Sihirbazı çalıştırmadan evvel biraz bilgi iyi olacaktır. Bu sihirbaz kullanılarak sunucu rollerini, istemci özelliklerini, ağ güvenliğini, kütük ayarlarını,  denetleme ayarlarını ve IIS ile ilgili güvenlik ayarları düzenlenebilir.

Sihirbazı çalıştıralım ve neler yapabileceğimizi daha iyi görelim;

Welcome page’i Next düğmesine basarak geçebiliriz.

Sonraki pencerede yeni bir Güvenlik Politikası oluşturmak için Create seçeneğini seçerek devam edelim. Burada yapabileceğimiz diğer işlemler daha evvel oluşturulmuş bir politika dosyasını değiştirmek, seçeceğimiz bir sunucuya uygulamak ya da daha evvel uygulanmış olan politikayı Rollback seçilerek yapılan ayarları geri almak.

Sonraki pencerede sihirbazın hangi sunucu için çalışacağını seçmemiz gerekmektedir. Varsayılan olarak sihirbazın çalıştırıldığı bilgisayarın ismi gelecektir. İsterseniz ağınızdaki  sunucuları  Browse'u seçerek listeleyebilirsiniz.  Burada dikkat etmemiz gereken en önemli nokta seçtiğimiz sunucunun üzerinde hizmet verilen tüm uygulamaların ve servislerin çalışır durumda olması gerektiğidir. Şayet normal zamanda çalışan bir servis, sihirbaz çalıştırıldığında Stop durumda olursa ya da Disable durumda olursa sihirbaz bu servisi göz ardı edecek ve açılması için herhangi bir ayar yapmayacaktır. Unutmamanız gereken nokta Security Configuration Sihirbazı'nın  genel hareket şekli bir şeyleri kısmak ya da kapatmak şeklinde olacaktır. 

Sunucu seçini sonrası Next tuşuna bastığımızda sihirbaz seçtiğimiz sunucu hakkında tüm bilgileri toplayacaktır. 

Sunucu ile ilgili configuration database tamamlandıktan sonra isterseniz View düğmesi ile mevcut ayarları görebilirsiniz.

Next ile devam ettiğimizde mevcut bilgiler üzerinden gidilerek yeni  güvenlik politikasını oluşturacağız. Politika oluşturma 5 ana kısımdan oluşmaktadır. 1. kısım Role-Based Service kısmıdır. Bu kısımda sunucunun sunucu olarak mevcut rollerini (İstemci - Sunucu mimarisindeki sunucu kısmına giren rollerini), istemci olarak özelliklerini, yönetimsel özelliklerini ve servisler ile ilgili düzenlemeleri yapabiliriz. 

Role-Based kısmında ilk olarak karşımıza sunucu rolleri gelecektir. Buradan şu anlamı çıkartabiliriz; bu sunucu bir dosya sunucu, bir FTP sunucu, bir web sunucu gibi rollere sahiptir. 

Aynı pencere içerisinde View seçeneğini değiştirerek kurulu olan ve olmayan roller şeklinde de listeleme yapabiliriz. Kurulu olan bir servisin kutusunu işaretleyerek devreye alabilir ya da listelenen rollerden gereksiz olarak gördüklerimizin kutusunu boşaltarak devre dışı bırakabiliriz.

Sonraki pencerede bu sunucunun bir istemci olarak özellikleri listelenir. Yine aynı şekilde istediğimizi kapatabilir ve istediğimizi devreye alabiliriz. 

Sonraki ekranda yönetimsel seçenekler ile ilgili ayarlamamızı yapabiliriz. 

Sonraki pencerede gelen bilgiler servisler ile ilgili bilgilerdir. Bu kısma dikkat etmeliyiz. Gereksiz gördüğümüz servisleri manüel olarak kaldırabiliriz.

Manuel olarak iptal ettiğimiz servislerin istersek açılış anında başlatılmasını engelleyebiliriz.

Siz servisler ile ilgili manüel bir işlem yapmış olsanız da olmasanız da sihirbaz size bazı ayarların değiştirildiği ile ilgili bazı bilgiler getirecektir. Bu işlemleri inceleyecek olursanız bir servisin mevcut ayarı ve politika uygulandıktan sonraki ayarını görebilirsiniz. Sihirbaz bazı servislerin manüel iken otomatik hale gelmesinin yararlı olacağını bazılarının ise otomatik iken disable olması gerektiğini düşünerek size en uygun ayarları önerecektir. Bu kısmı incelemeniz ve şayet değişikliğinin uygun olmayacağını düşündüğünüz bir servis varsa back tuşu ile geri gelerek servisler ile ilgili düzenlemeyi tekrar yapmanız gerekmektedir. 

Benim 2. ana kısım olarak gördüğüm Network Security kısmına geldik. Bu kısımda genel olarak kullanılmasını istediğimiz ya da engellenmesini istediğimiz portların ayarlarını yapabiliriz.

İlk pencereyi Next diyerek ilerlediğimizde sunucu üzerinde açık olan ve kullanılan portları görürüz. Bu liste üzerinde istediğimizi kaldırabilir ya da onaylayabiliriz. 

Add kısmı kullanılarak manüel olarak port ya da bir uygulama ekleyebiliriz .

Yaptığımız ayarlar çerçevesinde yine sihirbaz bize son tabloyu gösterecektir. Burada engellenecek ya da onaylanacak olan portları ve uygulamaları görebiliriz.

3. kısım olan Registry Setting kısmı;

 İlk ekranda SMB (Server Message Block) ile ilgili ayarları yapabiliriz. 

Dışarıdan gelen istekler için kullanılacak kimlik doğrulama seçeneğini düzenleyebiliriz. Şayet sunucunuz Workgroup sunucular ile haberleşecek ise sadece bu seçeneği işaretlememiz yeterli olmayacaktır.

Yine kimlik doğrulama ile ilgili ayarlar. 

Yine her kısmın sonunda olduğu gibi yapılan ayarların özet bilgisinin görüntülendiği pencere;

-    4. bölüm olan Audit Policy kısmı;

  Bu kısımda sadece sistem ile ilgili olan audit (denetim) aktivitelerinin kapsamını ayarlayabileceğimiz seçenekler mevcut. 

-    Standart özet bilgi ekranı;

  5nci ve son kısım olan IIS ile ilgili ayarları yapabileceğimiz kısım;

IIS’ in hizmet vereceği servisleri açıp kapatabileceğimiz pencere;

Sanal dizinler ile ilgili seçeneklerin olduğu bir pencere;

Anonin kullanıcılar için içerik dosyalarına yazma hakkını engelleyebileceğimiz bir pencere;

  IIS ile ilgili bizim ve yine sihirbazın yaptığı ayarlar görüntülenir. 

-    Hazırladığımız politikayı kaydetmek için Next diyoruz;

 Politikanın kaydedilmesini istediğimiz dizini seçerek bir isim veriyoruz. Ben deneme ismini verdim. Dosya otomatik olarak XML formatında kaydolacaktır.

Sonraki pencerede bu politikanın üzerinde hazırlanan sunucuya uygulanıp uygulanmayacağını seçebileceğimiz ekran gelmektedir. Ben bu politikayı Group Policy Objesi olarak kullanacağım ve bir OU (Organizatiolan Unit)’ ya ekleyeceğim için bu sunucuya direk olarak uygulamıyorum. Direk olarak uygulandığında Local Policy üzerine yaptığımız ayarlar kaydedilecektir. Bu işlem workgroup çalışan sunucularda gerçekleştirilebilir.

Son olarak Finish diyerek sihirbazı tamamlıyoruz.

Hazırladığımız dosya ile ilgili bazı bilgiler vermek gerekirse; bu dosyayı benzer özellikler taşıyan başka sunucularda yine sihirbaz kullanılarak uygulayabiliriz, birazdan yapacağımız gibi Group Policy Objesi haline getirerek AD (Aktif Dizin) ortamında da kullanabiliriz. AD ortamında bir OU’ ya uygulamadan dikkat edilmesi gereken nokta, uygulanacak olan OU altındaki sunucuların aynı özellikleri taşıyor olması gerektiğidir. Yani üzerinde SQL uygulaması çalışan bir sunucu üzerinde oluşturduğumuz dosyayı içerisinde Exchange Sunucusu olan bir OU’ ya uygular isek problem yaşayacağımız kesindir diyebiliriz.

Bunun dışında 32 bit / 64 bit farkı da göz önünde bulundurmamız gereken bir ayrımdır.

Bu bilgilerden sonra hazırladığımız dosyayı Group Policy Objesi haline getirmek için aşağıdaki işlemi yapmamız gerekmektedir.

Ben hazırladığım dosyayı direk olarak C: altına kaydetmiştim. Komut satırını açıp aşağıdaki formata uygun olarak komutu girdiğimizde XML dosyamız Group Policy Objesi olacak ve etki alanı ortamına aktarılacaktır.

Scwcms transform /p:xxxxx.xml /g:GPOObjectName

Burada alabileceğiniz hata yazım yanlışı (sözdizimi) hatası ya da yetkisiz kullanıcı hatası olacaktır. Bu işlemi Domain Admins grubuna üye olan bir kullanıcı ile yapmanız gerekmektedir.

İşlemi başarılı bir şekilde tamamladığınızın mesajını aldığınızda kontrol etmek ya da bu object’ i bir OU’ ya uygulamak için Group Policy Management Console’ u açınız. Seçeceğiniz herhangi bir OU üzerinde Link GPO dediğinizde domain ortamındaki tüm politikalar ile birlikte az önce oluşturduğunuz objeyi de görebilirsiniz.

	1. 05-10-2009 00:07
	Uygulamayı denemiştim bir türlü becerememiştim.Bir ara tekrar göz atalım Mikail bey.Açıklamalar için teşekkürler. Bildir

Önder Özdoğan

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.