Windows Server'da Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakma

Bu makalede, Windows Server'da Kullanıcı Hesabı Denetimi'nin (UAC) nasıl devre dışı bırakılması anlatılıyor.

Özgün KB numarası: 2526083

Özet

Belirli kısıtlanmış koşullarda, Windows Server'da UAC'yi devre dışı bırakmak kabul edilebilir ve önerilen bir uygulama olabilir. Bu koşullar yalnızca aşağıdaki koşulların her ikisi de doğru olduğunda oluşur:

• Windows sunucusunda konsolda veya Uzak Masaüstü Hizmetleri'ni kullanarak yalnızca yöneticilerin etkileşimli olarak oturum açmasına izin verilir.
• Yöneticiler, yalnızca sunucuda meşru sistem yönetim işlevleri gerçekleştirmek için Windows tabanlı sunucuda oturum açar.

Bu koşullardan biri doğru değilse UAC etkin durumda kalmalıdır. Örneğin, sunucu, yönetici olmayan kullanıcıların uygulamaları çalıştırmak için sunucuda oturum açabilmesi için Uzak Masaüstü Hizmetleri rolünü etkinleştirir. Bu durumda UAC etkin kalmalıdır. Benzer şekilde, aşağıdaki durumlarda UAC etkin kalmalıdır:

• Yöneticiler sunucuda riskli uygulamalar çalıştırır. Örneğin, web tarayıcıları, e-posta istemcileri veya anlık ileti istemcileri.
• Yöneticiler, Windows 7 gibi bir istemci işletim sisteminden yapılması gereken diğer işlemleri yapar.

Not

• Bu kılavuz yalnızca Windows Server işletim sistemleri için geçerlidir.
• UAC, Windows Server 2008 R2 ve sonraki sürümlerin Server Core sürümlerinde her zaman devre dışı bırakılır.

Daha fazla bilgi

UAC, Windows kullanıcılarının varsayılan olarak standart kullanıcı haklarını kullanmalarına yardımcı olmak için tasarlanmıştır. UAC, bu hedefe ulaşmak için çeşitli teknolojiler içerir. Bu teknolojiler şunlardır:

• Dosya ve Kayıt Defteri Sanallaştırma: Eski bir uygulama dosya sisteminin veya kayıt defterinin korumalı alanlarına yazmaya çalıştığında, Windows erişimi dosya sisteminin veya kullanıcının değiştirmesine izin verilen kayıt defterinin bir bölümüne sessiz ve şeffaf bir şekilde yeniden yönlendirir. Windows'un önceki sürümlerinde yönetici hakları gerektiren birçok uygulamanın Windows Server 2008 ve sonraki sürümlerde yalnızca standart kullanıcı haklarıyla başarıyla çalışmasını sağlar.

• Aynı Masaüstü Yükseltme: Yetkili bir kullanıcı bir programı çalıştırıp yükselttiğinde, sonuçta elde edilen işleme etkileşimli masaüstü kullanıcısının haklarından daha güçlü haklar verilir. Yükseltmeyi UAC'nin Filtrelenmiş Belirteç özelliğiyle birleştirerek (sonraki madde işareti noktasına bakın), yöneticiler standart kullanıcı haklarına sahip programları çalıştırabilir. Ayrıca, yalnızca aynı kullanıcı hesabıyla yönetim hakları gerektiren programları yükseltebilirler. Bu aynı kullanıcı yükseltme özelliği Yönetici Onay Modu olarak da bilinir. Programlar, yöneticinin standart bir kullanıcının masaüstünde yönetim görevlerini gerçekleştirebilmesi için farklı bir kullanıcı hesabı kullanılarak yükseltilmiş haklarla da başlatılabilir.

• Filtrelenmiş Belirteç: Yönetici veya diğer güçlü ayrıcalıklara veya grup üyeliklerine sahip bir kullanıcı oturum açtığında, Windows kullanıcı hesabını temsil etmek için iki erişim belirteci oluşturur. Filtrelenmemiş belirteç, kullanıcının tüm grup üyeliklerine ve ayrıcalıklarına sahiptir. Filtrelenen belirteç, standart kullanıcı haklarına eşdeğer kullanıcıyı temsil eder. Varsayılan olarak, bu filtrelenmiş belirteç kullanıcının programlarını çalıştırmak için kullanılır. Filtrelenmemiş belirteç yalnızca yükseltilmiş programlarla ilişkilendirilir. Aşağıdaki koşullar altında bir hesaba Korumalı Yönetici hesabı adı verilir:

  • Yöneticiler grubunun bir üyesidir
  • Kullanıcı oturum açtığında filtrelenmiş bir belirteç alır

• Kullanıcı Arabirimi Ayrıcalık Yalıtımı (UIPI): UIPI, düşük ayrıcalıklı bir programın aşağıdaki şekilde daha yüksek ayrıcalıklı işlemi denetlemesini engeller:
     Yapay fare veya klavye olayları gibi pencere iletilerini daha yüksek ayrıcalıklı bir işleme ait bir pencereye gönderme

• Korumalı Mod Internet Explorer (PMIE): PMIE, derinlemesine savunma özelliğidir. Windows Internet Explorer düşük ayrıcalıklı Korumalı Modda çalışır ve dosya sisteminin veya kayıt defterinin çoğu alanına yazamaz. Varsayılan olarak, kullanıcı İnternet veya Kısıtlı Siteler bölgelerindeki sitelere göz attığında Korumalı Mod etkinleştirilir. PMIE, Internet Explorer'ın çalışan bir örneğine bulaşan kötü amaçlı yazılımların kullanıcının ayarlarını değiştirmesini zorlaştırır. Örneğin, kullanıcı her oturum açtığında kendisini başlatacak şekilde yapılandırıyor. PMIE aslında UAC'nin bir parçası değildir. Ancak UIPI gibi UAC özelliklerine bağlıdır.

• Yükleyici Algılama: Yeni bir işlem yönetim hakları olmadan başlatılmak üzereyken, Windows yeni işlemin eski bir yükleme programı olup olmayacağını belirlemek için buluşsal yöntemler uygular. Windows, eski yükleme programlarının yönetici hakları olmadan başarısız olma olasılığının yüksek olduğunu varsayar. Bu nedenle Windows, etkileşimli kullanıcıdan proaktif olarak yükseltme ister. Kullanıcının yönetici kimlik bilgileri yoksa, kullanıcı programı çalıştıramaz.

Kullanıcı Hesabı Denetimi: Yönetici Onay Modu ilke ayarında tüm yöneticileri çalıştırın ayarını devre dışı bırakırsanız. Bu bölümde açıklanan tüm UAC özelliklerini devre dışı bırakır. Bu ilke ayarı bilgisayarın Yerel Güvenlik İlkesi, Güvenlik Ayarları, Yerel İlkeler ve ardından Güvenlik Seçenekleri aracılığıyla kullanılabilir. Korumalı klasörlere veya kayıt defteri anahtarlarına yazmayı bekleyen standart kullanıcı haklarına sahip eski uygulamalar başarısız olur. Filtrelenmiş belirteçler oluşturulmaz. Tüm programlar, bilgisayarda oturum açmış olan kullanıcının tüm haklarıyla çalışır. Tüm güvenlik bölgeleri için Korumalı Mod devre dışı bırakıldığından Internet Explorer'ı içerir.

Özellikle UAC ve Aynı Masaüstü Yükseltmesi ile ilgili yaygın yanlışlardan biri, kötü amaçlı yazılımların yüklenmesini engellemesi veya yönetim hakları kazanmasıdır. İlk olarak, kötü amaçlı yazılım yönetim hakları gerektirmemesi için yazılabilir. Kötü amaçlı yazılımlar da yalnızca kullanıcının profilindeki alanlara yazılacak şekilde yazılabilir. Daha da önemlisi, UAC'de Aynı Masaüstü Yükseltmesi bir güvenlik sınırı değildir. Aynı masaüstünde çalışan ayrıcalıksız yazılımlar tarafından ele geçirilebilir. Aynı masaüstü Yükseltmesi kullanışlı bir özellik olarak kabul edilmelidir. Güvenlik açısından Bakıldığında Korumalı Yönetici, Yönetici ile eşdeğer olarak kabul edilmelidir. Buna karşılık, yönetici hesabı kullanarak farklı bir oturumda oturum açmak için Hızlı Kullanıcı Geçişi'nin kullanılması, yönetici hesabıyla standart kullanıcı oturumu arasında bir güvenlik sınırı içerir.

Etkileşimli oturum açmanın tek nedeninin sistemi yönetmek olduğu Windows tabanlı bir sunucuda, daha az yükseltme isteminin hedefi uygun veya istenen bir durum değildir. Sistem yönetim araçları yasal olarak yönetim hakları gerektirir. Tüm yönetici kullanıcının görevleri yönetim hakları gerektirdiğinde ve her görev bir yükseltme istemi tetikleyebilse, istemler yalnızca üretkenliği engeller. Bu bağlamda, bu tür istemler standart kullanıcı hakları gerektiren uygulamaların geliştirilmesini teşvik etme hedefini teşvik etmez/yükseltemez. Bu tür istemler güvenlik duruşunu iyileştirmez. Bu istemler yalnızca kullanıcıları okumadan iletişim kutularına tıklamaya teşvik eder.

Bu kılavuz yalnızca iyi yönetilen sunucular için geçerlidir. Bu, yalnızca yönetici kullanıcıların etkileşimli olarak veya Uzak Masaüstü hizmetleri aracılığıyla oturum açabileceği anlamına gelir. Ayrıca yalnızca meşru yönetim işlevlerini gerçekleştirebilirler. Sunucu, aşağıdaki durumlarda istemci sistemine eşdeğer olarak kabul edilmelidir:

• Yöneticiler web tarayıcıları, e-posta istemcileri veya anlık ileti istemcileri gibi riskli uygulamalar çalıştırır.
• Yöneticiler, istemci işletim sisteminden gerçekleştirilmesi gereken diğer işlemleri gerçekleştirir.

Bu durumda UAC, derinlemesine savunma önlemi olarak etkin kalmalıdır.

Ayrıca, standart kullanıcılar özellikle web tarayıcıları olmak üzere uygulamaları çalıştırmak için konsolunda veya Uzak Masaüstü hizmetleri aracılığıyla sunucuda oturum açarsa, UAC dosya ve kayıt defteri sanallaştırmasını ve ayrıca Korumalı Mod Internet Explorer'ı desteklemek için etkin kalmalıdır.

UAC'yi devre dışı bırakmadan yükseltme istemlerini önlemeye yönelik bir diğer seçenek de Kullanıcı Hesabı Denetimi: Yönetici Onay Modu güvenlik ilkesindeki yöneticiler için yükseltme isteminin davranışı'nı sormadan Yükselt olarak ayarlamaktır. Bu ayar kullanıldığında, kullanıcı Yöneticiler grubunun üyesiyse yükseltme istekleri sessizce onaylanır. Bu seçenek ayrıca PMIE ve diğer UAC özelliklerini de etkin bırakır. Ancak, yönetim hakları gerektiren tüm işlemler yükseltme isteğinde bulunmaz. Bu ayarın kullanılması, aralarında ayrım yapmak için herhangi bir yol olmadan bazı kullanıcının programlarının yükseltilip bazılarının yükseltilmemesiyle sonuçlanabilir. Örneğin, yönetim hakları gerektiren çoğu konsol yardımcı programının zaten yükseltilmiş bir komut isteminde veya başka bir programda başlatılması beklenir. Bu tür yardımcı programlar yalnızca yükseltilmiş olmayan bir komut isteminde başlatıldıklarında başarısız olur.

UAC'yi devre dışı bırakmanın ek etkileri

• Okuma izinlerinizin olmadığı bir dizine göz atmak için Windows Gezgini'ni kullanmayı denerseniz Gezgin, kullanıcı hesabınıza kalıcı olarak erişim izni vermek için dizinin izinlerini değiştirmeyi teklif eder. Sonuçlar UAC'nin etkinleştirilip etkinleştirilmediğine bağlıdır. Daha fazla bilgi için bkz. Windows Gezgini'nde klasör erişimi için Devam'a tıkladığınızda, kullanıcı hesabınız klasörün ACL'sine eklenir.
• UAC devre dışı bırakılırsa, Windows Gezgini yükseltme gerektiren öğeler için UAC kalkan simgelerini görüntülemeye devam eder. Ayrıca Windows Gezgini, uygulamaların ve uygulama kısayollarının bağlam menülerine Yönetici olarak çalıştır'ı eklemeye devam eder. UAC yükseltme mekanizması devre dışı bırakıldığından, bu komutların hiçbir etkisi yoktur. Uygulamalar, oturum açan kullanıcıyla aynı güvenlik bağlamında çalışır.
• UAC etkinleştirilirse, Runas.exe konsol yardımcı programı, belirteç filtrelemeye tabi bir kullanıcı hesabı kullanılarak bir program başlatmak için kullanıldığında, program kullanıcının filtrelenmiş belirteci ile çalışır. UAC devre dışı bırakılırsa, başlatılan program kullanıcının tam belirteci ile çalışır.
• UAC etkinleştirilirse, belirteç filtrelemeye tabi olan yerel hesaplar Uzak Masaüstü dışındaki ağ arabirimleri üzerinden uzaktan yönetim için kullanılamaz. Örneğin, NET USE veya WinRM aracılığıyla. Böyle bir arabirim üzerinde kimlik doğrulaması yapılan yerel bir hesap, yalnızca hesabın filtrelenmiş belirtecine verilen ayrıcalıkları alır. UAC devre dışı bırakılırsa bu kısıtlama kaldırılır. Kısıtlama, KB951016'de açıklanan ayar kullanılarak LocalAccountTokenFilterPolicy da kaldırılabilir. Bu kısıtlamanın kaldırılması, birçok sistemin aynı kullanıcı adı ve parolasına sahip bir yönetici yerel hesabına sahip olduğu bir ortamda sistem güvenliğinin aşılması riskini artırabilir. Bu risklere karşı diğer risk azaltmaların çalıştığından emin olmanız önerilir. Önerilen azaltmalar hakkında daha fazla bilgi için bkz. Karma Geçiş (PtH) Saldırılarını ve Diğer Kimlik Bilgileri Hırsızlığını Azaltma, Sürüm 1 ve 2.
• PsExec, Kullanıcı Hesabı Denetimi ve Güvenlik Sınırları
• Windows Gezgini'nde klasör erişimi için Devam'ı seçtiğinizde, kullanıcı hesabınız klasörün ACL'sine eklenir (KB 950934)