Etiket arşivi: windows vista

BitLocker Drive Encryption without TPM

Veri hırsızlığının ve bu suça karşı alınan önlemlerin arttığı şu günlerde Microsoft, geliştirmiş olduğu farklı ve oldukça güçlü bir yöntemle Vista kullanıcılarına BitLocker Drive Encryption adlı şifreleme altyapısını sunuyor. Bu makalede BitLocker Drive Encryption aracının nasıl uygulandığını inceleyeceğiz.

Veri hırsızlığının ve bu suça karşı alınan önlemlerin arttığı şu günlerde Microsoft, geliştirmiş olduğu farklı ve oldukça güçlü bir yöntemle Vista kullanıcılarına BitLocker Drive Encryption adlı şifreleme altyapısını sunuyor. EFS’den farklı olarak PKI kullanmıyor ve sadece dosyaları şifrelemekle kalmıyor. Tüm diski şifreleyen bu sistem sayesinde sabit diskin çalınması durumunda verilere erişim riski de ortadan kalkmış bulunuyor. Bu adımda bir hatırlatma yapmak istiyorum; BitLocker Vista’nın sadece Enterprise ve Ultimate versiyonları tarafından destekleniyor. Öncelikle, BitLocker’ın kullanılabilmesi için sisteminizde bazı donanımlara ihtiyaç duyuluyor. Bunlardan ilki, USB Mass Storage Device Class destekli BIOS; ikincisi, sistem bölümü dışında yaklaşık 2GB’lık NTFS bölümü ve anakart üzerinde bulunması gereken TPM 1.2 (Trusted Platform Module) çip. Bu çip sayesinde şifrelenen diskinizin anahtarı, işletim sisteminiz henüz başlamadan okunup şifrenin çözülmesi sağlanıyor.

Peki, anakartınız TPM 1.2 çipine sahip değilse BitLocker’ın kullanılması mümkün olamayacak mı? Tabiki olacak! Fakat bunun için anahtarı yazacak başka bir donanıma ihtiyacınız olacak ki bu donanım bir usb flash disk’den daha fazlası değil. TPM çipine yazılması gereken anahtar usb flash diskinize yazılabiliyor. Böylece sisteminizi başlatırken bu usb diskin bilgisayarınıza takılı olması gerekiyor ki anahtar okunabilsin. Aksi halinde sisteminizi açabilmek için başka yollara başvurmanız gerekiyor. Dilerseniz TPM olmadan usb flash disk ile BitLocker Drive Encryption işleminin nasıl gerçekleştirileceğine bakalım.

image001

Resim 1

İlk olarak BitLocker için hazırlık yapmamız gerekiyor. Çnükü BitLocker’i aktif hale getirmek istediğinizde geçerli TPM çipine sahip olmadığınızı belirten bir uyarı alırsınız. Bunu, Group Policy’den yapacağımız küçük bir değişiklikle önleyebiliyoruz. Yapacağımız bu konfigürasyonla BitLocker’ı TPM ile değil usb disk ile gerçekleştirmek istediğimizi belirtmiş olacağız. Group Policy Editor yardımı ile (gpedit.msc) Computer Configuration > Administrative Template > Windows Components > Bitlocker Drive Enctryption yolunu izleyerek “Control Panel Setup: Enable advanced startup options” policy’sini enable edelim. Burada dikkat edilmesi gereken şey “Allow BitLocker without a compatible TPM” onay kutusunun işaretli olmasıdır (Resim 1). Grup Policy konfigürasyonumuzu uyguladıktan sonra ikinci adıma geçelim.

image002

Resim 2

Bu adımda Windows update ile birlikte gelen Ekstra’lardan BitLocker Drive Encryption Preparation Tool’u indirip kurmamız yeterli olacaktır. Bu araç sadece windows update arayüzünden indirilebildiği için microsoft’un dowload sitesinde bulunmadığını hatırlatmak isterim. En azından şimdilik… (Resim 2).

image003

Resim 3

Kurulumu başlatmak için start menu’de bulunan search alanına Bitlocker yazmanız sizi gerekli kısayola götürecektir. BitLocker Preparation Tool’u çalıştırdığınızda hazırlık işlemi başlamış demektir (Resim 3).

image004

Resim 4

Anlaşmayı kabul ettikten sonra gelen uyarı kutusunda, C: sürücüsü üzerinde yeni bir bölüm oluşturacağını , işleme başlamadan önce bilgilerin yedeklenmesini, yapılacak işlemin birleştirme gerektirebileceğinden dolayı uzayabileceğini ve oluşturulacak yeni bölüme verilerin kaydedilmemesi gerektiği belirtilmektedir. Yeni oluşturulacak olan bölüm S: harfini alacak ve işletim sisteminin başlayabilmesi için gerekli dosyaları içerecektir. Yani S: sürücüsü BitLocker ile şifrelenmeyecektir. Gerekli uyarıları dikkate aldıktan sonra continue butonuna tıklayarak devam edelim (Resim 4).

image005

image006

Resim 5 ve 6

İşlem bittikten sonra Disk Management arayüzünden diskimizin Resim 6’daki gibi bölündüğünü görüyozuz. Dikkat ederseniz C: bölümünün BitLocker için hazır olduğunu belirten ibareyi ve S: bölümünse sistem bölümü olduğunu göreceksiniz (Resim 5 ve 6). Hazırlık aşaması bittikten sonra BitLocker ile diskimizi şifreleme işlemine başlayabiliriz.

image007

Resim 7

Bunun için Control Panel’de bulunan BitLocker Drive Encryption simgesine tıklıyoruz. Karşımıza Resim 7’de görüldüğü üzere BitLocker’ın henüz aktif edilmediği, Turn On BitLocker linkini tıklıyarak aktif edebileceğimiz bir arayüz çıkıyor. Linki tıklayarak işlemi başlatıyoruz.

image008

Resim 8

İlk adımda TPM çipine sahip olmadığımızı, başlatma anahtarını bir usb diske yazması gerektiğini ve bu diskin her açılışta bilgisayarınıza takılı olmasını belirten bir mesaj görüyoruz. Tek seçilebilir durumda olan “Require Startup USB key at every startup” seçeneğini tıklayarak ilerliyoruz (Resim 8).

image009

Resim 9

Sonraki adımda başlatma anahtarını saklayacağımız usb flash diski gösterip Save buttonunu tıklayarak sonraki adıma geçiyoruz (Resim 9).

image010

image011

Resim 10 ve 11

Bu adımda “Ya flash disk bozulur veya kaybolursa bilgisayarımı başlatamayacak mıyım?” sorusuna yanıt vermek amacı ile kurtarma parolasını bir başka taşınabilir diske veya yazıcıdan çıktı almak suretiyle bir kağıda yazdırmak için gerekli seçimin yapılması isteniyor. Eğer verilerinizin önemli olduğunu düşünüyorsanız (ki öyle) kurtarma parolasını hem kağıda hem de başka bir diske yazdırmanızı tavsiye ederim. “Save the password in a folder” seçeneğini tıklayarak parolanın saklanacağı bir başka lokasyon gösterip parolanın kaydedildiğine dair çıkan uyarı penceresini onaylayarak sonraki adıma geçiyoruz (Resim 10 ve 11).

image012

Resim 12

Bu adımda ise BitLocker’ın usb diske yazdığı başlangıç anahtarının okunup okumamayacağını test etmek amacı ile bilgisayarın yeniden başlatılması gerektiği belirtiliyor. Continue butonuna tıklayarak devam edelim (Resim 12).

image013

Resim 13

BitLocker başlangıç anında usb flash diskteki başlangıç anahtarını okuyabilirse “ BitLocker Drive Encyription key loaded, Please remove media” şeklinde bir mesaj görüntüleyip normal bir şekilde açıldıktan hemen sonra disk şifreleme işlemi başlıyor. Yapmış olduğum denemede BitLocker’ın sabit diski yaklaşık olarak 1 saatte şifrelediğini gözönünde tutarak bu işlemi uygun bir zamanda gerçekleştirmenizi tavsiye ederim (Resim 13).

image014

Resim 14

Eğer bilgisayar usb disk olmadan başlatılırsa diske yazdığı anahtarı okuyamamayacağından dolayı boot ekranında karşımıza Resim 14’deki görüntü çıkıyor. Burada, BitLocker’in anahtara ihtiyacı olduğunu, anahtarı barındıran diskin takılmasını ve yeniden başlatmak için ESC tuşuna basılması gerektiğini belirtiyor. Bu durumda usb disk takılırsa ESC tuşu ile sistem yeniden başlatılmalı ve anahtarın okunması sağlanmalıdır.

image015

Resim 15

Eğer usb disk arızalanmış ya da kaybolmuşsa önceden tanımlamış olduğumuz kurtarma parolasını girmek üzere Enter tuşuna basmamız ve Resim 15’de görülen boşluklara bu parolayı yazmamız gerekmektedir. Parola giriş işlemi tamamlandıktan sonra sistem normal açılış seyrine devam edecektir. Sistem açıldıktan sonra BitLocker arayüzünü kullanarak yeni bir başlangıç anahrarı oluşturabilir, bu anahtarın kopyalarını yukarıda belittiğim şekilde yedekleyebiliriz.

Görüldüğü üzere, TPM çipine sahip olmadığımız durumlarda usb flash disk ile BitLocker Drive Encryption’ın güvenli bir şekilde çalışmasını sağlamış olduk.

Bir başka makalede görüşmek dileği ile…

Seymen URAL

Vista Firewall with Advanced Security

Güvenli iletişimin önemli olduğu şu günlerde bireysel korunmanın önemine dikkat çeken Microsoft, Vista ile bir yeniliğe daha imza atmıştır. Bu yenilik, gerek ekstra koruma gerekse kullanım kolaylığı sunan Vista’nın güvenliği gelişmiş firewall aracıdır. Bu makalede Windows Vista’nın gelişmiş firewall aracının yeniliklerini inceleyeceğiz.

Güvenli iletişimin önemli olduğu şu günlerde bireysel korunmanın önemine dikkat çeken Microsoft, Vista ile bir yeniliğe daha imza atmıştır. Bu yenilik, gerek ekstra koruma gerekse kullanım kolaylığı sunan Vista’nın güvenliği gelişmiş firewall aracıdır.

Control Panel’inden veya Security Center arayüzünden ulaşılabilen Windows Firewall aracı, Windows Vista öncesi versiyonlarda bulunan firewall arayüzünden neredeyse bir farkı bulunmamakta; bununla birlikte Administrative Tools klasörü altında Windows Firewall with Advanced Security aracı bambaşka bir arayüzle ve gelişmiş özelliklerle karşımıza çıkmaktadır. ( Resim – 01 ve 02 )

image001

Resim – 01  

image002

Resim – 02

Vista’nın yeni firewall aracında önceki versiyonlarda bulunan tek yönlü port koruması yerine hem içerden hem de dışarıdan (inbound – outbound) portları izole eden gelişmiş bir koruma altyapısı bulunuyor. Bu sayede istenmeyen çıkışlar da önlenebiliyor. Vista firewall ile bir istisna tanımlamak istediğinizde bu iki filtreyi gözönünde tutmanız gerekiyor. Ayrıca Windows’un kendi servisleri için önceden oluşturulmuş istisnalar da bu arayüz kullanılarak yeniden yapılandırlabiliyor.

 

image003

Resim – 03

 

image004

Resim – 04

 

Bunların yanısıra vista firewall aracında farklı çalışma ortamları için üç adet profil barındırıyor. Bu profiller; korunmanın sadece firewall tarafından gerçekleştiği açık ortamlar (Public), korunmanın bir başka firewall (örneğin firewall barındıran adsl modem) arkasında gerçekleştiği daha güvenli ortamlar (Private) ve bir domain’in bulunduğu çalışma ortamları (Domain) için önceden oluşturulmuş konfigürasyonlar bütünü olarak karşımıza çıkıyor. Bu profillerden uygun olanı seçilebileceği gibi tümünü aktif hale getirip bulunulan ortama göre değişmesi de sağlanabiliyor. Aynı zamanda Vista Firewall aracını kullanarak güvenli bağlantı kuralları (ipsec) oluşturulabiliyor. (Resim – 03  ve 04)

Bu makalede ayrıntılı olarak değinmek istediğim konu, kural tanımlayarak istisna (exception) oluşturmak. Dilerseniz bir programın kullandığı tek bir port için yeni bir kural oluşturalım.

 

image005

Resim – 05

 

Giriş penceresinden (Resim – 02) Inbound Rules mensünü seçerek sağ tarafında bulunan Action araç kutusundan New Rule linkini tıklayarak Resim- 05’de görünen sihirbaz penceresini açalım. Burada önemli bir hatırlatma yapmak istiyorum; oluşturacağımız bu kural, firewall aracının ilk arayüzünde bulunan Inbound veya Outbound seçeneklerine göre değişecektir. Ben, Inbound seçeneği altında New Rule linkini seçtiğimden dolayı oluşturacağım kuralı da buna geöre belirlemiş oluyorum.

Hatırlatmadan sonra kaldığımız yerden devam edelim. Sihirbazın ilk sorusu, istisna tanımlamak istediğimiz program için kural türünün ne olduğudur. Burada programın kullanacağı her port için direkt olarak programın kendisine (Program), programın kullanacağı bir veya birden fazla porta (Port), windows’un kendi servislerine (Predefined) istisnalar tanımlayabileceğimiz gibi daha ayrıntılı konfigürasyonlar da yapabiliyoruz. Konuyu daha derin incelemek için bu penceredeki tercihim Custom olacaktır.

 

image006

Resim – 06

Sihirbazın sonraki penceresinde istisna tanımlamak istediğimiz programın yolunu göstermek için This program path kuralını seçip programın bulunduğu yolu Browse butonunu tıklayarak belirliyoruz. Bu pencerede All programs kuralı tüm programlar için istisna oluşturulmasını, Services kuralı ise istenilen bir veya birden fazla windows servisi için istisna oluşturulmasını sağlayacaktır. (Resim – 06 )

 

image007

Resim – 07

Sonraki pencerede belirlediğim program için iletişim protokolü (TCP), lokal portu (1863) ve gerekirse bağlantı kurulacak host’un portunu belirliyoruz. (Resim – 07 )

image008

Resim – 08

Bir sonraki pencerede ise lokal bilgisayarda bulunan bir veya birden fazla network kartına kısıtlama yapmak amacıyla ip numaralarını giriyoruz. Aynı zamanda bağlantı kurulacak host için de bu kısıtlamayı yapabiliyoruz. Bu şekilde kuralımızı noktadan noktaya iletişim gerçekleşecek şekilde sınırlama imkanımız da bulunuyor. Bu pencereyi herhangi bir konfigürasyon yapmadan geçersek lokal host’daki tüm network kartları ile herhangi bir hedef host’a bağlantı kurulmasını belirlemiş oluruz. (Resim – 08 )

image009

Resim – 09

Sonraki pencerede kuralımızın ne amaçla kullanılacağını belirliyoruz. Buradaki amacımız belirli şartlar altında bir bağlantı kurulmasını sağlamak olduğundan Allow the connection seçeneği uygun olacaktır. Eğer bağlantının güvenli bir şekilde (ipsec) gerçekleşmesini istenirse Allow the connection if it is secure kuralı seçilebilir. Bu kural sayesinde bağlantı kurulacak Host’un ve/veya Kullanıcının adını belirleyerek bağlantının sınırlarını iyice daraltabiliriz. Bu penceredeki son seçenek ile (Block the connection) önceki adımlarda belirlenen kurallar doğrultusunda bağlantının kurulmasını engellemek amacı ile kullanılabilir. Yani istenilen uygulama ve/veya port’dan bağlantı kurulamamasını sağlayabiliriz. (Resim – 09 )

 

image010

Resim – 10

Bir sonraki pencerede ise oluşturduğumuz kuralın hangi profiller için geçerli olacağını belirtiyoruz. (Resim – 10 )

 

image011

Resim – 11

 

Sihirbazın son penceresinde kuralımız için tanıtıcı bir isim ve açıklama giriyoruz. Bu adımla birlikte bir inbound rule oluşturmuş olduk. (Resim – 11 )

 

image012

Resim – 12

 

Kuralımızın son halini resim 12’deki gibi görüyoruz. Buradaki kuralların sayısının önceki firewall araçlarında bulunan kurallara nazaran çok daha fazla olduğunu görebiliyoruz. Bu durumda aklıllara gelen ilk soru, bu kuralların ihtiyaç halinde tekrar oluşturulmasının oldukça zaman alıcı bir iş olacağıdır. Tabi ki Vista’nın Firewall aracında hem sistem tarafından oluşturulan kuralları hem de sonradan oluşturduğumuz kuralların tamamını export yöntemiyle yedekleyip import yöntemiyle de ihtiyaç halinde geri yükleyebiliyoruz. (Resim 2 Action Menüsü)

 

image013

Resim – 13

 

Aynı zamanda hali hazırda çalışır durumda olan tüm kuralları görüntülemek için Monitoring menüsünü kullanılabiliyoruz. Bu bölümde sadece istisna kuralları değil, ipsec ile kurulmuş güvenli bağlantıları da izleme imkanımız da bulunmaktadır.

Burada da Vista Firewall aracı ile bütünleşik gelen, Conncection Security Rule sihirbazı ile iki host arasında güvenli iletişim (IPSec) kurmak için nasıl bir yol izleyeceğimize değineceğim.

 

image014

Resim – 14

 

Bu işlemi yapmak için sırasıyla Start > Control Panel > Administrative Tools yolunu izleyerek Resim 14’de görünen Windows Firewall with Advanced Security arayüzünü açalım. Connection Security Rules taşıyıcısına tıkladığımızda menünün sağ tarafında bulunan New Rule linki yardımı ile sihirbazımızı başlatalım.

 

image015

Resim – 15

 

Sihirbazın ilk menüsünde oluşturacağımız kuralın amacını belirtmemiz gerekiyor. Burada, hostlar arası iletişimi engellemek için Isolation, bir kural ile iletişimi engellenmiş host grubu arasından bir host’la iletişim kurmak için yani kural dışı istisna tanımlamak için Authentication excemption, iki host arası güvenli iletişim için Server-to-server, Gateway’ler arasi güvenli iletişim (ör: L2TP VPN) kurmak için Tunnel ya da gelişmiş konfigürasyonlar yapmak için Custom kurallarından birini seçebiliriz. Amacımız iki host arası güvenli iletişim kurmak olduğundan Server-to-server seçeneği uygun olacaktır. (Resim -15)

 

image016

Resim – 16

 

İkinci adımda ise hangi host’lar arası güvenli iletişim kurmak istediğimizi belirtiyoruz. Resim 16’de görüldüğü üzere tek bir host belirleyebileceğimiz gibi birden fazla host grubu veya network belirleme şansımız da var.

 

image017

Resim – 17

Sonraki adımda kuralımızın hangi şartlar altında işleyeceğini belirtiyoruz. ‘Request authentication for inbound and outbound connections’ seçeneği ile güvenli bir iletişim teklif edilir fakat karşı taraf bunu istemezse iletişim normal yollarla gerçekleşir. ‘Require authentication for inbound connections and request authentication for outbound connections’ seçeneği ile gelen bağlantılar için güvenli iletişim şartı aranır, giden bağlantılarda güvenli iletişim teklif edilir fakat kabul görmezse iletişim normal yollarla gerçekleşir. ‘Require authentication for inbound and outbound connections’ seçeneği ile her iki yönde de güvenli iletişim şartı aranır aksi halinde iletişim gerçekleşmez. Amacımıza uygunluğu açısından son seçeneği işaretleyerek devam ediyoruz. (Resim – 17 )

image018

Resim – 18

 

Bir sonraki adımda ise hostların karşılıklı olarak gerçekleştireceği kimlik doğrulama metodunu belirliyoruz. Burada, Computer certificate seçeneği ile her iki host’un güvendiği bir CA’in (Sertifika otoritesi) sertifikasını kullanarak, Preshared Key seçeneği ile iki host arasında önceden belirlenmiş bir anahtar kelime kullanarak ya da Advanced seçeneği ile gelişmiş bir veya birden fazla kimlik doğrulama yöntemini (Kerberos, NTLM vs.) kullanarak iletişim gerçekleşmesi sağlayabiliriz. Preshared Key seçeneği CA’nın ve bir domain yapısının bulunmadığı ortama uygun bir seçenek olacaktır. (Resim – 18)

 

image019

Resim – 19

 

Bu adımda ise kuralımızın hangi firewall profili ile birlikte kullanılacağını seçiyoruz. Tercihen bir veya birden fazla profili seçebiliriz. (Resim – 19)

 

image020

Resim – 20

 

Sihirbazın son adımında kuralımız için bir isim ve açıklama belirtiyoruz. (Resim – 20 )

 

image021

Resim – 21  

Kuralımızın son halini Resim – 21’deki şekli ile görebiliyoruz. 

image022

Resim – 22  

Oluşturmuş olduğumuz kural ile belirli host ve/veya network’ler ile nasıl iletişim kuracağımızı belirlemiş olduk. Firewall aracının giriş menüsünde bulunan Windows Firewall Properties linki ile ulaşabileceğimiz konfigürasyon menüsünde, gerçekleşecek IPSec bağlantılarında kullanılacak anahtar değişimi, veri şifreleme ve kimlik doğrulama işlemleri için kullanılacak yöntemleri belirleyebiliyoruz. (Resim – 22) 

image023

Resim – 23

 

image024

Resim – 24

 

Dilersek, ipsec bağlantısı için gerçekleşecek anahtar değişimi sırasında veri doğrulama (integrity) ve veri güvenliği (encryption) konfigürasyonlarını ayrıntılı bir şekilde düzenleyebilir, farklı algoritmalar kullanılmasını sağlayabiliriz. Buradaki varsayılan metodlar; veri doğrulama için SHA1, veri güvenliği için AES-128 algoritmalarıdır. Burada göz önündebulundurulması gereken bir durum vardır; algoritmaları seçerken Vista öncesi işletim sistemlerinin kullanabileceği algoritmalara uyumlu olmalarına dikkat etmemiz gerekmektedir. Aksi halinde iletişim gerçekleşmeyecektir. Örneğin Vista ipsec bağlantısında veri güvenliği için AES algorimasını desteklemekte fakat XP sadece DES ve 3DES algoritmalarını kullanabilmektedir. (Resim – 23  ve 24)

 

image025

Resim – 25

 

image026

Resim – 26

 

Aynı şekilde, ipsec bağlantısı esnasında gerçekleşecek veri doğrulama ve veri güvenliği için kullanılacak metodları da ayrıntılı olarak yapılandırabiliyoruz. Buradaki varsayılan protokol ESP (Encapsulation Security Payload) ve bu protokolün kullandığı veri doğrulama metodu yine SHA1, veri güvenliği metodu da AES-128’dir. Dilersek, veri doğrulama metodu olarak AH (Authentication Header) ve ESP protokollerini birlikte kullanabiliriz. (Resim – 25  ve 26) Konu hakkında ayrıntılı bilgi http://www.microsoft.com/technet/network/security/ipsecarc.mspx adresinden alınabilir.

 

image027

Resim – 27

 

Farklı kimlik doğrulama yontemleri için de ayrıntılı yapılandırma sözkonusudur. Resim 8’de görüldüğü üzere kullanıcı ve/veya bilgisayar için kerberos, preshared key ve sertifikalı kimlik doğrulama yöntemlerini ayrı ayrı kullanabileceğimiz gibi birden fazla kimlik doğrulama yöntemini de birlikte kullanıp güvenliği maksimum seviyeye çıkarabilme olanağımız da vardır. Burada, iki adımda kimlik doğrulaması yapabilir her adım için farklı yöntemleri (NTLMv2, Kerberos v5, User ve Computer sertifikası) kullanabiliriz. Aynı zamanda bu iki adımdan birini opsiyonel olarak da belirleyebiliriz. (Resim – 27)

Görüldüğü üzere Vista’nın Firewall aracına entegre edilmiş olan IPSec protokolü, güvenli iletişimin öneminin arttığı şu günlerde gerek kullanım kolaylığı gerekse ek güvenlik seçenekleri ile oldukça başarılı bir performans sergiliyor. Bir başka makalede görüşmek dileği ile…

Seymen URAL

Windows Vista Donanım Problemlerinin Giderilmesi

Bu makalemde, donanımından kaynaklanan problemlerden ve bunların çözüm yöntemlerinden bahsediyor olacağız. Bu problemler fiziksel donanımın yanısıra aygıt sürücülerinden de kaynaklanabilmektedir. Çoğu zaman bilgisayara eklemiş olduğumuz donanımların sürücü kurulum ve konfigürasyonları otomatik olarak gercekleşmesine rağmen, bu sürücülerin farklı model ve versiyonlarından dolayı çıkacak sorunların bilinmesi önemlidir.

Donanımlardaki problemler iki ana sebepten dolayı meydana gelmektedir. Bunlardan birincisi aygıtımızda ki uyumsuzluk, bozulma, vb… şekilde sınıflandırılabilecek olan hatalar’dır. İkincisi ise aygıt sürücümüzde ki genellikle versiyon farklılıklarından kaynaklanan hatalardır. Problem çözmek için ise öncelikle problemimizin hangi sebepten kaynaklandığını tespit etmek gerekmektedir.

Fiziksel Donanım kaynaklı hatalar

Bilindiği üzere bilgisayarımız Anakart, İşlemci, Bellek, Disk, vb… gibi bir çok donanım parçasının toplanmasıyla meydana gelmektedir. Ancak bu donanım aygıtlarından yalnızca bir tanesi ya da bir kaç tanesinin kombinasyonlarında ki hatalar bilgisayarımızın performansını düşürebilir hatta çalışmasını dahi engelleyebilir.

Bu hataların oluşma risklerini azaltmak için donanım bileşenlerimizin, bu parçaların üreticilerinin tavsiye etmiş olduğu çevresel şartlarda tutulması gerekmektedir. Örnek olarak donanımımızı oldukça tozlu ya da yüksek sıcaklıklı alanlarda (bu şartlarda çalıştırılmak üzere geliştirilmiş olmadığı sürece) bulundurmaktan kaçınılmalıdır.

Aygıt Sürücüsü kaynaklı hatalar

Aygıt sürücüsü kaynaklı hataların temelinde 3 sebep bulunmaktadır.

InCompatibility (Uyumsuzluk):Windows Vista ile, daha önceki Microsoft Windows İşletim sistemi versiyonları için geliştirilmiş olan sürücüler arasında uyumsuzluk problemleri çıkabilir. Bu problemi giderebilmek için ilgili aygıt sürücüsü’nün Windows Vista versiyonunun olup olmadığı araştırılmalı, bulunduğu takdirde bu versiyonu kullanmalıyız.

Driver Bugs (Sürücü hataları):Her ne kadar donanım üreticileri sürücülerinin hatasız olması için gerekli önlemleri almaya çalışsa da yazılımlarda sıkça rastlanabilecek hatalardan (bugs) dolayı sürücülerde zaman zaman problemler meydana gelmektedir. Dolayısıyla sürücü üreticimizden en güncel versiyonu, daha önceki versiyonlardaki hataların düzeltilmiş olmasından dolayı, temin etmeliyiz. Bunun yanı sıra kullandığımız aygıt sürücümüzün de Microsoft tarafından Digital olarak imzalanması gerekmektedir.

32 bit/64 bit problemleri: Windows Vista’nın 32 bit ve 64 bit olmak üzere iki sürümü bulunmaktadır. Ancak 32 bit için geliştirilmiş olan sürücüler, 64 bit sürümlerde çalışmamaktadır (Tam terside geçerlidir).  Dolayısıyla donanım üreticimizden uygun aygıt sürücüsünü temin etmeliyiz.

Donanımımız ile ilgili bilgi almak için kullanabileceğimiz araçlar

Donanım problemlerini oluşturan ya da oluşturma potansiyeli yüksek olan aygıtların belirlenmesi için, donanım bileşenlerimiz hakkında bilgi almak önemlidir. Bunun için aşağıdaki araçları kullanabiliriz.

Event Viewer (Olay Görüntüleyicisi):Problem çözümü için başlangıç noktasıdır. Sistem ve uygulama loglarındaki aygıt veya aygıt sürücüsü ile ilgili olan bilgi, uyarı ve hatalar gözden geçirilmelidir.

image001

Sytem Information (Sistem Bilgisi):Aygıtların kullanmış olduğu kaynaklar (IRQ, Memory Adress Range, vb..) ile ilgili ve çakışma problemleri hakkında bilgi vermektedir. Bu konsola Run satırına msinfo32 yazılarak erişilebilir.

image002

Device Manager (Aygıt Yöneticisi):Bilgisayarımızdaki Donanım aygıtları ve sürücüleri hakkında bilgi veren bir konsoldur.

image003

Reliability and Performance Monitor (Güvenilirlilik ve Performans İzleyicisi): Güvenilirlilik ve performans olmak üzere 2 monitörden oluşmaktadır. Bunlardan Güvenilirlilik monitörü zaman içinde gerçekleşmiş olan donanım hatalarını göstererek belirlemiş olduğu bir trendle gelecekteki olası hatalar ve buna paralel olarak değiştirilmesi gereken aygıtlar hakkında bilgi verir. Performans izleyicisi ise bilgisayarımızdaki kurulu donanım aygıtlarının performansı hakkında bilgi verir.

image004

Memory Diagnostics (Bellek İncelenmesi):Bu özellik uzun vadeli olarak sistem performansını geliştirme amacıyla gelmiştir. RAM ile ilgili hatalar hakkında bilgi vererek problemin çözülmesi için kullanıcıyı uyarır. Bilgisayarımızın hafızasını açılış sırasında kontrol edebilmek için kullanılabilir. Bu konsolu kullanabilmek için Yönetici haklarına sahip olunması gerekir.

image005

image006

Windows Error Reporting (Hata bildirim Raporu):Herhangi bir donanım hatası hakkında bilgi toplayıp, bu bilgiyi Microsoft’a gönderir. Aynı zamanda neden bir aygıt veya sürücüsünün problem çıkardığı hakkında da detaylı bir biçimde bilgi görüntüleyebilir.

Remote Desktop (Uzak Bağlantı):Yöneticiler tarafından uzak bilgisayardaki donanım hakkında bilgi sahibi olabilmek için kullanılabilir.

image007

Donanım Kaynaklı problemlerin Çözümü için tavsiye edilen adımlar

Genellikle yeni bir aygıt kurulduğunda ya da bir aygıt sürücüsü güncellendiğinde ortaya çıkan donanım kaynaklı problemler için aşağıdaki gibi bir çözüm planı hazırlayabiliriz:

Bilgisayarımızda Windows Vista Capable Logosu’nun olması ve donanım bileşenlerinin Windows Marketplace Tested Products List altında olması gerekmektedir.

Eğer bilgisayarımıza herhangi bir 3.kuruluş tarafından üretilmiş sürücü ya da yazılım kurulmuş ise kaldırılması ya da çalışması engellenmelidir. Problemin devam etmesi durumunda üretici firmanız ile irtibata geçmeniz gerekebilir.

Güncellenmiş bir aygıt sürücüsünün kurulumu sonrasında problem yaşanıyorsa, Driver Rollback özelliği kullanılarak Eski sürücü versiyonuna geri dönüş yapılabilir.

Üretici desteğinden ilgili anlaşmalar çerçevesinde istifade edilmeli ve hatalı donanımların değişmesi için uygun şartlar oluşturulmalıdır.

Benzer hataların bir daha yaşanmaması için incelemelerle hataya sebep olan olayların not edilip analizinin yapılması gerekmektedir.

Evet, arkadaşlar bu makalemde Vista üzerinde kaynaklanabilecek olan donanımsal problemlerin tespit edilmesi ve bu problemlerin giderebilmesi için kullanabileceğimiz araçların neler olduğundan bahsettim. Bir başka makalede tekrar görüşmek üzere…

Serhad MAKBULOĞLU

Windows Vista Driver Yonetimi

Windows Vista üzerinde Device Driver yönetimini sağlayabilmek için kullanabileceğimiz araçların neler olduğu ve Vista ile hayatımıza katılan teknik terimleri açıklayacağım.

 

Aygıtları bilgisayarımıza kurabilmek için sürücü paketlerini (Driver Package) yönetici hakları ile Sürücü saklayıcısına (Driver Store) kopyalamamız gerekmektedir. Bu sayede standart kullanıcılarımızın ancak bizim izin verdiğimiz imzalı sürücü paketlerini kurmalarını sağlarız. Bu kavramları açıklamamız gerekirse;

 

Driver Package (Sürücü Paketleri): Bir sürücüyü oluşturan dosya grubudur. Tanımlayıcıların bulunduğu. inf dosyası ve aygıt sürücünün dijital imzasının bulunduğu. cat dosyası burada bulunmaktadır.

 

Driver Store (Sürücü Saklayıcı): Vista sürücülerinin saklandığı yerdir. Bir OEM ya da IT yöneticisi tarafından sürücü paketleri doldurulur. Lokalde “systemroot\system32\DriverStore” bulunmaktadır. Aygıt kurulumu sırasında driver Store’da uygun bir sürücü bulunamaması sonucu Windows Error Reporting (WEP) tanınmayan cihaz rapor edilir. Bu da OEM ile Microsoft’un bir arada çalışmasını sağlar.

 

Driver Signing (Sürücü İmzalama): Microsoft bir sürücünün Windows Vista ile uyumlu çalışabileceğini göstermek için Digital İmzalar kullanır. Kurulum sırasında Vista sürücünün dijital imzasını kontrol eder ancak bulamazsa kullanıcıyı uyarır. Domain Yöneticileri Group Policy aracılığıyla imzasız sürücülerin kurulmasını engelleyebilir. SigVerif aracı ile de bilgisayardaki imzasız sürücüler kontrol edilebilir. Bu konuya ilerleyen bölümlerde daha detaylı olarak değineceğiz. 

 

Aygıt Sürücülerinin Kapatılma İşlemi

 

Problem çözme işleminde aygıt sürücüsünü kapatmak gerekebileceğinden dolayı bu işlemi Gerçekleştirecek araçları bilmek gerekir. Aşağıdaki araçları kullanarak aygıt sürücüleri kapatılabilir.

 

Device Manager ile Aygıt sürücüsünü kapatmak: Bu konsol ile grafiksel bir kullanıcı ara yüzü sayesinde aygıt sürücümüzü kapatabiliriz. Bunu hedef aygıt sürücüsü üzerine sağ tıklayarak Disable’ı seçerek gerçekleştirebiliriz. Aygıt sürücüsünün kapatılmasının, kaldırılmasından (Uninstall) farkı sürücünün, kaldırılma durumundaki gibi çalıştırılamamasına rağmen, hala bilgisayarımızda bulunmasıdır. 

image001

 

Komut satırından Aygıt sürücüsünü kapatmak: Devcon isimli araç ile komut satırından aygıt sürücülerini kapatmak mümkündür. Bunun için komut satırına devcon disable sürücüsü kapatılacak olan aygıtın hardware ID’sinin yazılması gerekmektedir. Devcon hakkında daha detaylı bilgi edinmek için KB311272 numaralı makale okunabilir. Devcon, Windows Vista CD’si ya da http://support.microsoft.com/kb/311272 adresinden indirilebilir. 

image002

 

Uzaktan Aygıt sürücüsünü kapatmak: Gerekli haklara sahip olan kişiler Remote Desktop ile uzaktaki bilgisayarlara bağlanıp Device Manager ya da Devcon’u kullanarak aygıt sürücülerini kapatabilir. 

Güvenli Mod’u kullanarak Aygıt sürücülerini kapatmak: Bilgisayar Güvenli Mod’da başlatıldığında VGA, HDD, CD/DVD, vs… gibi az sayıda Aygıt sürücüleri ile başlatılır. Güvenli Mod bir aygıt sürücüsü hatasının İşletim sisteminin açılmasına engel olması durumda kullanılabilir. Bu şekilde bilgisayarı normal mod’da başlatmadan problemin çözümü yapılabilir. 

İmzasız Sürücülerin Kaldırılması 

Bölümün önceki konularında Şirket networkündeki bilgisayarlara imzasız sürücü kurulumunun Group Policy aracılığıyla yasaklanabileceğinden bahsetmiştik. Buradaki sürücü imzası donanım üreticisi tarafından sağlandığı gibi, bir Software Publishing Certificate aracılığıyla organizasyonun kendisi tarafından test edip güvendiği sürücülere de verilebilmektedir. Bilgisayarımızdaki imzasız aygıt sürücülerinin tanımlanıp kaldırılması problem çözmek açısından önemli bir adım teşkil etmektedir. 

Signature Verification Tool (İmza Doğrulama Aracı): Sigverif aracı sayesinde daha önce de belirttiğimiz gibi Windows Vista Bilgisayarlarımızdaki imzasız aygıt sürücüleri görülebilir. Sigverif yaptığı taramanın sonuçlarını bir Log dosyasına yazmaktadır. 

image003

Komut satırından Sigverif çalıştırılıp İmzasız sürücüleri bulmak için tarama yapılır ve sonuçlar bir Log dosyasına yazılır. 

İmzasız sürücüleri saklamak için geçici bir klasör oluşturulur. 

%systemroot\system32\Drivers% altındaki imzasız sürücüler bu oluşturulmuş olan geçici dosyaya taşınır. 

İlgili aygıtlar kapatılır ya da kaldırılır. 

Bilgisayar yeniden başlatılır. 

Bu işlemler sonucunda donanım problemi çözülmüş ise, hatanın imzasız sürücüden kaynaklandığı anlaşılır. Aygıt için donanım üreticisinde imzalı bir sürücü ya da Windows Vista Capable Logo’su taşıyan yeni bir aygıt alınabilir. 

Aygıt Sürücülerini Extract etmek 

Windows Vista pnputil.exe aracı sayesinde aygıt sürücüleri el ile Extract edilebilir. Bu şekilde sürücü paketleri eklenebilir, kaldırabilir ya da problemli olanları listelenebilir. Vista sürücü saklayıcısına Pnputil.exe kullanarak bir sürücü paketini şu adımlar ile ekleyebiliriz: 

Dijital imzalı bir sürücü paketi elde etmek. 

Yönetici olarak Logon olup komut satırını açmak. 

Pnputil.exe –a PackageName (Sürücüİsmi) komutunu çalıştırmak. 

image004 

Windows Vista’nın sürücünün Dijital İmzasını kontrol etmesi ve Sürücüyü Sürücü Saklayıcısına kopyalaması adımlarından oluşur. 

Pnputil ile kullanılabilecek diğer parametreler:

-d: Silme (delete) 

-e: Bütün 3.Party paketleri görüntüleme 

-i:  Kurmak (Install) 

-f:  Tetiklemek (Forced) 

Eski Versiyon Aygıt Sürücüleri İçin Dikkat Edilmesi Gereken Hususlar 

Windows’un daha önceki versiyonları için geliştirilmiş olan aygıt sürücüleri, Windows Vista ile her zaman düzgün çalışmayabilirler. Uyumluluk ve test aşamalarında aşağıda belirtilmiş olan sorunlar çıkabilmektedir. 

Compatibility (Uyumluluk): Uyumluluk problemleri farklı aşamalarda karşımıza çıkabilir. Örneğin sürücü daha önceki Windows versiyonlarındaki gibi kurulamayabilir, yüklenmeyebilir, Çünkü Vista’nın 64 bit’lik sürümleri imzasız sürücüleri yüklemez. Run Time hatası olarak ise 64 bit’lik Windows Vista sürümlerinde bir hata kontrolü (Bug Check) ya da aygıt sürücüsü ara yüzü için bir hata kodu oluşturulması söz konusu olabilir. İşlevsellik olarak da maksimum performans ve verim alınamayabilir. Windows Hardware Developer Central Web sayfası aracılığıyla güncel sürücüler hakkında bilgi sahibi olabiliriz.

 

Testing (Test): Windows Vista için geliştirilmemiş olan bütün sürücülerin kurulmadan önce test edilmeleri önemlidir, ancak bu sürücüler. inf dosyalarındaki hatalar ya da ACL (Acces Control List) kısıtlamaları yüzünden başarısızlık ile sonuçlanabilirler. 

Evet, arkadaşlar bu makalemde, Windows Vista üzerinde Device Driver yönetimi sağlıyabilmek adına kullanabileceğimiz araçlardan bahsettim. Bir başka makalede tekrar görüşmek üzere…

Serhad MAKBULOĞLU

Windows Vista Startup Process

Windows Vista’daki startup process, kendinden önceki tüm Windows sürümlerinden farklılık göstermektedir. Bu process dört aşamadan oluşmaktadır: Preboot Phase, Windows Boot Manager, Device and Service Loading ve Logon Sequence

 

PREBOOT PHASE

Bilgisayarınızı ilk açtığımızda BIOS (Basic Input / Output System) devreye girerek POST (Power On Self Test) işlemini gerçekleştirir ve bilgisayarımız üzerindeki donanımları kontrol ederek bunları başlatır. POST işlemi tamamlandıktan sonra BIOS, sabit diskin ilk sektöründe bulunan MBR ‘ı (Master Boot Record) yükler ve MBR üzerindeki programı çalıştırır. MBR’daki program sabit diskteki aktif partition’ı bularak buradaki boot sector’ü yükler.

 

Wındows Boot Manager

 

Windows’un önceki sürümlerinde, başlangıç yöneticisi (boot manager) olarak boot.ini isimli bir dosya kullanılır, kullanıcının başlangıçta çalıştıracağı işletim sistemi bu dosyada yazılı olan satırlara göre belirlenir, kullanıcı bunlar arasında tercihini yapardı. Windows Vista ile artık bu yapı değişti ve yeni boot manager olarak winload.exe kullanılmaya başlandı. Winload.exe, boot configuration database’e bakıp, ilgili veriyi okuyup gerektiği takdirde kullanıcının önüne seçim yapacağı menüyü getirir.  Boot configuration database’e gerektiği takdirde, komut satırından bcdedit.exe komutunu kullanarak erişebilirsiniz. Boot configuration’ın el ile değiştirilmesi daha çok, iki işletim sisteminin birden yüklü olduğu  dual boot sistemlerde yararlı olacaktır.

Ayrıca işletim sistemimiz düzgün bir şekilde açılamadığında, POST ekranından hemen sonra klavyemizdeki F8 tuşuna basarak Advanced Boot Options‘a girip sorun çözümüne yönelik olarak ilgili seçeneği kullanabiliriz. Aşağıdaki tabloda Advanced Boot Options menüsündeki seçeneklerimiz ve bunların tanımı yer almaktadır.

 

image001

 

Advanced boot Options Menüsü

 

Safe Mode

Windows Vista’yı en temel ve gerekli aygıt sürücüleri ve servisler ile başlatır.  Genellikle yeni bir donanım ekleyip bilgisayarımızı başlatamadığımızda kullandığımız seçenektir.

Safe Mode with Networking

Windows Vista’yı en temel ve gerekli aygıt sürücüleri ve servisler artı network desteği ile başlatır.

Safe Mode with Command Prompt

Windows Vista’yı en temel ve gerekli aygıt sürücüleri ve servisler ile komut satırında başlatır.

Enable Boot Logging

Ntbtlog.txt isimli bir dosya oluşturup bu dosyaya boot process’i sırasında yüklenen aygıt sürücülerinin listesini yazar.

Enable Low Resolution Video

(640 x 480)

Windows Vista’yı düşük çözünürlükte başlatır. Özellikle ekran kartı ile ilgili sorunları çözebilmek için idealdir.

Last Known Good Configuration (advanced)

En son başarılı başlangıçtaki ayarlarla sistemi başlatır.

Directory Services Restore Mode

Domain Controller için kullanılan bu seçenek Windows Vista ile uygulanabilir değildir.

Debugging Mode

Windows kernel debugger’ın kullanılmasını sağlar.

Disable automatic restart on system failure

Windows’ta karşılaşılan önemli bir hata sonucu sistemin otomatik olarak yeniden başlamasını engeller.

Disable Driver Signature Enforcement

Dijital olarak imzalanmamış olan sürücülerin uyarı vermeden yüklenmesini sağlar.

Start Windows Normally

Windows’un standart ayarlarla normal olarak başlamasını sağlar.

 

Devıce And Servıce Loadıng

 

Ekranda görünen kayan çubuktan log on ekranına gelene kadar olan sürede arka planda Windows Vista; ilgili donanımlara ait driver’ları ve başlaması gereken servisleri sırayla başlatır, bunlarla ilgili bilgileri registry’den okur.

 

Logon Sequence

 

Bu aşamada kullanıcı adı ve şifre girilerek local security accounts manager’dan ya da domain controller’dan kimlik doğrulaması (authentication) yapılır. Başarılı bir kimlik doğrulamadan sonra işletim sistemi kullanıcı profilini yükler ve bu arada başlaması geciken servislerin başlatma işlemi tamamlanarak işletim sistemi kullanıma hazır hale gelir.

 

Wındows Vısta Ve Wındows Xp Dual Boot Senaryosu

 

Pek çok ev kullanıcısı ve iş yeri yeni işletim sistemleri üzerinde halen, gerek alışkanlıklarından dolayı gerekse kullandıkları programların yeni sürümleri çıkmadıklarından dolayı, eski programları kullanmak isterler. Bu durumda yeni işletim sistemi ile eski programlar arasında bir uyum sorunu oluşabilmektedir. Bu durumda uygulanacak çözümlerden biri eski işletim sistemini de var olan yeni işletim sisteminin yüklü olduğu aynı bilgisayarda kullanmaktır. Bu sayede kullanıcılar eski programlarını da kullanabilecekler. Windows Vista, daha önceki Windowslarda olduğu gibi dual boot yapılandırmasına yani aynı bilgisayarda, eski bir işletim sisteminin yüklü olma durumunu desteklemektedir. Windows XP ve Windows Vista aynı bilgisayara yüklenebilir.

image002

Dual boot seçim ekranı: Windows XP ve Vista’nın aynı bilgisayarda yüklü olma durumunda karşımıza çıkan seçim ekranı.

Installatıon

Önerilen uygulama; ilk olarak eski tarihli işletim sistemini, sonrada Windows Vista’yı yüklemektir. Windows Vista DVD’sini sürücünüze yerleştirdiğiniz zaman dikkat etmeniz gereken nokta, dual boot konfigürasyonu için Custom (advanced) seçeneğini seçip yükleme klasörünü belirtmemiz gerekmektedir.

Yine dikkat etmemiz gereken diğer bir nokta da  Windows Vista’yı, var olan eski işletim sistemi ile aynı partition’a yüklememektir. Eğer sabit diskimizde yeni bir partition için yeteri kadar alan yoksa, bu durumda yeni bir sabit disk eklememiz gerekecektir.

STARTUP

Windows XP ve Windows Vista işletim sistemleri yüklü olan bir bilgisayarda Vista’nın boot manager’i, açılış işlemlerini kontrol etse de, eski işletim sistemi olan Windows XP NTLDR ve Boot.ini dosyalarına ihtiyaç duyar ve bu dosyalar C:\ sürücüsünde yer almalıdırlar. Windows XP’nin başlayabilmesi için gerekli olan bu iki dosya Windows Vista’nın boot manager’ı tarafından okunmaz.

Eğer Windows XP’nin başlangıcı ile ilgili bir değişikliğe gitmek istiyorsak, bilgisayarımızı Windows XP’den başlatıp, komut satırından bootcfg.exe komutunu kullanabiliriz. Diğer bir yöntem ise boot.ini dosyasını notepad ile düzenlemek veya System Configuration Utility (msconfig.exe) ile yine boot.ini dosyasını düzenlemek olabilir.

Eğer Windows Vista’nın başlangıcı ile ilgili bir değişiklik yapmak istiyorsak, bu durumda da bilgisayarımızı Windows Vista ile açıp komut satırından bcdedit.exe programını kullanabiliriz.

 

Varsayılan (Default) İşletim Sisteminin Seçilmesi

 

Açılış seçenekleri menüsünde hiçbir seçimde bulunmadığımızda, en son yüklenen Windows Vista varsayılan işletim sistemi olarak görülecek ve bilgisayarımız Windows Vista ile başlayacaktır. Boot configuration data’da hangi işletim sistemlerinin saklandığını bcdedit.exe /enum komutu ile görebiliriz. Default işletim sistemini ise bcdedit.exe /default {id} komutu ile seçebiliriz.

image003

 

bcdedit /enum komutu ile boot configuration data’yı görüntüleyebiliyoruz.

 

image004

 

Default’ta Windows Boot Manager ekranında hiçbir seçim yapmazsak 30 saniye içinde sistem Windows Vista ile başlayacaktı. id kısmına ntldr yazarak bcdedit /defaut komutunu kullandığımızda; 30 saniye içinde seçim yapmazsak artık sistem eski tarihli işletim sistemi olan Windows XP’den başlayacak.

 

Selim Selveroglu