Windows İşletim Sistemlerinde Yetkilendirme

Slides:



Advertisements
Benzer bir sunumlar
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Advertisements

Web Servis Destekli Bütünleşik Hesap Yönetimi
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
Filezilla Client & Server
Günümüz İşletim Sistemlerine Genel Bakış
Mehmet Tahir SANDIKKAYA1 Rolf Oppliger, Internet and Intranet Security, Artech House, 1998, pp. 215–247. Ulaşım Katmanı Güvenlik Protokolleri.
Ağ ve Sistem Yönetimi Şubesi
E TİCARETTE GÜVENLİK SORUNLARI VE ÖNLEMLERİ
MD-5 (Message-Digest Algoritma).
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
Secure Socket Layer (SSL) Nedir?
TEMEL İNTERNET KAVRAMLARI
BİLGİSAYAR AĞLARI.
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
İnternet Teknolojisi Temel Kavramlar
MERKEZİ KULLANICI TANIMA SERVİSLERİ Mustafa Atakan ODTU-BIDB Teknik Destek Grubu.
.NET Teknolojileri .NET mimarisi VB.NET, C.NET, C#.NET
Asimetrik Şifreleme Sistemleri ve Özellikleri
WINDOWS NT GENEL YAPISI
 Bilgisayarlar arasında bilgi alışverişini, dosya iletimini sağlamaktadır.  Bu protokol kullanılarak, internet üzerinde bulunan herhangi bir bilgisayarda.
BİLGİSAYAR AĞLARINA GİRİŞ
Bilgi Güvenliği: Dünyadaki Eğilimler
BİLGİSAYAR AĞLARINA GİRİŞ
E-TICARET’TE GUVENLİK SİSTEMLERİ
İnternet Teknolojisi Temel Kavramlar
Chapter 5. Ağ Protokolleri
İŞLETİM SİSTEMLERİ Derya Işık
Microsoft Windows Server 2003
Microsoft Windows Server 2003 © Yenilikler ERCAN SAPMAZ.
BİLGİ GÜVENLİĞİ.
Dağıtık Sistemlerde Güvenlik
WEB Teknolojileri Günleri 02 WEB de Güvenlik Türk Telekomünikasyon A.Ş. Bilişim Ağları Dairesi Başkanlığı İnternet Servisleri Müdürlüğü Ali KAPLAN
Ağlar ve Veri İletişimi
KIRKLARELİ ÜNİVERSİTESİ
Dosya sistemi, bilgisayarın sabit disk üzerindeki verileri düzenlemek için kullandığı temel yapıdır. Disk depolamanın temel birimidir. Disklerin kullanılabilmesi.
E-POSTA Hakan YİĞİT.
ÖMER ÜNALDI EDUROAM.
FAT VE NTFS DOSYA YAPISI
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Konu : WİNDOWSTA VERİ DEPOLAMA YÖNTEMLERİ Hazırlayan : Güray Mantar
Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM Figen Bozkurt Şule Toker
Bilgi İşlem Organizasyonu Güz Dönemi Server Çeşitleri ve Aralarındaki Farklar – Burak Eray KAYIŞ.
SUNUCU İŞLETİM SİSTEMLERİ
 Active Directory, ağ kaynaklarını verimli bir şekilde yönetmenize olanak sağlayan, genişletilebilir bir dizin hizmetidir. Bu dizin hizmeti, ağda bulunan.
Excel Örnekleri TOPLA Fonksiyonu.
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
ELEKTRONİK TİCARET Öğr. Gör. Canan ASLANYÜREK.
FİleZİlla Tanitim ve kurulum Murat Gürgenç.
haZIRLAYAN: ELİF KARAOĞLU
Muhammet Doğan KABLAN
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
FTP Server Eray Demir
MAİL SERVER Oğuz ZARCI –
Active Directory.
PROXY SERVER YASİN ÇAKIR
E-TICARET’TE GUVENLİK SİSTEMLERİ
ACTIVE DIRECTORY.
VIRTUAL PRIVATE NETWORK (VPN)
PORTLAR Gizem GÜRSEL
LDAP ( LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL )
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi
Trakya Üniversitesi Teknik Bilimler Meslek Yüksekokulu
Excel Örnekleri TOPLA Fonksiyonu.
Temel Internet Kullanımı Y. Doç. Dr. M. Sıtkı İlkay Ekim 2006.
HTTP Kullanıcı Asıllama ve Yetkilendirme
Mustafa COŞAR- Murat DOĞAN- İsmail ARIK Hitit Üniversitesi
WİNDOWS SÜRÜMLERİ ARASINDAKİ FARKLILIKLAR
SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI
Sunum transkripti:

Windows İşletim Sistemlerinde Yetkilendirme A. Veysel TOPLU İşletim Sistemleri Tasarımı

MS Windows Yetkilendirme Tipleri Kerberos (Kerberos.dll)  MIT (Massachusetts Instıtute of Technology ) tarafından tasarlanmış kimlik denetim sistemidir. NTLM LM: Windows NT ailesi işletim sistemleriyle, Windows 3.11/95/98/Millenium Edition işletim sistemlerinin kimlik doğrulamasında kullanılır. NTLM : Windows Server 2003 ailesi için varsayılan iletişim protokolüdür. LM protokolünün zayıflıklarından dolayı kullanılmaya başlanmıştır. Schannel The Secure Sockets Layer (SSL) ve Transport Layer Security (TLS) authentication protokolleri ile kullanılmak üzere tasarlanmıştır. . Digest WDigest (Digest Kimlik Doğrulama Protokolü), HTTP(Hyper Text Transfer Protocol) ve SASL (Simple Authentication Security Layer) protokolleri ile kullanılmak üzere tasarlanmıştır. Gizli bir anahtar kullanarak özet kimlik doğrulaması ve diğer protokollerin güvenli yuva üzerinden aktarımını sağlar.

Windows Authentication SSPI: Security Support Provider Interface, Windows Authentication işleminde kullanılan arabirimdir.

Kerberos SSP Nasıl Çalışır Kerberos doğrulamasının üç farklı ihtiyacı vardır. Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC) Kullanıcı ve hesabı İstenilen servisi sağlayan sunucu Anahtar Dağıtım Merkezi, Domain Controller’ın (DC) bir parçası olarak kurulur ve iki farklı görevi vardır. Kimlik doğrulama hizmeti (Authentication Service) Bilet Sağlama Hizmeti (Ticket-Granting Service) * Windows Server 2003 için varsayılan kimlik doğrulama protokolüdür. * Apple Mac OS X de Kerberos'u hem istemci hem sunucu ortamında kullanır.

Kerberos SSP Nasıl Çalışır Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar. 2) DC, kullanıcı bilgilerini kontrol edip onayladıktan sonra kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar. (Bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. ) 3) TGT ti DC ye gönderdikten sonra DC “Bilet Sağlama Hizmeti”nden Servis biletini alır.

Kerberos SSP Nasıl Çalışır

Kerberos SSP Destekleyen Servisler      LDAP(Lightweight Directory Access Protocol) kullanarak Active Directory sorguları         RPC çağrıları kullanarak uzak sunucu veya iş istasyonu yönetimi         Yazdırma servisleri         İstemci-sunucu doğrulaması         CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi         Dağıtılmış dosya sistemi yönetimi ve göndermeleri         IIS (Internet Information Services) için Intranet doğrulaması         IPSec(Internet Protocol Security) için güvenlik yetkilisi doğrulaması.         Domain kullanıcıları ve bilgisayarlar için sertifika servislerine sertifika istekleri

LM Nedir, Nasıl Çalışır Günlük kullanmış olduğumuz şifreler disk üzerinde özet olarak kayıt edilir. Bu özetler iki ayrı şekilde LM ve NTLM olarak tutulup birbiri ile entegre olarak işlem görür ve kimlik doğrulamasını gerçekleştirir. Windows işletim sisteminde ise kullanıcı hesapları ve parolaların şifrelemesinde kullanılan SYSKEY  bilgisi SAM (Security Account Manager) dosyasında tutulur. Microsoft işletim sistemleri, eski işletim sistemleri ile iletişim kurması gerekebilmektedir. Bu nedenle, eski sürümlerde olan bazı özellikler(yeni sürümler kendi arasında kullanmadığı halde ) yeni versiyonlara eklenmektedir. LM özeti de, Windows NT ailesi işletim sistemleriyle, Windows 3.11/95/98/Millenium Edition işletim sistemlerinin kimlik doğrulamasında kullanılır LM Şifrelemesinde İzlenen Adımlar Şifrede harf var ise büyük harflere çevrilir. Şifre 14 karakter ise ilk 14 karakteri alınır. 14 karakterden daha kısa ise eksik karakterler yerine boş (null) karakter eklenir. 14 karakterden uzun ise sonuna ‘0’ karakteri eklenir. Şifre 7 karakterlik 2 parçaya bölünür ve her parça sabit bir katarı (string) DES şifreleme algoritmasıyla şifrelemek için  anahtar olarak kullanılarak 2 adet özet değeri elde edilir. Oluşturulan 8 byte özet değeri uç uca eklenir ve 16 byte uzunluğunda özet değeri elde edilir.

NTLM Nedir, Nasıl Çalışır LM protokolünün zayıflıklarından dolayı kullanılmaya başlanmıştır. NTLM Şifrelemesinde İzlenen Adımlar 1) Kullanıcı client bilgisayara login olur. 2) İstemci kullanıcı adını açık halde sunucuya göndererek bağlantı kurmak ister. 3) Sunucu istemciye kimliğini ispatlaması için 16 byte’lık rastgele bir sayı yollar. Bu sayıya “challenge” veya “nonce (number used once)” adı verilir. 4) İstemci özel anahtarı (parolasının özeti) ile bu sayının özetini alarak sunucuya cevap verir. 5) Sunucu etki alanı denetleyicisine kullanıcı ismini, bu şifreli sayıyı ve sayının orijinal halini yollayarak etki alanı denetleyicisinin istemci kimliğini doğrultmasını talep eder. Eğer ortamda bir DC yok ise bu adım ve bir sonraki (5.) adım olarak sunucu üzerinde gerçekleşir. 6) İstemcinin özel anahtarına sahip olan etki alanı denetleyicisi, sayıyı (challange) istemcinin özel anahtarı ile özetleyerek daha önceden alınan özet sayı değeri ile karşılaştırır. Sonucu sunucuya gönderir. 7) Sunucu cevabı istemciye bildirir.

NTLM Nedir, Nasıl Çalışır

NTLM SSP Destekleyen Servisler         Yazdırma servisleri         İstemci-sunucu doğrulaması         CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi         Secure RPC/DCOM-based services

Kerberos VS NTLM Özellikler Kerberos NTLM Açıklama Daha Hızlı Kimlik Doğrulaması Kerberos server üzerinde kimlik doğrulaması için gereken bilgiyi bulundurduğu için daha çabuk doğrulama yapabilmektedir. NTLM’de ise DC ile iletişim kurması gerekir Karşılıklı Kimlik Doğrulama Kerberos karşılıklı kimlik doğrulamasını destekler. NTLM’de ise Client kendi üzerinden doğrulama yaptıktan sonra sunucu ile de doğrulamaya tabi tutar. Akıllı Kart Desteği Kerberos smartcard oturum açma özelliğini desteklemektedir.

Secure Channel (Schannel) SSP Schannel öncelikle güvenli HTTP (HyperText Transfer Protocol ) iletişimi gerektiren Internet uygulamaları için kullanılır. Transport Layer Security (TLS). Secure Socket Layer (SSL) version 3.0. Private Communications Technology (PCT) (Windows 2003 serverdan sonra standart olarak gelmemektedir.) SSL version 2.0.

Secure Channel (Schannel) SSP SSL Çalışma Prensibi 1 Kullanıcı, internet sunucusundan güvenli bir bağlantı isteğinde bulunur, 2 İnternet sunucusu, kullanıcıya sertifikasıyla birlikte açık anahtarını (public key) gönderir, 3 Kullanıcının kullandığı internet tarayıcısı, sunucunun göndermiş olduğu bu sertifikanın güvenilir bir sertifika otoritesinden gelip gelmediğini ve sertifikanın geçerli olup olmadığını kontrol eder, 4 Kullanıcının kullandığı internet tarayıcısı rastgele bir simetrik şifreleme anahtarı üretir. Daha sonra internet sunucusunun açık anahtarını (public key) kullanarak bu simetrik şifreleme anahtarını şifreler ve bağlanmaya çalıştığı internet sunucusuna gönderir, 5 İnternet sunucusu, kendi açık anahtarıyla (public key) şifrelenmiş olan bu mesajı kendi özel anahtarıyla (private key) çözerek simetrik anahtarı elde eder, 6 İnternet sunucusu bundan sonra kullanıcıya göndereceği verileri elde etmiş olduğu bu simetrik anahtarı kullanarak gönderir, 7 Kullanıcı aynı simetrik anahtarla internet sunucusundan gelen verileri çözerek internet sayfasını güvenli bir şekilde görüntüler.

Secure Channel (Schannel) SSP SSL Çalışma Prensibi 1 Kullanıcı, internet sunucusundan güvenli bir bağlantı isteğinde bulunur, 2 İnternet sunucusu, kullanıcıya sertifikasıyla public key gönderir public key kullanarak bu simetrik şifreleme anahtarını şifreler bağlanmaya çalıştığı internet sunucusuna gönderir 6 İnternet sunucusu bundan sonra kullanıcıya göndereceği verileri elde etmiş olduğu bu simetrik anahtarı kullanarak gönderir,

Digest SSP Digest SSP (Wdigest.dll) LDAP ve HTTP gibi belirli uygulamalar için tercih edilen kimlik doğrulama protokolüdür. Internet Explorer (IE) ve Internet Information Services (IIS) erişim. LDAP sorguları.

Genel Bakış

Teşekkürler