hadicanim
Aktif Üye
Microsoft, Windows güvenliğini geliştirmek için yeni bir girişim başlatıyor. “Yönetici Koruması”, mümkün olan en düşük haklarla çalışmayı ve böylece bilgisayarı zararlı yönetici eylemleri nedeniyle istenmeyen sonuçlardan korumayı amaçlayan bu mekanizmanın adıdır. Bu tanıdık geliyorsa: Windows Vista'daki kullanıcı hesabı denetiminin (UAC) başlangıçta bunu yapması gerekiyordu, ancak Microsoft daha sonra bunu resmi olarak bir güvenlik işlevi olarak sınıflandırmadı ve onu zayıflatarak yönetici haklarının otomatik olarak (bazen kötü amaçlı yazılımlara) atanmasını bile sağladı.
Reklamcılık
Yazılım kurulumu gibi bir yönetimsel görevden önce, “Yönetici Koruması” adı verilen bir Windows Hello istemi vardır.
(Resim: Microsoft)
Yeni işlev benzer olsa da temel alanlarda önemli ölçüde farklılık gösteriyor. Kullanıcı Hesabı Denetimi ile Windows, bazı yönetici eylemlerinden önce onay ister; bu da bir iletişim kutusu ve serbest bırakma ve iptal düğmesi bulunan yalıtılmış bir masaüstüne yol açar; yani, eylemin “korumalı” yetkilendirilmesini ister. “Yönetici Koruması” daha ağır silahları ortaya çıkarıyor: Windows Hello kullanarak kimlik doğrulamanın amacı, yönetici görevini yalnızca yetkili kişilerin aktif olarak onaylamasını sağlamaktır. Bu, işlemin yetkilendirilmesinin takip ettiği bir kimlik doğrulamadır.
Daha sıkı kontroller korumanın yalnızca bir parçasıdır
Microsoft'a göre sıkılaştırılmış kontroller, yönetici hakları gerektiren tüm eylemlere yöneliktir: yazılım yükleme, saat veya kayıt defterindeki değişiklikler gibi sistem ayarlarının değiştirilmesi ve hassas verilere erişim. Microsoft, Techcommunity blog yazısında yönetici korumasının, kullanıcıların sistem düzeyinde hatalı değişiklik yapma riskini azaltmayı amaçladığını yazıyor. Daha da önemlisi şirket, bunun kötü amaçlı yazılımların gizlice ve fark edilmeden sistemde değişiklik yapmasını engellemeye yardımcı olduğunu ekliyor.
Yönetici Koruması, en az ayrıcalık ilkesini uygulamaya yöneliktir. Kullanıcılar, Windows'ta oturum açtıktan sonra düşük ayrıcalıklı bir kullanıcı belirteci alırlar. Yönetici hakları gerekiyorsa, Windows işlem için yetkilendirme gerektirir. Ancak artık kullanıcı hesabı kontrolünde önemli bir fark var (yalnızca yetkilendirme yerine kimlik doğrulamaya ek olarak): Windows, yalıtılmış bir yönetici belirteci oluşturmak için gizli, sistem tarafından oluşturulan, profille ayrılmış bir kullanıcı hesabı oluşturur. Windows bunu istekte bulunan işleme atar. İşlem sona erdiğinde Windows belirteci yok eder. Öte yandan Kullanıcı Hesabı Denetimi (UAC), yönetici jetonunu oturum açmış olan hesaba ekledi.
Microsoft, Windows'un yönetici hakları gerektiren işlem için nasıl yalıtılmış bir yönetici belirteci oluşturduğunu açıkça göstermektedir.
(Resim: Microsoft)
Yönetici koruması, yönetici haklarının kalıcı kalmamasını sağlar. Kullanıcılar yönetici hakları gerektiren diğer görevleri tamamlarsa tüm süreç tekrarlanır.
Microsoft, mimariyi şu şekilde özetliyor: Tam zamanında hak artışı, kullanıcıların ayrıcalıksız kalmasını ve yönetici haklarının yalnızca yönetimsel bir görev süresince verilmesini sağlar. Profil ayırma, kullanıcı düzeyindeki kötü amaçlı yazılımların yükseltilmiş oturumdan ödün vermemesini sağlar. Microsoft'un kendi resmi ifadesiyle hakların artması bir güvenlik kısıtlamasına dönüşüyor. Ayrıca haklarda otomatik artış söz konusu değildir; her yönetici eylemi etkileşimli olarak onaylanmalıdır. Bu, yöneticilerin tam kontrolü elinde tuttuğu ve yönetici haklarının kötüye kullanılmaması gerektiği anlamına gelir. Windows Hello ile entegrasyon güvenliği daha da artırır.
Microsoft, Yönetici Korumasının bir güvenlik özelliği olduğunu vurguluyor: “Yönetici Koruması, bildirilen tüm güvenlik açıklarını ele aldığımız yeni bir güvenlik bariyeri sunuyor. Daha kapsamlı bir savunma özelliği olan Kullanıcı Hesabı Denetimi (UAC) ile karıştırılmamalıdır ” , blog gönderisine Redmond merkezli şirketi yazın.
Yönetici Korumasını Deneyin
Kuruluşlarda geniş ölçekli kullanım için yönetici koruması yerel cihaz ayarlarında ve Intune gibi Windows yönetim araçlarıyla kolayca etkinleştirilmelidir.
“Ayarlar”da yeni seçeneği “Gizlilik ve Güvenlik”, Windows Güvenliği, Hesap Koruması altında bulabilirsiniz. “Yönetici Koruması” anahtarı buradan açılıp kapatılabilir. Değişikliğin aktif hale gelmesi için sistemin yeniden başlatılması gerekir. Grup İlkesi'nde, “Kullanıcı Hesabı Denetimi: Yönetici korumasıyla çalışan yöneticiler için yükseltme isteminin davranışı” ilkesi yapılandırmayla ilgilenir; Microsoft, varsayılan olarak bunu “Kimlik bilgilerini sor” olarak ayarlamak ister. Microsoft, Intune gibi MDM yazılımları için yakın zamanda yapılandırma seçeneğiyle birlikte bir yönetim şablonu sunmayı planlıyor. Redmond şirketi, değiştirilen bir ayarın etkinleştirilmesi için makinelerin de yeniden başlatılması gerektiğine dikkat çekiyor.
Bu özellik şu anda Windows Insider'lar için kullanılabilir. Dolayısıyla şu anda Windows önizleme sürümleriyle sınırlıdır. Microsoft'un geçmişte kullanıcı hesabı kontrolü gibi gelecekte bu işlevi tekrar yumuşatıp yumuşatmayacağı şüpheli. Bilgisayardaki “normal çalışma” sırasındaki birçok talep diyaloğu nedeniyle Microsoft, hakların arttığını gösteren otomatizmler bile oluşturdu – ancak bu artık bir güvenlik işlevi olamaz. 15 yılı aşkın bir süre sonra, ilk denemelerden sonra yazılımın daha temiz programlanması ve bu şekilde korunan sistemlerin büyük kısıtlamalar olmaksızın kullanılabilmesi mümkündür.
(dmk)
Reklamcılık
Yazılım kurulumu gibi bir yönetimsel görevden önce, “Yönetici Koruması” adı verilen bir Windows Hello istemi vardır.
(Resim: Microsoft)
Yeni işlev benzer olsa da temel alanlarda önemli ölçüde farklılık gösteriyor. Kullanıcı Hesabı Denetimi ile Windows, bazı yönetici eylemlerinden önce onay ister; bu da bir iletişim kutusu ve serbest bırakma ve iptal düğmesi bulunan yalıtılmış bir masaüstüne yol açar; yani, eylemin “korumalı” yetkilendirilmesini ister. “Yönetici Koruması” daha ağır silahları ortaya çıkarıyor: Windows Hello kullanarak kimlik doğrulamanın amacı, yönetici görevini yalnızca yetkili kişilerin aktif olarak onaylamasını sağlamaktır. Bu, işlemin yetkilendirilmesinin takip ettiği bir kimlik doğrulamadır.
Daha sıkı kontroller korumanın yalnızca bir parçasıdır
Microsoft'a göre sıkılaştırılmış kontroller, yönetici hakları gerektiren tüm eylemlere yöneliktir: yazılım yükleme, saat veya kayıt defterindeki değişiklikler gibi sistem ayarlarının değiştirilmesi ve hassas verilere erişim. Microsoft, Techcommunity blog yazısında yönetici korumasının, kullanıcıların sistem düzeyinde hatalı değişiklik yapma riskini azaltmayı amaçladığını yazıyor. Daha da önemlisi şirket, bunun kötü amaçlı yazılımların gizlice ve fark edilmeden sistemde değişiklik yapmasını engellemeye yardımcı olduğunu ekliyor.
Yönetici Koruması, en az ayrıcalık ilkesini uygulamaya yöneliktir. Kullanıcılar, Windows'ta oturum açtıktan sonra düşük ayrıcalıklı bir kullanıcı belirteci alırlar. Yönetici hakları gerekiyorsa, Windows işlem için yetkilendirme gerektirir. Ancak artık kullanıcı hesabı kontrolünde önemli bir fark var (yalnızca yetkilendirme yerine kimlik doğrulamaya ek olarak): Windows, yalıtılmış bir yönetici belirteci oluşturmak için gizli, sistem tarafından oluşturulan, profille ayrılmış bir kullanıcı hesabı oluşturur. Windows bunu istekte bulunan işleme atar. İşlem sona erdiğinde Windows belirteci yok eder. Öte yandan Kullanıcı Hesabı Denetimi (UAC), yönetici jetonunu oturum açmış olan hesaba ekledi.
Microsoft, Windows'un yönetici hakları gerektiren işlem için nasıl yalıtılmış bir yönetici belirteci oluşturduğunu açıkça göstermektedir.
(Resim: Microsoft)
Yönetici koruması, yönetici haklarının kalıcı kalmamasını sağlar. Kullanıcılar yönetici hakları gerektiren diğer görevleri tamamlarsa tüm süreç tekrarlanır.
Microsoft, mimariyi şu şekilde özetliyor: Tam zamanında hak artışı, kullanıcıların ayrıcalıksız kalmasını ve yönetici haklarının yalnızca yönetimsel bir görev süresince verilmesini sağlar. Profil ayırma, kullanıcı düzeyindeki kötü amaçlı yazılımların yükseltilmiş oturumdan ödün vermemesini sağlar. Microsoft'un kendi resmi ifadesiyle hakların artması bir güvenlik kısıtlamasına dönüşüyor. Ayrıca haklarda otomatik artış söz konusu değildir; her yönetici eylemi etkileşimli olarak onaylanmalıdır. Bu, yöneticilerin tam kontrolü elinde tuttuğu ve yönetici haklarının kötüye kullanılmaması gerektiği anlamına gelir. Windows Hello ile entegrasyon güvenliği daha da artırır.
Microsoft, Yönetici Korumasının bir güvenlik özelliği olduğunu vurguluyor: “Yönetici Koruması, bildirilen tüm güvenlik açıklarını ele aldığımız yeni bir güvenlik bariyeri sunuyor. Daha kapsamlı bir savunma özelliği olan Kullanıcı Hesabı Denetimi (UAC) ile karıştırılmamalıdır ” , blog gönderisine Redmond merkezli şirketi yazın.
Yönetici Korumasını Deneyin
Kuruluşlarda geniş ölçekli kullanım için yönetici koruması yerel cihaz ayarlarında ve Intune gibi Windows yönetim araçlarıyla kolayca etkinleştirilmelidir.
“Ayarlar”da yeni seçeneği “Gizlilik ve Güvenlik”, Windows Güvenliği, Hesap Koruması altında bulabilirsiniz. “Yönetici Koruması” anahtarı buradan açılıp kapatılabilir. Değişikliğin aktif hale gelmesi için sistemin yeniden başlatılması gerekir. Grup İlkesi'nde, “Kullanıcı Hesabı Denetimi: Yönetici korumasıyla çalışan yöneticiler için yükseltme isteminin davranışı” ilkesi yapılandırmayla ilgilenir; Microsoft, varsayılan olarak bunu “Kimlik bilgilerini sor” olarak ayarlamak ister. Microsoft, Intune gibi MDM yazılımları için yakın zamanda yapılandırma seçeneğiyle birlikte bir yönetim şablonu sunmayı planlıyor. Redmond şirketi, değiştirilen bir ayarın etkinleştirilmesi için makinelerin de yeniden başlatılması gerektiğine dikkat çekiyor.
Bu özellik şu anda Windows Insider'lar için kullanılabilir. Dolayısıyla şu anda Windows önizleme sürümleriyle sınırlıdır. Microsoft'un geçmişte kullanıcı hesabı kontrolü gibi gelecekte bu işlevi tekrar yumuşatıp yumuşatmayacağı şüpheli. Bilgisayardaki “normal çalışma” sırasındaki birçok talep diyaloğu nedeniyle Microsoft, hakların arttığını gösteren otomatizmler bile oluşturdu – ancak bu artık bir güvenlik işlevi olamaz. 15 yılı aşkın bir süre sonra, ilk denemelerden sonra yazılımın daha temiz programlanması ve bu şekilde korunan sistemlerin büyük kısıtlamalar olmaksızın kullanılabilmesi mümkündür.
(dmk)