Windows® 7, yazıcı sürücüsü yükleme veya kablosuz ağa bağlanma gibi genel görevleri gerçekleştirirken yönetici ayrıcılıklarına olan gereksinimi ortadan kaldırarak, standart kullanıcı ayrıcalıklarıyla son kullanıcı hesaplarını çalıştırmak üzere basit bir düzenek sağlar. Bu temel geçiş, zararlı yazılımın (kötü amaçlı yazılım olarak da adlandırılır) ve kök setinin şirket genelindeki dosyalara ve ayarlara zarar vermesini engelleyerek işletim sistemi düzeyinde güvenlik sağlar.

Kullanıcı Hesabı Denetimi (UAC), kullanıcının atanan görevleri gerçekleştirmek için mutlak en az ayrıcalığa sahip olması gerektiği kavramı olan en düşük öncelik güvenlik teorisine dayanır. UAC ile uyumlu UNIX tabanlı Uygulamalar İçin Alt Sistem'deki değişiklikler, En Düşük Öncelikli Kullanıcı Hesabı'nın (LUA) kullanımını içerir.

Kullanıcı Hesabı Denetimi

Kullanıcı Hesabı Denetimi, ilk olarak Windows Vista ile kullanıma sunulan ve Windows 7'de de bulunan bir güvenlik özelliğidir.

Kullanıcı Hesabı Denetimi'nin öncelikli hedefi, tüm kullanıcıların standart kullanıcı modunda çalışmasını gerektirerek ve yetkilendirilmiş işlemleri yönetici düzeyinde erişimle sınırlayarak, Windows 7 işletim sisteminin saldırı yüzeyini ve saldırılara maruz kalmasını azaltmaktır. Bu sınırlama kullanıcıların bilgisayarlarının dengesini bozabilecek değişiklikleri yapmasını veya istemeyerek bilgisayarlarını etkilemiş olan algılanmayan zararlı yazılım aracılığıyla ağın virüslere maruz kalmasını azaltır.

Windows 7 varsayılan olarak, geçerli kullanıcı Administrators grubunun bir üyesi olarak oturum açmış olsa bile her uygulamayı standart kullanıcı olarak çalıştırır. Diğer taraftan kullanıcı, yönetici izinleri gerektirir olarak işaretlenen bir uygulamayı başlatmayı denediğinde, Windows 7 kullanıcıların bunu yapmak istediklerini onaylamaları için uyarır. Yalnızca yönetici ayrıcılıklarıyla çalışan uygulamalar sistemi ve genel ayarları ile davranışlarını değiştirebilir.

Kullanıcı Hesabı Denetimi hakkında daha fazla bilgi için Microsoft Web sitesindeki "Windows Vista'da Kullanıcı Hesabı Denetimini Anlama ve Yapılandırma" (sayfa İngilizce olabilir) konusuna (https://go.microsoft.com/fwlink/?LinkId=70242) bakın.

UNIX tabanlı Uygulamalar İçin Alt Sistemde Kullanıcı Hesabı Denetimi ve en düşük öncelik

Administrators grubunun üyesi olan UNIX tabanlı Uygulamalar İçin Alt Sistem kullanıcısı bir uygulamayı, kabuğu veya başka bir görevi başlattığında, uygulamalar standart kullanıcının güvenlik bağlamında çalışır.

Aşağıdaki örneklerde Kullanıcı Hesabı Denetimi , Administrators grubunun üyesi olan kullanıcıların ayrıcalığı yükseltmeden yönetimsel görevleri gerçekleştirmesini nasıl önlediği gösterilmiştir.

Kullanıcı A Administrators grubunun bir üyesidir ve / (kök) dizininde test adlı yeni bir dizin oluşturmak istiyor. Kök dizinde yeni dizinler oluşturma izni yalnızca Administrators grubunun üyelerine verilir. Bununla birlikte Kullanıcı A Administrators grubunun bir üyesi olmasına rağmen LUA kısıtlamaları nedeniyle Kullanıcı A yeni bir dizin oluşturamaz. Kullanıcı A yükseltilmiş ayrıcalıklarla bir Korn kabuğu açar ve kökte test dizini oluşturmasına izin verilir.

Bir uygulamayı çalıştırmak veya yükseltilmiş ayrıcalıklarla görevleri gerçekleştirmek için aşağıdaki yordamlara bakın.

Yönetici olarak bir uygulamayı çalıştırma

UNIX tabanlı Uygulamalar İçin Alt Sistem ve yüklenen araç ve yardımcı programların yüklenen paketiyle, yönetici olarak bir uygulamayı çalıştırmanın iki yolu vardır.

Windows arabirimini kullanarak

UNIX tabanlı komut satırı kullanarak

Windows arabirimini kullanarak

Yönetici ayrıcalıkları gerektiren bir uygulamayı Windows kullanıcı arabiriminde çalıştırmak için aşağıdaki adımları uygulayın.

Windows arabiriminde yönetici olarak bir uygulamayı çalıştırmak için
  1. Uygulamanın yürütülebilir dosyasını sağ tıklatın.

  2. Kısayol menüsünde Yönetici olarak çalıştır'ı tıklatın.

UNIX tabanlı komut satırı kullanarak

Yönetici ayrıcalıkları gerektiren bir uygulamayı UNIX tabanlı Korn kabuğu ortamında çalıştırmak için aşağıdaki adımları uygulayın.

Korn kabuğunda yönetici olarak bir uygulamayı çalıştırmak için
  1. Başlat’ı, Tüm Programlar’ı, sonra da UNIX Tabanlı Uygulamalar için Alt Sistem’i tıklatın ve Korn kabuğu'nun üzerine gelin.

  2. Korn kabuğu'nu sağ tıklatın ve Yönetici olarak çalıştır'ı tıklatın.

  3. Kabuğun yönetici olarak çalışmasına izin vermeniz istendiğinde Evet'i tıklatın.

  4. Administrator ayrıcalıkları gerektiren programı çalıştırın.

  5. Yükseltilmiş ayrıcalık gerektiren uygulamayı çalıştırmayı sonlandırdığınızda kabuk oturumunu kapatın.

    Administrator ayrıcalıkları gerektiren diğer görevleri UNIX tabanlı kabuk ortamında gerçekleştirmek için Yönetici olarak çalıştır komutunu kullanmadan yeni bir kabuk oturumu açın.

EnableSuToRoot kayıt defteri anahtarı

Kullanıcı Hesabı Denetimi varsayılan olarak etkindir. Kullanıcı Hesabı Denetimi etkinleştirildiğinde, Administrators grubunun üyesi olan başka bir kullanıcıyı taklit eden herhangi bir uygulama veya görev (örneğin, su, cron veya login yardımcı programlarını, setuid, setuid veya exec_asuser değeri ailesini kullanarak) her zaman standart kullanıcı hesabının güvenlik bağlamında çalıştırılır.

Not

Bir uygulama standart kullanıcıyı taklit ettiğinde, standart kullanıcının eksiksiz güvenlik bağlamına sahip olur. Standart kullanıcı hakkında daha fazla bilgi için Microsoft Web sitesindeki "Developer Best Practices and Guidelines for Applications in a Least Privileged Environment" (Geliştiriciler İçin En Düşük Öncelikli Ortamda Uygulamaların En İyi Yöntemleri ve Yönergeleri) (https://go.microsoft.com/fwlink/?LinkId=70243) konusuna bakın.

Varsayılan ayarlarla bir uygulama kök kullanıcıyı taklit edemez. Bu davranışı, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA\EnableSuToRoot kayıt defteri anahtarını değiştirerek denetleyebilirsiniz.

EnableSuToRoot kayıt defteri anahtarını değiştirme

Önemli

Bilgisayarların ve verilerin yetkisiz veya kötü amaçlı kullanıcıların erişiminden korunmasına yardımcı olmak için, Administrator hesabı varsayılan olarak Windows 7 ve Windows Server 2008 R2 işletim sistemlerinde devre dışı bırakılır ve kullanıcıların kök kullanıcıyı veya Administrator kullanıcısını taklit etmeleri için etkinleştirilmesi gerekir. EnableSuToRoot kayıt defteri anahtarının ayarını değiştirmek için önce Administrator hesabının etkinleştirilmesi gerektiğinden, bu görevi tamamlayacak yordam hemen arkasından gelir. Aşağıdaki yordamı tamamlamak için yerel bilgisayarda Administrators grubunun bir üyesi olmanız gerekir.

Administrator hesabını etkinleştirmek için
  1. Başlat'ı tıklatın, Bilgisayar'ı sağ tıklatın ve ardından Yönet'i tıklatın.

  2. Bilgisayar Yönetimi ek bileşeninin hiyerarşi bölmesinde, Yerel Kullanıcılar ve Gruplar'ı açın.

  3. Kullanıcılar'ı seçin.

  4. Sonuçlar bölmesinde, Administrator'ı sağ tıklatın ve sonra Özellikler'i tıklatın.

  5. Hesap devre dışı seçeneğinin onay kutusunu temizleyin.

  6. Tamam'ı tıklatın.

  7. Özellikler penceresini kapatın ve sonra Bilgisayar Yönetimi ek bileşenini kapatın.

UNIX Tabanlı Uygulamalar için Alt Sistem'i yükledikten sonra EnableSuToRoot kayıt defteri anahtarını değiştirmek için aşağıdaki adımları gerçekleştirin.

EnableSuToRoot kayıt defteri anahtarı ayarını değiştirmek için
  1. Başlat'ı tıklatın, Aramayı Başlat metin kutusunun içini tıklatın, Kayıt Defteri Düzenleyicisi'ni açmak için regedit yazın.

  2. Hiyerarşi bölmesinde, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA anahtarını açın.

  3. Sonuçlar bölmesinde EnableSuToRoot öğesini çift tıklatın.

  4. Değer verisi kutusuna kök kullanıcının taklidini izin vermemek için 0, izin vermek için 1 yazın.

    Varsayılan değer 0'dır.

  5. Tamam'ı tıklatın.

  6. Kayıt Defteri Düzenleyicisi'ni kapatın; istenirse değişiklikleri kaydedin.

Bu anahtarın değeri 0 (varsayılan ayar) olarak ayarlandığında, kök kullanıcının taklidine izin verilmez. Değer 1 olarak ayarlandığında, kök kullanıcının taklidine izin verilir. Bir uygulama kök kullanıcıyı veya Administrator hesabını taklit ettiğinde, uygulama kök (Administrators) kullanıcının yönetimsel güvenlik bağlamına sahiptir.

Setuid ve Yönetici Ayrıcalığı

Administrators grubunun üyesi olan kullanıcılar uygulamaları setuid özniteliğiyle işaretlemeye çalışırsa, yalnızca uygulamaları çalıştırmalarına ve görevleri gerçekleştirmelerine yönetimsel güvenlik bağlamında izin verildiği sürece başarılı olabilirler.

Aşağıdaki örnekte, genellikle /bin/regpwd özniteliğiyle işaretlenen setuid ikili dosyasının nasıl işaretlendiği gösterilmektedir.

  1. Bu konuda açıklandığı gibi yükseltilmiş ayrıcalıkla Korn kabuğunu (ksh) açın.

  2. chmod +s /bin/regpwd yazın ve ENTER tuşuna basın.

  3. Ksh oturumunu kapatmak için exit yazın.

Ayrıca Bkz.