Merhaba, bu makalemizde Windows File Server ile beraber gelen “Access-Based Enumeration” özelliğini inceleyeceğiz. Access-Based Enumeration özelliğini kısaca tanımlarsak; Ağ üzerinden erişime açtığımız paylaşımlarmızı gerekli yetkiler ile koruruz. Ancak bir kullanıcı bir kaynağa erişim izini olmasa bile yinede paylaşımın adını ağ üzerinden görecektir. İşte Access-Based Enumeration özelliği ile ağ üzerinde yapılan paylaşımları yetkisi olmayan kullanıcılardan gizeleyebiliyoruz. Konuyu makalenin ilerleyen kısımlarında detaylandıracağız. Yolumuz uzun zaman kaybetmeden başlayalım.
Makale üç ana bölümden ulaşacak
1 – File Server Kurulumu
2 – Access-Based Enumeration özelliğinin kullanımı
3- DFS ile Access-Based Enumeration özelliğinin kullanımı
Örnek Senaryo
Örnek senaryo gereği “İstanbul” “Mersin” ve “Konya“‘da çalışan personellerimiz var ve bu personellerimizin sadece izinli oldukları paylaşımları görmesini istiyoruz.
Windows Server 2019 Üzerinde File Server Kurulumu
İlk olarak file server servisini ve gerekli bileşenleri kuracağız. Aşağıdaki gibi rolleri seçiyor ve yüklüyoruz.
Kurulum sonrası aşağıdaki gibi file server features’ların geldiğini görüyoruz.
Aşağıda görüldüğü gibi “İstanbul” “Konya” ve “Mersin” adında paylaşımlarımız var.
AD üzerinde kullanıcılarımız aşağıdaki şekilde ve “shrd_istanbul” “shrd_konya” “shrd_mersin” şeklinde gruplara üye durumda.
İlk olarak aşağıdaki gibi paylaşımlarımızı oluşturmaya başlıyoruz.
Önemli Not: “Access-Based Enumeration” özelliği alt klasörlerde çalışır, örnek olarak; “Ana klasör > klasör1, klasör2..” şeklinde olmalı.
İlk olarak Server Manager’ı kullanarak paylaşımlarımızı oluşturmaya başlıyoruz.
Ana klasör olan “Data” klasörümü seçtim.
“Enable Access-Based Enumeration” özelliği seçiyorum.
Burası çok önemli, izinleri doğru ayarlamamız gerekiyor. “BUILTIN\User“‘ları kaldırıyorum ve sadece paylaşıma açmak istediğim grup yada kullanıcılara “READ” yetkisi veriyorun. Bunun için “Customize permissions“‘a seçiyorum.
“Disable inheritance” > “Convert inherited permissions into explicit permissions on this object“‘ı seçiyorum.
Sonrasında shrd_istanbul” “shrd_konya” “shrd_mersin” grupların sadece “READ” yetkisi veriyorum.
Aşağıda görüldüğü gibi paylaşıma açmak istediğim gruplara “READ” yetkisi verdim ve diğerlerini kaldırdım.
“Data” klasörüm paylaşıma açıldı.
Yasin Mert Çoşkun kullanıcısı ile kontrol ettiğimde paylaşımların geldiğini görüyorum ama henüz işim bitmedi. Şimdi sırada NTFS izinlerini vereceğim.
İlk olarak paylaşım klasörlerinin “Advanced Security” ayarlarına girip “Disable inheritance“‘a tıklarayarak sonrasında “Convert inherited permissions into explicit permissions on this object”‘ı seçip paylaşım ayarlarını düzenliyorum.
Aşağıkdai görselde görüldüğü gibi, “shrd_istanbul” kullanıcıları “READ” yetkisi verdim siz istediğiniz yetkileri verebilirsiniz.
Aşağıdaki görselde tüm klasörler için verdiğimiz yetkileri görmekteyiz. Buradaki önemli nokta paylaşımları görmesini istediğiniz grup yada kullanıcılara sadece izin veriyor diğerini kaldırıyoruz.
Sonuç aşağıdaki gibi, istanbul klasörünü sadece yetkili kullanıcılar görebiliyor.
Şimdi ise “shrd_mersin” grubuna dahil olan “Hasan Selçuk YALÇIN” kullanıcısı ile login oluyor ve sonuçları gözlemliyoruz.
Sonuç aşağıdaki gibi, Hasan kullanıcısı sadece yetkili olduğu paylaşımları görebiliyor.
DSF ile Access-Based Enumeration Kullanımı
DFS: Dağıtılmış Dosya Sistemi, Microsoft Windows sunucularını kullanan bir kuruluşun birçok dağıtılmış SMB dosya paylaşımını tek bir noktadan kullanıcıların erişimini sağlayab bir hizmettir. Örnek vermek gerekirse farkı sunucularda paylaştırılmış kaynakları tek bir paylaşım üzerinden erişime olanak sağlar.
Access-Based Enumeration özelliği DFS ile de kullanılır. Örnek senaryomuz üzerinde devam edersek aşağıdaki paylaşımlarımız yine aynı olsun.
Not: “DFS ile Access-Based Enumeration özelliğini kullanabilmez için yine bir Ana klasöre ihtiyacımız var. Bu şekilde yapınızı tasarlamazsanız Access-Based Enumeration özelliği çalışmayacaktır.“
İlk olarak klasörlerimizi paylaşıma açıyoruz.
Share olarak “Everyone“‘a sadece “Read” yetkisi veriyoruz burası önemli böyle olması gerekiyor.
NTFS izinlerinide aşağıdaki gibi ayarlıyoruz. Diğer klasörler içinde aynı adımları tekrarlıyoruz.
Tüm bu ayarlamalardan sonra her kullanıcı kendi paylaşımlarına erişebiliyor diğer paylaşımlara erişemiyor ancak görebiliyor. Biz görmesinide istemiyoruz.
Bunun için ilk olarak “DFS Management“‘ı açıyoruz ve yeni bir “Namespaces” oluşturuyoruz. Bunun için “New Namespace“‘e tıklıyoruz.
Namespaces‘in tutulacağı sunucumuzu seçiyoruz. Ben File Server olan sunucumu seçtim.
Access-Based Enumeration özelliğini kullanacağımız için “Domain-Based namespace” ile devam ediyoruz.
Namespaces’i oluşturduk şimdi paylaşım klasörlerini ekleyeceğiz. “New Folder” ile devam ediyoruz.
Paylaşımlarınıza uygun isim veriyoruz.
“Browse“‘a tıklayıp paylaşımımızı gösteriyoruz.
Aşağıda görüldüğü gibi “mersin” paylaşımımız eklendi. Diğer paylaşımlarıda aynı şekilde ekliyoruz.
Şimdi “Namespaces“‘e sağ tıklayıp “Properties“‘e tıklıyoruz.
Aşağıda görüldüğü gibi “Enable Access-Based Enumeration For This Namespace“‘i seçiyoruz.
Şimdi sırada paylaşım izinlerini ayarlayacağız. İlk olarak “istanbul” paylaşımına sağ tıklayıp “Properties“‘e tıklıyoruz.
“Set explicit view permissions on the DFS folder“‘ı seçiyoruz.
Burası çok önemli, “Everyone” kullanıcısına “READ” yetkisi veriyorum. “BU PAYLAŞIMI GÖRMESİNİ İSTEMEDİĞİNİZ GRUP VEYA KULLANICILARA DENY” olarak yetkilendiyoruz.
Diğer paylaşımlar için bu adımlar tekrarlıyoruz.
Aşağıda görüldüğü gibi “Hasan Sekçuk YALÇIN” kullanıcı artık sadece izini olan paylaşımı görmekte.
Access-Based Enumeration özelliğinin kullanımı bu şekilde sizde organizasyonlarınızda farklı senaryolar üzerinde bu özelliği kullanabilirsiniz. Keyifli okumalar, sağlıcakla kalın.