Güvenlik ayarlarýný çalýþtýðý bilinen son duruma nasýl geri yüklerim?

Bir iþletim sistemi yüklemesinin ömrü boyunca, iþletim sisteminin veya uygulamalarýn düzgün çalýþmasýný engelleyen yapýlandýrma deðiþiklikleri olabilir. Aþýrý kýsýtlayýcý güvenlik ayarlarýnýn neden olabileceði belirtilerin bazýlarý aþaðýda belirtilmiþtir, ancak bunlarla sýnýrlý deðildir:



· Ýþletim sistemi, hizmet veya uygulamayý baþlatma hatalarý

· Kimlik doðrulama veya yetkilendirme hatalarý

· Yerel veya uzak bilgisayarda kaynak eriþimi hatalarý


Güvenlik ayarlarýnda deðiþiklik yapabilen iþlemlerin bazýlarý aþaðýda belirtilmiþtir, ancak bunlarla sýnýrlý deðildir:



· Ýþletim sistemi yükseltmeleri, QFE hizmet paketi ve uygulama yüklemeleri

· Grup ilkesi deðiþiklikleri

· Kullanýcý haklarý atamalarý

· Güvenlik þablonlarý

· Active Directory, kayýt defteri ve diðer veritabanlarýndaki güvenlik ayarlarý deðiþikliði

· AD, dosya sistemi ve Windows kayýt defterindeki nesne izinleri deðiþikliði



Güvenlik ayarlarýnýn; yerel, uzak bir bilgisayar, yerel ve uzak bilgisayar arasýndaki birlikte çalýþabilirlik uyumsuzluðunda tanýmlanabileceðini unutmayýn.



Önceden çalýþan bir kurulum bir anda baþarýsýz olursa, normal sorun giderme adýmý; iþletim sistemi, hizmet veya uygulama en son çalýþtýðýnda var olan son çalýþan yapýlandýrmaya dönmek ya da olaðanüstü bir durumda iþletim sistemini ilk çalýþtýrma yapýlandýrmasýna döndürmektir.


Bu makalede, aþaðýdaki öðelere yapýlan deðiþiklikleri geri almak üzere desteklenen ve desteklenmeyen yöntemler açýklanmaktadýr:

· Kayýt Defterindeki Ýzinler, Dosya Sistemi ve Hizmetler.

· Kullanýcý haklarý atamalarý

· Güvenlik ilkesi

· Grup üyeliði



Varsayýlan güvenlik þablonlarýný alma sýnýrlamalarý:

Bu makalenin önceki sürümünde, “secedit /configure” komutunu kullanma yöntemi ve bu yordamýn, Windows'u yüklediðinizde uygulanan güvenlik ayarlarýný geri yüklemediðini ve öngörülmeyen sonuçlar doðurabileceðini uyarýsý yer almaktadýr.



Varsayýlan güvenlik þablonunu ve dfltbase.inf dosyasýný almak için “secedit /configure” komutunun kullanýmý; Windows Vista, Windows 7, Windows Server 2008 ve Windows Server 2008 R2 bilgisayarlarýndaki varsayýlan güvenlik izinlerini geri yüklemek için desteklenmeyen, geçersiz bir yöntemdir.

Windows Vista'dan baþlayarak, iþletim sisteminin kurulumu sýrasýnda güvenliði uygulama yöntemi deðiþtirildi. Özellikle deftbase.inf dosyasýnda tanýmlanan ayarlardan oluþan güvenlik ayarlarý, iþletim yükleme iþlemi ve sunucu rolü yüklemesi tarafýndan uygulanan ayarlarca güçlendirilir. Ýþletim sisteminin kurulumu tarafýndan oluþturulan izinleri yeniden göndermek için desteklenen bir iþlem bulunmadýðýndan, “secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose” komut satýrýnýn kullanýlmasý artýk tüm güvenlik varsayýlanlarýný sýfýrlama becerisine sahip deðildir ve iþletim sisteminin kararsýz duruma gelmesi ile sonuçlanabilir.

Microsoft Windows 2000, Windows XP veya Windows Server 2003 bilgisayarlar için secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose” komutu, secsetup.inf þablonu kullanýlarak güvenlik ayarlarýnýn geri yüklenmesinin gerektiði birkaç senaryoda hala desteklenir. Secsetup.inf ve herhangi bir diðer þablonun yalnýzca þablonda tanýmlananlarý sýfýrlamasýndan ve harici ayarlarý geri yüklememesinden dolayý, bu yöntem uyumluluk sorununa yol açabilecekler de dahil olmak üzere iþletim sistemi varsayýlanlarýnýn tümünü geri yüklemez.



"secedit / configure" komutunun kullanýmý, özel þablonlarýn alýnmasýnda tamamen desteklenmektedir.





Aþaðýda, Windows sistemini bir önceki çalýþýr durumuna geri yüklemek için desteklenen yöntemlerin (tercih sýrasý geliþigüzeldir) bir listesi sunulmaktadýr.



1. Sistem Durumunu kullanarak geri yükleme: (Tüm Windows istemcileri/sunucularý için)

Sorundan önce belirli bir Windows sistemi için oluþturulan bir Sistem Durumu yedeklemeniz varsa, çalýþýr bir duruma dönmek için güvenlik ayarlarýný geri yüklemek üzere bunu kullanýn. Sistem durumundan dolayý sistemdeki uygulamalarda yapýlan tüm deðiþikliklerin, baþarýlý bir kurtarma için yeniden uygulanmasý gerekebilir. Bu iþlem, verilerle ve iþletim sistemine ait olmayan dosyalarla ilgili uygulamadaki güvenlik ayarlarýný geri yüklemek için yararlý olmayabilir. Özgün duruma geri yüklemek için sistem durumu da dahil olmak üzere Tam Sistem yedeklemesine gerek duyabilirsiniz.

2. Sistem Geri Yükleme'yi kullanarak geri yükleme:(Yalnýzca Windows istemci iþletim sistemleri için)

Yerleþik Sistem Geri Yükleme özelliði otomatik olarak düzenli aralýklarla ve desteklenen yükleyici yöntemleri ile uygulamalar eklendiðinde geri yükleme noktalarý oluþturur. Her geri yükleme noktasý, sistemi seçilen sistem durumuna geri yüklemen için gereken gerekli bilgileri içerir. Bu yöntem, sistemi belirli bir duruma geri döndürmek için kullanýlabilir. Önceki yöntemde söz edildiði gibi, bu iþlem uygulama verilerindeki güvenlik ayarlarýný geri yüklemek ve aynýsý için gereken bir Tam Sistem yedeklemesi için yararlý olmayabilir.

3. Önceden yapýlandýrýlmýþ bir þablonu kullanarak geri yükleme:

Bir þablon ile oluþturulan sistemler için, þablon sorunlu makinede oluþturulduysa Güvenlik Yapýlandýrma Sihirbazý'ný kullanabilirsiniz.

4. Yalnýzca dosya izinlerini geri yükleme:

Dosya izinleri için, çalýþýr durumdan önce /save anahtarý kullanýlarak ayný makinede yedeklenen dosya güvenliðini geri yüklemek için ICACLS/restore yerleþik komut satýrý aracýný kullanabilirsiniz. Bu yöntem, özdeþ bir çalýþýr makine ile baþarýsýz bir makinenin sonuçlarýný karþýlaþtýrmak için kullanýlabilir.



Yukarýdaki yöntemlerin hiçbiri uygulanamaz ve hiçbir yedeklemeden geri yükleme yapýlamazsa, deðiþiklik denetimi listenizi takip ederek, bu makalenin sorun giderme bölümüne baþvurarak veya ortadan kaldýrma iþlemini kullanarak deðiþiklikleri geri alýn.





Aþaðýda, daha önce bahsedilen yöntemleri karþýlaþtýran bir tablo sunulmaktadýr.

Bir izin sorununu gidermek için aþaðýdaki Güvenlik parametrelerinin giderilmesi gerekebilir. Güvenlik þablonlarý içinde tanýmlanan parametreler þunlardýr:



Aþaðýdaki araçlar farklý güvenlik alanlarýnýn sorunlarýný gidermek için kullanýlabilir:

1. SecurityPolicy (Hesap Ýlkeleri, Denetim Ýlkeleri, Olay Günlüðü Ayarlarý ve Güvenlik Seçenekleri):

a) RSOP

b) Güvenlik Yapýlandýrmasý ve Çözümlemesi

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) Güvenlik Yapýlandýrmasý ve Çözümlemesi

c) Ntrights

4. RegKeys

a) RSOP

b) Güvenlik Yapýlandýrmasý ve Çözümlemesi

c) Ýþlem Ýzleyicisi

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) Güvenlik Yapýlandýrmasý ve Çözümlemesi

c) Ýþlem Ýzleyicisi

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Hizmetler

a) RSOP

b) Güvenlik Yapýlandýrmasý ve Çözümlemesi

c) Ýþlem Ýzleyicisi

d) Sc

e) AccessChk

f) Subinacl



Yukarýda listelenen araçlarýn her birinin kullanýmý ile ilgili ek ayrýntýlar aþaðýdadýr.

RSOP (Ýlke Sonuçlarý Kümesi)

Ýlke Sonuçlarý Kümesi (RSoP), ilke uygulamasýný ve sorun gidermeyi kolaylaþtýran bir Grup Ýlkesi ekidir. RSoP, var ola ilkeleri ve planlanmýþ ilkeleri yoklayan ve ardýndan bu sorgularýn sonuçlarýný raporlayan bir sorgu altyapýsýdýr. Siteye, etki alanýna, etki alaný denetleyicisine ve kuruluþ birimine dayalý olarak var olan ilkeleri yoklar. RSoP bu bilgileri, Windows Yönetim Araçlarý aracýlýðýyla Genel Bilgi Yönetimi Nesne Modeli (CIMOM) (CIM-uyumlu nesne deposu olarak da bilinir) veritabanýndan toplar.

Ýlke Sonuçlarý Kümesi nedir?

http://technet.microsoft.com/tr-tr/library/cc758010(WS.10).aspx

RSoP'yi kullanma

http://technet.microsoft.com/tr-tr/library/cc782663(WS.10).aspx

Yerleþik “rsop.msc” ek bileþeni, desteklenen tüm iþletim sistemlerinde (Windows XP veya sonraki bir sürüm) kullanýlabilir.

Güvenlik Yapýlandýrmasý ve Çözümlemesi

Güvenlik Yapýlandýrmasý ve Çözümlemesi yerel sistem güvenliðini çözümlemek ve yapýlandýrmak için kullanýlan bir araçtýr. Güvenlik Yapýlandýrmasý ve Çözümlemesi, güvenlik çözümlemesi sonuçlarýný hýzla gözden geçirmenize ve yerel sistem güvenliðini doðrudan yapýlandýrmanýza olanak tanýr. Geçerli sistem ayarlarýnýn yanýnda öneriler sunar ve geçerli ayarlarýn önerilen güvenlik düzeyi ile uyuþmadýðý alanlarý vurgulamak için görsel bayraklar veya açýklamalar kullanýr. Güvenlik Yapýlandýrmasý ve Çözümlemesi, çözümlemeyle ortaya çýkan uyuþmazlýklarý giderme olanaðý da sunar. Kiþisel veritabanlarýnýn kullanýmýyla, Güvenlik Þablonlarý ile oluþturulmuþ olan güvenlik þablonlarýný alabilir ve bu þablonlarý yerel bilgisayara uygulayabilirsiniz. Bu iþlem, þablonda belirtilen düzeyler ile sistem güvenliðini yapýlandýrýr.

Sistem güvenliðini çözümleme

http://technet.microsoft.com/tr-tr/library/cc776590(WS.10).aspx

Güvenlik Yapýlandýrmasý ve Çözümlemesi için en iyi uygulamalar

http://technet.microsoft.com/tr-tr/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe bir Windows makinesindeki yerel ilkeyi veya birleþtirilmiþ ilkeyi dýþarý aktarmak için kullanýlabilen bir yerleþik komut satýrý aracýdýr. Ýlke durumunu çalýþýr durumundaki makineden dýþarý aktarabilir ve sorunlu durumda þablonu makineye yeniden uygulamak için /configure anahtarýný kullanabilirsiniz.

Sözdizimi ve ek bilgi için buraya baþvurun.

NTrights.exe bir Windows bilgisayarda yerel veya uzaktan olacak þekilde kullanýcý hakký vermenizi veya iptal etmenizi saðlayan komut satýrý kaynak paketi aracýdýr.

Oturum açma kullanýcý haklarýný Ntrights.exe yardýmcý programýyla ayarlama

http://support.microsoft.com/kb/315276/tr

Ntrights.exeburadan indirilebilecek kaynak paketi araçlarýnýn bir parçasýdýr.

Ýþlem ÝzleyicisiDosya sistemi, Kayýt Defteri, Ýþlem, Ýþ Parçacýðý ve DLL etkinliðini gerçek zamanlý olarak izlemeye olanak tanýyan Sysinternals yardýmcý programlarýndan biridir. Daha sonra gözden geçirmek üzere sonuçlara filtre uygulamanýzý veya bir dosyada kaydetmenizi saðlar. Bu araç, dosya ve kayýt defteri eriþimi ile ilgili güvenlik sorunlarýný gidermek için kullanýlabilir. Örneðin: "sonuç" ifadesine "reddedildi" giriþimleri için filtre uygulayabilirsiniz.

Ek bilgi için lütfen aþaðýdaki baðlantýya baþvurun:

http://technet.microsoft.com/tr-tr/sysinternals/bb896645.aspx

Ýþlem Ýzleyicisini Çalýþtýr'ý þimdi buradan veya Live.Sysinternals.com adresinden indirin.

AccessCheckbelirli kullanýcýlar/gruplarýn dosyalar/dizinler/kayýt defteri anahtarlarý, genel nesneler ve Windows hizmetleri gibi kaynaklar için ne tür eriþimlere sahip olduklarýný kontrol etmek amacýyla kullanýlabilecek bir komut satýrý programýdýr. Ayrýntýlar için aþaðýdaki baðlantýya týklayýn:

http://technet.microsoft.com/tr-tr/sysinternals/bb664922.aspx

Buradan indirin

AccessEnumgüvenlik delikleri ve gerekli durumlarda izinleri kilitleme konusunda size yardýmcý olacak dosya sistemi yolunuzun ve Kayýt Defteri kovaný güvenlik ayarlarýnýn tam bir görünümünü sunar.

http://technet.microsoft.com/tr-tr/sysinternals/bb897332.aspx

Buradan indirin

Sc.exe Hizmet Denetim Yöneticisi ile iletiþim kuran bir yerleþik bir komut satýrý aracýdýr. Hizmet baþlangýç deðeri hakkýndaki bilgileri görüntülemek, deðiþtirmek veya devre dýþý býrakmak için kullanýlabilir. Bu makale baðlamýnda, “sc sdshow Service_Name” komutunu hizmetteki izinlerin çýkýþý için kullanabilirsiniz. Çýktýyý aldýktan sonra, aynýsýný yorumlamak için aþaðýdaki KB makalesini kullanabilirsiniz

Hizmetlerin isteðe baðlý eriþim denetim listelerini yazanlar için en iyi uygulama örnekleri ve önerilerhttp://support.microsoft.com/kb/914392/tr

Ayrýca, “sc sdset service_name DACL_in_SDDL_format” komutunu izinleri deðiþtirmek için de çalýþtýrabilirsiniz.

Bu konuda ek bilgilere aþaðýdaki baðlantýlardan ulaþabilirsiniz:

http://support.microsoft.com/kb/251192 (Bu sayfa Ýngilizce olabilir)

http://technet.microsoft.com/en-us/magazine/dd296748.aspxIcacls.exeIcacls.exe isteðe baðlý eriþim denetim listelerini (DACL) belirli dosyalarda/dizinlerde görüntülemeye veya deðiþtirmeye olanak tanýyan bir yerleþik komut satýrý yardýmcý programýdýr. “ICACLS path_name /save aclfile” ilgili yol adý için (dosyalar/dizinler) ACL'leri metin dosyasý olarak dýþarý aktarmak için ve “ICACLS path_name /restore aclfile” komutunu kullanarak bu metin dosyasýný dosyalara geri yüklemek için kullanýlabilir.

Bu konuda ek bilgilere aþaðýdaki baðlantýlardan ulaþabilirsiniz:

http://support.microsoft.com/kb/919240/tr

http://technet.microsoft.com/tr-tr/library/cc753525(WS.10).aspx