2003 Access-based Enumeration
http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx