Windows Vista User Account Control (UAC)

            Microsoft Windows ailesinin en yeni üyesi olan Vista, görselli?in yan? s?ra h?z ve güvenli?i de beraberinde getirece?inin sinyallerini vermi?ti. Vista ile tan??mam?z?n ard?ndan yeniliklerini de beraberce ke?fetme imkân? buluyoruz. Bu makalemizin konusu Vista’n?n de?i?imlerinde büyük rol oynayan UAC (User Account Control) olacak.
                UAC NEDIR?
            User Account Control Windows Vista ile birlikte kullanicilarla bulu?an bir güvenlik kontrol mekanizmas?d?r. Bu güvenlik kontrol mekanizmas? ile birlikte bugüne kadarki Windows Platformlar?nda al???k oldugumuz “Standart Desktop” yap?s? de?i?iklik göstermektedir. Önceki sürümlerde Administrator haklar?na sahip kullanicilar?n sistem içerisinde s?n?rs?z yetkilere sahip olduklar?n? biliyoruz. Bunun yan?nda Administrator yetkilerine sahip olmayan kullanicilar?n da sistem saatini de?i?tirmek, bilgisayar? kapatmak, baz? uygulamalar? çal??t?rmak gibi çok önemli görevleri yerine getiremediklerini de biliyoruz. Bu iki uç nokta aras?nda bugüne kadar maalesef bir platform bulunmamaktayd?. Bu da sürekli olarak Standard kullanicilar?n Administrator yani yönetici yap?lmalar? ile çözüme kavu?turulmakta bunun yan?nda güvenlik tehdidi göz ard? edilmekteydi. Microsoft UAC denetimleriyle kullanici yap?lar?na gerçekten farkl? ve etkile?imli bir boyut kazand?rd? diyebiliriz. Normal kullanicilar ile yöneticilerin fonksiyonlar?n?n çok esnek bir ?ekilde belirlenebildi?i bu yeni denetim sayesinde bir kullanici “yönetici” yap?lmadan da “user mode” seçene?i sayesinde bilgisayar içerisinde daha esnek davranabilmekte ve görevlerini daha rahat ve verimli bir ?ekilde yerine getirebilmektedir. Üstelik güvenlik unsurlar?n? tehlikeye atmadan J

            Eski Windows sürümlerinde bir yönetici sisteme logon oldugunda tüm yetkilerin kendisinde olmas?n? sa?layan bir “giri? anahtar?”na sahip olurdu. Windows Vista içerisinde ise bir yönetici sisteme logon oldugunda kendisine tüm yetkilerin içinde bulundu?u giri? kart? yerine Standard kullanicilara verilen “giri? anahtar?” ve Administrator için tasarlanm?? “giri? anahtar?” olmak üzere 2 anahtar verilir. Dolay?s?yla Administrator olan kullanici bile her i?lem için Admin anahtar?n? kullanmak yerine Standard kullanici anahtar?n? kullanacakt?r. Sadece gerçekten Admin anahtar?na ihtiyaç duydu?unda özel yetkilere sahip olan Admin anahtar?n? kullanacakt?r. Bununla beraber Admin yetkileri sürekli bir biçimde gereksiz olarak kullan?lmayacak ve güvenlik aç??? olu?mayacakt?r.
            UAC ‘yi (User Account Control) aktif hale getirelim.

            Önce Control PanelUser Accounts k?sm?nda geçelim.

            Yukar?da bir Domain kullanicis?n?n User Accounts bölümünü görüyoruz. Turn User Account Control (UAC ) seçene?iyle UAC’yi aktif edece?iz.

            Bu ekranda da Local bir bilgisayarda User Accounts bölümünü görmekteyiz. kullanici hesap i?lemleri lokal bilgisayarda kontrol edilebilirken domaindeki bilgisayar?n bu durumda olmad???n? görüyoruz.

            Son olarak bu noktada da bilgisayar?m?z? koruma alt?na almak için UAC kullanaca??m?z? belirtiyoruz ve devam ediyoruz.

             Bu i?lem sonras?nda görece?imiz üzere bilgisayar?m?z kesinlikle Restart edilmek zorunda. Aksi halde ayarlar?m?z aktif hale geçmeyecektir.
                THE CONSENT AND CREDENTIAL PROMPTS
            Windows Vista’da UAC aktif edildikten sonra sistem kendini güvenlik alt?na almaktad?r. Bunun bir sonucu olarak sistem için zararl? oldugu dü?ünülen yaz?l?mlar?n, sistem yöneticilerinin çal??t?rabilece?i uygulamalar?n ve potansiyel virüs bar?nd?ran programlar?n çal??t?r?lmalar? esnas?nda “Elevation” ad? verilen bir onay mekanizmas? i?letilir. Bu onay mekanizmas? ile Standard kullanici ya da Administrator gereksinimleri yerine getirdikleri takdirde i?lemlerine devam edebilirler. Bu onay mekanizmas?, Standard kullanicilar ve yöneticiler için ayr? ayr? düzenlenmektedir. Örne?in Administrator bir uygulama çal??t?rmak istedi?inde ne tür bir onay istendi?i ya da Standard bir kullanici için ne gibi bir onay gerekti?i önceden belirlenebilir. Bu noktada Group Policy içerisinde yap?lacak birkaç ayar sayesinde Onay / Uyar? ekranlar? Standard kullanicilar ve yöneticiler için ayr? ayr? düzenlenebilir.

            Bu uyar? penceresi “Consent Prompt” olarak isimlendirilmektedir. kullanici özel bir uygulama çal??t?rmak istedi?inde kar??s?na ç?kan pencerede “Continue” seçene?iyle devam edebilecektir.

            “Consent Prompt”dan farkl? olarak istenirse tüm kullanicilar için kullanici ad? ve sifre sorgulamas? da yap?labilmektedir. Yukar?da gördü?ünüz bu model ise Windows Vista içerisinde “Credential Prompt” ad?n? almaktad?r. Consent Prompt ile k?yasland???nda daha güvenli oldugu dü?ünülebilir. Yukar?daki örnekte Bilgisayar Yönetim Konsolu’nu açmaya çal??an bir kullanicin?n kar??s?na ç?kan “Credential Prompt” sayesinde kullanici yönetici hesap bilgilerini temin etmedi?i sürece konsolu açamayacakt?r. ?stenilen kriterleri sa?lamas? durumunda ise Standard kullanici özelli?inin yan? s?ra yaln?zca bu i?lem için Administrator yetkisi de alacakt?r.
            ??te görüldü?ü gibi eski sürümlerin aksine Windows Vista içerisinde hiç kimse sürekli olarak en yüksek yetki ile donat?lmam??t?r. Ancak sistemin onay istedi?i ve kullanicin?n gerekli bilgileri temin etti?i durumlarda kullanicilar yüksek yetki sahibi olmaktad?rlar.
            Bu uyar? ekranlar? Vista içerisinde ta??m?? oldugu risk durumuna göre renklendirilmi?tir. Bakal?m hangi renk uyar? ne gibi bir riskten söz ediyor.

K?rm?z? arka plan ve k?rm?z? kalkan simgesi: Gerek Windows Defender ve gerekse Windows Security Alert ile belirtilmi? olan en riskli tehlike düzeyini ifade eder. Engellenmi? bir uygulama üreticisinin program? çal??t?r?lmak istendi?inde al?nan uyar? ve onay? simgeler.
Mavi-ye?il arka plan ve kalkan simgesi: Yaln?zca Windows Vista Yöneticisinin (Administrator) çal??t?rabilece?i bir uygulama (control panel) çal??t?r?lmak istendi?inde kar??m?za ç?kacakt?r.
Gri arka plan ve alt?n kalkan simgesi: Uygulaman?n dijital olarak imzal? oldugunu ve sistem taraf?ndan güvenilir oldugunu ifade eder. Ama bu durum onay almamay? gerektirmeyece?inden onay mekanizmam?z yine i?leyecektir.
Sar? arka plan ve k?rm?z? kalkan simgesi: Uygulaman?n imzas?z olmas? ya da imzal? olup yerel bilgisayar taraf?ndan güvenilmemesi durumlar?nda kar??la??lan uyar? ?eklidir.

            UAC ile ilgili Group Policy ile yap?labilecek de?i?iklikler.

Yukar?da UAC’nin Admin Approval Mode (Onay mekanizmas?n?n çal??t??? platform) içerisinde nas?l bir aksiyon alaca??n? belirleyebilirsiniz. Consent, Credential Prompt seçeneklerinin yan? s?ra hiçbir onay almama gibi bir seçene?iniz de bulunmaktad?r.
User Account Control: Admin Approval Mode for the Built-in Administrator account
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
User Account Control: Behavior of the elevation prompt for standard users
User Account Control: Detect application installations and prompt for elevation
User Account Control: Only elevate executables that are signed and validated
User Account Control: Only elevate UIAccess applications that are installed in secure  locations
User Account Control: Run all administrators in Admin Approval Mode
User Account Control: Switch to the secure desktop when prompting for elevation
            Not: Ayr?nt?l? Group Policy seçenekleri ve anlat?m? için lütfen “Vista’da Yeni Group Policy Ayarlar?” ba?l?kl? makalemi inceleyiniz..
                                                                               SHIELDED ICON

        UAC ile Windows, sistem güvenli?ini sa?lamak amac?yla kritik programlar?n ya da seçeneklerin de?i?tirilmesi esnas?nda da yönetici kriterlerine ihtiyaç duymaktad?r. Ayr?ca yukar?da görebilece?imiz üzere Tarih, Saat ve Yerle?im birimi de?i?ikli?i gibi sistem için önemli olabilecek butonlar?n üzerlerinde “Kalkan” simgesi bulunmaktad?r. Bu sayede kullanicin?n yüksek yetki gerektiren bir i?lem yapmakta oldugu belirtilmektedir
        kullanicilar Vista üzerine logon olduklar?nda Standard kullanici gibi varsay?l?rlar. Yüksek yetki gerektiren durumlarda adeta ikinci bir kimlik kart? göstererek özel bölümlere girmeye ve özel uygulamalar? çal??t?rmaya hak kazan?rlar. ?imdi Standard kullanicilar?n ve yöneticilerin varsay?lan olarak ne gibi i?lemleri yerine getirebileceklerine bir göz atal?m.

Standard Users Administrators
Yerel A? Ba?lant?s? yap?land?rabilir. Uygulama yükleyebilir ve kald?rabilir.
Kablosuz a? yap?land?rabilir. Sürücü yükleyebilir ve sürücü güncellemesi yapabilir.
Görüntü ayarlar?nda de?i?iklik yapabilir. Windows güncellemelerini yapabilir.
Kendi sifresini de?i?tirebilir. ActiveX denetimlerini yükleyebilir.
CD/DVD çal??t?rabilir ve yazabilir. Güvenlik duvar? ayarlar?n? de?i?tirebilir.
Masaüstü arka plan? ile ilgili de?i?iklikler yapabilir. kullanicilar?n hesap tiplerini de?i?tirebilir.
Tarih ve Zaman denetimlerini de?i?tirebilir. Ba?ka bir kullanicin?n klasörlerini ara?t?rabilir.
Bluetooth ayg?t? kullanabilir. UAC ayarlar?n? de?i?tirebilir.
Uzak ba?lant? gerçekle?tirebilir. kullanici ekleyebilir ve silebilir.
   
Yedeklenmi? dosyalar?n? geri döndürebilir (Restore). Otomatik güncellemeleri düzenleyebilir.

         SECURE DESKTOP
       Secure Desktop ile kullanici kriterleri sorgulan?rken ekran?n?z?n arka plan?n?n soluk bir renk ald???na ?ahit olursunuz. Bunun sebebi “Secure Desktop” özelli?inin aktif durumda olmas?ndan kaynaklanmaktad?r. Bu sayede ki?i kullanici bilgilerini girmekte iken güvenli durumda olur. Bir ba?ka deyi?le 3ncü parti bir zararl? yaz?l?m sayesinde bilgilerinizin ele geçirilmesi tehlikesinden kurtulmu? oluruz. Secure desktop ayr?ca ekran görüntüsünün kopyas?n?n al?nmas?n?, klavyede tu?lad???n?z karakterlerin ele geçirilmesini ve buna benzer tehlikeleri engellemi? olacakt?r. Secure Desktop Group Policy içerisinden aktif/pasif edilebilir.
Local Computer PolicyComputer ConfigurationWindows SettingsLocal PoliciesSecurity OptionsUser Account Control: Switch to the secure desktop when prompting for elevation
?
 
?
 
Administrator yetkilerine gereksinim duyan bir program?n bir kereye mahsus çal??t?r?lmas?;
?
 

    Baz? uygulamalar (genelde Vista öncesi platformlar için tasarlanm?? olanlar) çal??malar? için sürekli olarak Administrator yetkilerine gereksinim duyarlar. Aksi halde çal??mazlar. Bu durumda Vista’n?n sunmu? oldugu yeni bir özellik sayesinde bu uygulaman?n sürekli olarak Administrator yetkilerine gerek duyaca?? ve herhangi bir kullanici taraf?ndan çal??t?r?lmak istendi?inde bu bilgilerin girilmesi gerekece?ini “uyumluluk” tab?ndan ayarlayabilirsiniz. Çal??t?rmak istedi?iniz program?n özelliklerinden “uyumluluk” k?sm?na geldi?imizde sol tarafta gördü?ümüz bölümde “Run this program as an Administrator” özelli?i ile bunu mümkün hale getirebilirsiniz. Herhangi bir program?n bu ?ekilde i?aretlenerek Administrator yetkilerine gereksinim duymas?n? sa?lamak kesinlikle UAC Elevation (onay ekran?) sorgusunun yap?lmayaca?? manas?na gelmeyecektir. Onay mekanizmas? i?lemeye devam edecektir.


Administrator yetkisine gereksinim duyan bir program?n sürekli olarak Admin yetkileriyle çal??t?r?lmas?n? sa?lamak;

    Baz? uygulamalar (genelde Vista öncesi platformlar için tasarlanm?? olanlar) çal??malar? için sürekli olarak Administrator yetkilerine gereksinim duyarlar. Aksi halde çal??mazlar. Bu durumda Vista’n?n sunmu? oldugu yeni bir özellik sayesinde bu uygulaman?n sürekli olarak Administrator yetkilerine gerek duyaca?? ve herhangi bir kullanici taraf?ndan çal??t?r?lmak istendi?inde bu bilgilerin girilmesi gerekece?ini “uyumluluk” tab?ndan ayarlayabilirsiniz. Çal??t?rmak istedi?iniz program?n özelliklerinden “uyumluluk” k?sm?na geldi?imizde sol tarafta gördü?ümüz bölümde “Run this program as an Administrator” özelli?i ile bunu mümkün hale getirebilirsiniz. Herhangi bir program?n bu ?ekilde i?aretlenerek Administrator yetkilerine gereksinim duymas?n? sa?lamak kesinlikle UAC Elevation (onay ekran?) sorgusunun yap?lmayaca?? manas?na gelmeyecektir. Onay mekanizmas? i?lemeye devam edecektir.

           Evet dostlar?m, bir makalemizin daha sonuna geldik.
            Tesekkür Ederim,
Baki Onur OKUTUCU
Microsoft Certified Trainer
?