Kurumsal yapılarda kullanıcıların hangi sistemlere, hangi yöntemlerle erişebileceğini kontrol etmek, bilgi güvenliğinin en temel yapı taşlarından biridir. Özellikle Windows tabanlı domain ortamlarında, yetkisiz erişimleri engellemek ve güvenlik politikalarını merkezi olarak yönetmek için Group Policy (GPO) mekanizması kritik bir rol oynar. Bu noktada sıkça karşımıza çıkan ayarlardan ikisi de “Allow log on locally” ve “Deny log on locally” politikalarıdır.
Bu iki ayar bir kullanıcının ya da grubun belirli bir bilgisayara fiziksel olarak oturum açıp açamayacağını doğrudan belirler. Yanlış yapılandırıldığında sistem yöneticilerinin bile makinelerden dışarıda kalmasına sebep olabilecek kadar kritik olan bu politikalar, doğru kullanıldığında ise hem güvenliği arttırır hem de yetki yönetimini ciddi anlamda sadeleştirir.
Konuyu daha iyi anlayabilmek için örnek bir senaryo üzerinden ilerleyelim. Senaryomuzda Muhasebe adında bir Organizational Unit (OU) bulunacak ve OU içerisinde muhasebe departmanına ait bilgisayarlar yer alacaktır. Amacımız, bu bilgisayarlara yalnızca Domain Admin, Administrator ve Muhasebe grubuna üye kullanıcıların oturum açabilmesini sağlamaktır.
Bu senaryo sayesinde, belirli bir departmana ait bilgisayarlara kimlerin fiziksel olarak erişebileceğini nasıl sınırlandırabileceğimizi ve Allow / Deny log on locally politikalarının gerçek hayatta nasıl kullanıldığını net bir şekilde görmüş olacağız.
Öncelikle Active Directory Users and Computers üzerinden Muhasebe grubu oluşturup muhasebe bölümünde olan kullanıcıları gruba ekleyelim.
Yukarıdaki senaryoya uygun olarak ilk adımda, yetki vermek istediğimiz kullanıcıları Muhasebe grubuna ekledik. Ardından, muhasebe departmanına ait bilgisayarları da Muhasebe OU’su altına taşıdık. Bu şekilde hem kullanıcıları hem de bilgisayarları mantıksal olarak aynı yapı altında toplamış olduk. Böylece oluşturacağımız Group Policy Object (GPO) yalnızca ilgili OU kapsamındaki bilgisayarlara uygulanacak ve muhasebe dışındaki sistemler bu politikadan etkilenmeyecektir.
GPO’yu oluşturduktan sonra, ilgili ayara ulaşmak için aşağıdaki yolu izleyelim:
Computer Configuration -> Windows Settings -> Security Settings -> User Rights AssignmentBu bölümde karşımıza “Allow log on locally” ve “Deny log on locally” olmak üzere iki temel ayar çıkmaktadır. İhtiyacımıza ve güvenlik senaryomuza bağlı olarak, bu iki politikadan yalnızca birini kullanmamız genellikle yeterlidir.
Genel yaklaşım olarak;
Allow log on locally, belirli kullanıcı veya gruplara açıkça izin vermek için,
Deny log on locally, ise belirli kullanıcı veya grupları özellikle engellemek için kullanılır.
Ancak unutulmaması gereken en önemli nokta şudur: Deny politikaları her zaman Allow politikalarına baskındır. Yani bir kullanıcı hem Allow listesinde hem de Deny listesinde yer alıyorsa, erişimi kesin olarak engellenir. Bu nedenle bu ayarları yapılandırırken çok dikkatli olunmalı, özellikle yönetici hesaplarının yanlışlıkla engellenmediğinden emin olunmalıdır.
Allow log on locally ayarının Properties kısmına girerek, bu bilgisayarlara oturum açmasına izin vermek istediğimiz kullanıcı ve grupları ekleyelim. Bu noktada Domain Admin, Administrator (local) ve Muhasebe grubu mutlaka listede yer almalıdır.
Aksi halde, eğer Domain Admin grubunu bu listeye eklemezsek, domain yöneticileri dahi bu bilgisayarlara lokal olarak oturum açamaz. Bu da özellikle uzaktan müdahale veya sorun giderme senaryolarında ciddi erişim problemlerine yol açabilir. Bu yüzden Allow listesi oluştururken, yönetici gruplarının kapsam dışında bırakılmadığından mutlaka emin olunmalıdır.
Son olarak, oluşturduğumuz GPO’yu ilgili Muhasebe OU’su üzerine link edelim. Bu işlem sayesinde hazırladığımız politika yalnızca bu OU altında bulunan bilgisayarlara uygulanacaktır.
GPO linkleme işlemi tamamlandıktan sonra, Muhasebe OU’su dışındaki hiçbir bilgisayar bu ayardan etkilenmeyecek; böylece yetkilendirme sadece muhasebe departmanına ait sistemlerle sınırlı kalacaktır. Bu da hem güvenlik hem de yönetilebilirlik açısından en doğru yaklaşımdır.
Bu yapılandırmadan sonra, Muhasebe grubuna üye olan kullanıcılar ilgili bilgisayarlara sorunsuz bir şekilde oturum açabilecektir. Ancak bu gruba dahil olmayan kullanıcılar, sisteme giriş yapmaya çalıştıklarında aşağıdaki gibi bir erişim engeli uyarısı ile karşılacaktır.
Bu uyarı, kullanıcının parola bilgisinin yanlış olmasından değil, Group Policy üzerinden yetkisinin kısıtlanmış olmasından kaynaklanmaktadır. Yani kullanıcı doğru kullanıcı adı ve parolayı girse bile, sistem politikaları gereği lokal oturum açmasına izin verilmez. Bu da Allow / Deny log on locally ayarlarının doğrudan ve etkili bir şekilde çalıştığını gösterir.
Daha fazla Windows içeriği için takipte kalın…
Leave a Reply