Windows Kullanıcı Hesabı Denetimi (UAC) Nedir?
User Account Control (UAC), Windows Vista ile birlikte tanıtılan bir güvenlik mekanizmasıdır. Sistem değişikliği yapmak isteyen uygulamaların kullanıcıdan onay almasını zorunlu kılar. Böylece zararlı yazılımların yetkisiz sistem değişikliği yapması engellenir.
UAC olmadan herhangi bir program sessizce yönetici haklarıyla çalışabilir. Regedit'te değişiklik yapabilir, sistem dosyalarını silebilir veya kritik servisleri değiştirebilir. UAC bu tür işlemler için sarı-mavi bir onay ekranı gösterir.
UAC Nasıl Çalışır?
Standart bir kullanıcı hesabıyla oturum açtığında bile, bazı işlemler yönetici yetkisi gerektirir. UAC bu durumda şifre ister. Yönetici hesabıyla çalışıyorsan sadece onay butonu çıkar.
Token Sistemi
Windows her kullanıcıya iki farklı erişim token'ı verir. Biri standart kullanıcı yetkisiyle çalışır, diğeri yönetici yetkilerini içerir. Normal şartlarda programlar standart token ile çalışır. Sistem değişikliği gerektiğinde yüksek yetkili token devreye girer.
Bu yaklaşıma "Admin Approval Mode" denir. Sürekli yönetici haklarıyla çalışmak yerine, gerektiğinde yetki yükseltmesi yaparsın. Eski Windows XP'de bu yoktu, herkes sürekli admin olarak çalışırdı.
Güvenlik Seviyesi Renkleri
UAC istemi farklı renklerle gelir. Sarı-mavi ekran güvenilir bir Windows bileşeninin veya imzalı bir programın değişiklik yapmak istediğini gösterir. Kırmızı-sarı uyarı ise imzasız veya bilinmeyen bir programın sistem erişimi istediğini belirtir.
İmzasız bir kurulum dosyası çalıştırdığında kırmızı ekran görürsün. Bu programın mutlaka zararlı olduğu anlamına gelmez ama dikkatli olmalısın. Güvenilir kaynaklardan indirdiğin programlar için sorun olmaz.
UAC Ayarlarına Erişim
UAC ayarlarını değiştirmek için birkaç yol var. En kolay yöntem Başlat menüsüne "UAC" yazmak. "Kullanıcı Hesabı Denetimi ayarlarını değiştir" seçeneği çıkar.
Kontrol Paneli Üzerinden
Kontrol Paneli > Sistem ve Güvenlik > Güvenlik ve Bakım > Kullanıcı Hesabı Denetimi ayarlarını değiştir yolunu izleyebilirsin. Buradan UAC seviyesini ayarlayan bir kaydırıcı göreceksin.
Registry ile Erişim
Registry Editor'ü (regedit) açıp şu anahtara gidebilirsin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemBurada "ConsentPromptBehaviorAdmin" ve "EnableLUA" değerleri UAC davranışını kontrol eder. Manuel değişiklik yapmak yerine grafik arayüzü kullanmak daha güvenlidir.
UAC Seviyelerini Ayarlamak
Windows dört farklı UAC seviyesi sunar. Kaydırıcıyı yukarı aşağı hareket ettirerek seviye seçersin. Her seviye farklı güvenlik-kullanım dengesi sağlar.
Seviye 1: Her Zaman Bildir (En Üst)
Bu seviyede her sistem değişikliği için UAC istemi gelir. Hem program hem de kullanıcı değişiklikleri bildirim tetikler. Masaüstü karartılır ve güvenli bir ekrana geçiş yapılır (Secure Desktop).
En güvenli seçenek budur ama çok sık uyarı alırsın. Windows ayarlarında küçük bir değişiklik bile onay ister. Güvenliğe öncelik veriyorsan bunu kullan.
Seviye 2: Varsayılan (Önerilen)
Programlar sistem değişikliği yapmaya çalıştığında bildirim gelir. Kullanıcının kendisinin yaptığı Windows ayar değişiklikleri bildirim tetiklemez. Secure Desktop açılır.
Windows bu seviyeyi varsayılan olarak kullanır. Çoğu kullanıcı için ideal dengeyi sağlar. Günlük kullanımda fazla rahatsız etmez ama önemli güvenlik sağlar.
Seviye 3: Yalnızca Programlar İçin Bildir
Sadece programların yaptığı değişiklikler için uyarı gelir. Windows ayarlarını değiştirirken bildirim görmezsin. Secure Desktop kullanılmaz, normal masaüstünde bildirim çıkar.
Bu seviyede teorik bir güvenlik açığı var. Zararlı bir program UAC penceresine otomatik tıklama yapabilir çünkü masaüstü kararmıyor. Pek önerilmez.
Seviye 4: Hiçbir Zaman Bildir (Kapalı)
UAC tamamen devre dışı kalır. Hiçbir program veya değişiklik için onay istenmez. Tüm uygulamalar yönetici yetkisiyle çalışabilir.
Bu ayar kesinlikle tavsiye edilmez. Sistemini ciddi risklere açarsın. Sadece test ortamları veya izole makineler için düşünülebilir. Normal kullanımda asla kapatma.
UAC Ayarını Değiştirme Adımları
UAC seviyesini değiştirmek basit bir işlemdir. Adımları sırasıyla takip et:
- Başlat menüsüne tıkla ve "UAC" yaz
- "Kullanıcı Hesabı Denetimi ayarlarını değiştir" seçeneğini aç
- Kaydırıcıyı istediğin seviyeye getir
- Tamam'a tıkla
- Gelen UAC istemini onayla
Değişiklik hemen etkinleşir, bilgisayarı yeniden başlatmana gerek yok. Ancak bazı durumlarda çalışan uygulamaları kapatıp açman gerekebilir.
Komut Satırı ile UAC Kontrolü
PowerShell veya CMD üzerinden de UAC durumunu kontrol edebilirsin. Registry değerlerini sorgulayarak mevcut seviyeyi öğrenebilirsin.
UAC Durumunu Kontrol Etme
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUABu komut 0 değeri döndürürse UAC kapalıdır. 1 değeri aktif olduğunu gösterir. EnableLUA ana UAC anahtarıdır.
Bildirim Seviyesini Öğrenme
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdminDönen değerler şöyle yorumlanır:
- 0: Hiç bildirim gösterme
- 1: Secure Desktop'sız onay iste
- 2: Her zaman onay iste (Secure Desktop'sız)
- 5: Varsayılan - Secure Desktop'la onay iste
Group Policy ile Yönetim
Kurumsal ortamlarda UAC'yi Group Policy ile merkezden yönetebilirsin. gpedit.msc'yi açıp şu yola git:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security OptionsBurada "User Account Control" ile başlayan 10 farklı politika var. Her birinin özel işlevi var. Örneğin "Admin Approval Mode for the Built-in Administrator account" yerleşik yönetici hesabını da UAC'ye tabi tutar.
UAC Davranışını Özelleştirme
Gelişmiş kullanıcılar UAC davranışını daha detaylı özelleştirebilir. Registry veya Group Policy ile hassas ayarlar yapılabilir.
Yükseltme İstemi Özelleştirme
PromptOnSecureDesktop değeri masaüstü karartma özelliğini kontrol eder. 1 olduğunda Secure Desktop aktiftir, 0'da normal masaüstünde bildirim gelir.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktopStandart Kullanıcılar İçin Davranış
ConsentPromptBehaviorUser değeri standart kullanıcı hesapları için UAC davranışını belirler. 0 otomatik reddeder, 1 kimlik bilgisi ister, 3 Secure Desktop'ta kimlik bilgisi ister.
Yükleme Algılama
DetectInstallerElevation açıkken Windows kurulum paketlerini otomatik algılar ve yönetici yetkisi ister. Kapalı olduğunda MSI dosyaları bile normal çalışmaya çalışır.
Dikkat Edilmesi Gerekenler
UAC'yi tamamen kapatmak sistemini savunmasız bırakır. Sık bildirim almak canını sıksa bile en az varsayılan seviyede tutmalısın. Zararlı yazılımlar UAC'siz sistemlerde çok daha kolay yayılır.
UAC bildirimi geldiğinde sadece "Evet"e basmayı alışkanlık yapma. Hangi programın ne yapmak istediğini oku. Tanımadığın bir program sistem değişikliği istiyorsa reddet ve araştır.
Bazı eski programlar UAC ile uyumlu çalışmaz. Sürekli yönetici yetkisi gerektiriyorlarsa program kısayoluna sağ tıklayıp "Yönetici olarak çalıştır" seç. Compatibility mode da yardımcı olabilir.
Performans Etkisi
UAC minimal performans etkisi yapar. Secure Desktop geçişi hafif bir gecikme oluşturur ama günlük kullanımda fark edilmez. Performans gerekçesiyle kapatmak mantıksızdır.
Virüs Tarayıcılarla Etkileşim
UAC antivirüs yazılımını geçersiz kılmaz, onunla birlikte çalışır. İyi bir antivirüs zararlı yazılımları engeller, UAC ise sistem değişikliklerini kontrol eder. İkisi birbirini tamamlar.
Uzaktan Bağlantılar
Remote Desktop veya PowerShell Remoting ile bağlanıyorsan UAC davranışı değişir. LocalAccountTokenFilterPolicy registry anahtarını 1 yapman gerekebilir. Ancak bu güvenlik açığı yaratır, sadece güvenli ağlarda kullan.
Sorun Giderme
UAC bazen beklenmedik sorunlara yol açabilir. En sık karşılaşılan durumlar ve çözümleri şöyle:
UAC Kaydırıcı Gri Görünüyor
Group Policy tarafından kilitlenmiş olabilir. gpedit.msc'de UAC politikalarını kontrol et. Kurumsal bilgisayarlarda IT yöneticinle konuş.
Hiçbir UAC İstemi Gelmiyor
EnableLUA değerinin 0 olup olmadığını kontrol et. User Account Control servisinin çalıştığından emin ol. services.msc'yi aç ve listede bak.
Her İşlemde UAC İstemi
UAC seviyesi en üstte olabilir. Kaydırıcıyı varsayılan konuma getir. Ayrıca bazı programlar hatalı manifest dosyası yüzünden sürekli yetki isteyebilir.
Özet
UAC modern Windows güvenliğinin temel taşlarından biridir. Seni bilgilendirir ama engel değildir. Doğru ayarlandığında güvenlik ile kullanılabilirlik arasında mükemmel denge sağlar.
Varsayılan seviye çoğu kullanıcı için idealdir. Test veya geliştirme makinelerinde bile tamamen kapatmak yerine bir seviye aşağı çekmek daha mantıklıdır. Registry ayarlarıyla hassas özelleştirmeler yapabilirsin.
UAC bildirimlerini rahatsızlık olarak görmek yerine güvenlik kontrol noktası olarak değerlendir. Her onay isteği sisteminin korunduğu anlamına gelir. Bilinçli şekilde yönettiğinde UAC en iyi dostumdur.
Sıkça Sorulan Sorular
UAC'yi tamamen kapatmak güvenli mi?
Hayır, kesinlikle güvenli değil. UAC olmadan zararlı yazılımlar sessizce sistem değişikliği yapabilir. Sadece izole test ortamlarında düşünülebilir. Normal kullanımda en az varsayılan seviyede tut.
UAC performansı düşürür mü?
Hayır, performans etkisi ihmal edilebilir seviyededir. Secure Desktop geçişi milisaniyeler alır. UAC'yi performans gerekçesiyle kapatmak yanlıştır, güvenlik kaybı çok daha maliyetlidir.
Her uygulama için ayrı ayrı UAC ayarı yapabilir miyim?
Doğrudan bir özellik yok ama uygulamayı "Yönetici olarak çalıştır" kısayolu oluşturarak veya Task Scheduler ile yüksek yetkiyle başlatabilirsin. Manifest dosyasını düzenlemek de seçenektir ama teknik bilgi gerektirir.
UAC bildirimi gelmeden yönetici komutu çalıştırabilir miyim?
Hayır, Windows tasarımı gereği yetki yükseltme her zaman etkileşim gerektirir. Task Scheduler veya Windows servisler bu kuralın dışındadır çünkü sistem başlangıcında yüksek yetkiyle başlarlar.
Farklı kullanıcılar için farklı UAC seviyesi ayarlanabilir mi?
Hayır, UAC sistem geneli bir ayardır, kullanıcı bazlı değildir. Ancak standart kullanıcılar zaten şifre girmek zorundadır, sadece yöneticiler onay butonuyla geçer. Group Policy ile kurum geneli zorunlu seviye belirleyebilirsin.
0 Yorum
Yorum Yaz