Kullanıcı Hesap Denetimi (User Account Control – UAC)

 

Kullanıcı Hesap Denetimi (User Account Control – UAC)

UAC, Windows Vista ile birlikte gelen gelişmiş bir kullanıcı yönetim bileşenidir. UAC ile kullanıcı hesaplarının değişik düzeylerde yetkilerle donatılması sağlanmıştır. Windows Vista’da normal bir kullanıcının yapabileceği işlemler sınırlıdır.

Uyarı Pencereleri

Windows Vista’da bir kullanıcı ancak kendi hesabını etkileyen değişiklikler yapabilir. İşlemleri sınırlandırılan  kullanıcılar bir program çalıştırmak istedikleri zaman UAC uyarı pencereleriyle karşılaşırlar. Bu pencereler tüm pencerelerin üzerinde; güvenli masaüstünde (secure desktop) açılır. Güvenli Masaüstü, tuş kaydı yapan programların işlev görmesini ve ekran görüntüsü alımını engellediği için yönetici şifrelerinin korumasını artırır.

Uyarı penceresi iki türlüdür:

Onay İstemcisi (consent prompt): Güvenlik açısından risk taşıyan bir program çalıştırıldığında beliren ve programın çalışabilmesi için onay gerektiren penceredir.

Kimlik Doğrulama İstemcisi (credential prompt): Windows Vista’da bazı işlemler sadece yönetici hesabıyla yapılabilmektedir. Kullanıcı yetkisi dışındaki bir işlemi başlatmaya çalışırsa, uyarı penceresinin geçilmesi için bir yönetici hesabına ihtiyaç duyulur.

 

 

Kullanıcı, yetkisinin olmadığı bir işlemi yapmaya çalıştığında, kimlik doğrulama istemcisi ile karşılaşabilir. Aşağıdaki maddeler bu durumlardan bazılarını örneklemektedir:

Yeni bir programı veya sürücüyü kurulurken ya da varolan bir program bilgisayardan kaldırılırken

  • Bir program "Run as Administrator" komutuyla çalıştırılırken
  • Program Files veya Windows klasöründeki dosyalar değiştirilirken
  • Windows güncelleştirmeleri yapılırken
  • Ebeveyn kontrolleri değiştirilirken
  • ActiveX kontrolleri yüklenirken
  • Güvenlik duvarı seçenekleri değiştirilirken
  • Kullanıcı hesaplarıyla ilgili işlem yapılırken
  • Başka bir kullanıcının dosyalarına erişilirken
  • Uzak masaüstü bağlantı ayarları yapılandırılırken
  • UAC ayarları değiştirilirken

Uyarı penceresinin rengi çalıştırılan uygulamanın taşıdığı riske göre belirlenir. Bu renkler UAC karar verme sürecine göre belirlenir. Risk durumlarına göre dört farklı renkte uyarı penceresi vardır:

Kırmızı arka plan ve kırmızı kalkan simgesi: Windows Güvenlik Birimleri tarafından belirtilen en riskli tehlike düzeyini ifade eder. Çalıştırılan uygulamanın üreticisi engellenmiş ise bu tür bir uyarı çıkar.

Mavi-yeşil arka plan ve kalkan simgesi: Yayımcısı Windows Vista olan bir programın çalıştırılmak istendiğini ifade eder.


Gri arka plan ve altın kalkan simgesi: Uygulamanın dijital olarak imzalı olduğunu ve sistem için güvenilir olduğunu ifade eder.

Sarı arka plan ve altın kalkan simgesi: Uygulamanın imzasız olması durumunda veya imzalı olmasına rağmen yerel bilgisayar tarafından güvenilmemesi durumlarında görülen uyarı şeklidir.

UAC’nin Yararları

Yetkisiz bir kullanıcının bütün bilgisayarı etkileyecek işlemler yapması engellenir.

Zararlı programlar kullanıcı isteği dışında çalışmak istediğinde işlem durdurulup kullanıcı onayı alınır. Bu sayede süreç üzerinde tam kontrol sağlanır.

Yetkisiz bir  kullanıcının, erişim izninin olmadığı bir programın çalıştırılabilmesi için, geçerli oturumun kapatılıp yönetici oturumunun açılmasına gerek yoktur. UAC, kullanıcı hesabından yönetimsel bir işlemin yapılabilmesine izin verir. Bir programa sağ tıklanıp "Run as Administrator" tıklanarak o program yönetici hesabıyla açılabilir.

Group Policy ile UAC Ayarlarının Yapılandırılması

Grup İlkesi (Group Policy: Başlat -> Çalıştır -> gpedit.msc) yardımıyla, UAC uyarı pencereleri kontrol edilebilir. Bu işlemlerin gerçekleştirilebilmesi için kullanıcının admin yetkisine sahip olması gerekmektedir.

Öncelikle Bilgisayar Yapılandırması (Computer Configuration) -> Windows Ayarları (Windows Settings) -> Güvenlik Ayarları (Security Settings) -> Yerel İlkeler (Local Policies) -> Güvenlik Seçenekleri (Security Options) yolundaki pencereye gelinir.

Aşağıdaki parametrelerin değerleri değiştirilerek uyarı pencereleri yapılandırılabilir.

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode : Uyarı pencerelerinin yöneticiler için nasıl davranacağını belirler.

User Account Control: Behavior of the elevation prompt for standard users : Uyarı pencerelerinin normal kullanıcılar için nasıl davranacağını belirler.

User Account Control: Detect application installations and prompt for elevation : Bir uygulama yüklerken Onay istemcisinin çıkmasını sağlar.

User Account Control: Switch to the secure desktop when prompting for elevation : Uyarı pencerelerinin güvenli masaüstünde olmaksızın çalışmasını sağlar.

UAC’nin Devre Dışı Bırakılması

Üretici firma tarafından tavsiye edilmemekle birlikte Kullanıcı Hesap Denetimi devre dışı bırakılabilir. Ancak bu işlemi yapabilmek için yönetici oturumunun kullanılması gerekmektedir.

Denetim Masası (Control Panel) -> Kullanıcı Hesapları (User Accounts) sayfasında Kullanıcı Hesabı Denetimini aç veya kapat (Turn User Account Control on or off) seçeneği tıklanır.

Çıkan sayfadaki düğmenin onayı kaldırılıp Tamam‘a (OK) tıklanır ve bilgisayar yeniden başlatılır.

UAC, makalenin başında da belirtildiği gibi Windows Vista ile birlikte gelen gelişmiş bir kullanıcı yönetim bileşenidir. UAC ile kullanıcı hesaplarının değişik düzeylerde yetkilerle donatılması sağlanmıştır. Windows Vista’da normal bir kullanıcının yapabileceği işlemler sınırlandırılmıştır.