Bu makalede User Account Control ne olduğunu bazı durumlarda neden kapatmamız gerekmektedir.
User Account Control, Windows’ta yönetici yetkilerine sahip işlemleri sınırlayarak yetkisiz değişiklikleri ve kötü amaçlı yazılım riskini azaltmayı hedefleyen bir güvenlik katmanıdır.
Bir işlem sistem dosyalarına, kayıt defterine veya hizmet yapılandırmasına erişmek istediğinde ek onay penceresi çıkarır.
UAC’yi tamamen kapatmak, sistem güvenliğini zayıflatır ve kötü amaçlı kodların yönetici yetkisiyle çalışmasını kolaylaştırır. Microsoft da üretim ortamlarında UAC’nin kapatılmamasını açıkça önerir.
Ancak bazı durumlarda geçici olarak kapatmak düşünülebilir:
Örneğin:
• SQL Server, SCOM, SCCM veya benzeri Microsoft sunucu ürünlerinin kurulumunda, multi-subnet failover cluster yapılandırması sırasında bazı yönetim konsollarının veya PowerShell komutlarının “elevated privileges” (yükseltilmiş yetki) gerektirdiği durumlarda.
Bu tür işlemlerde:
• UAC’yi kalıcı olarak kapatmak yerine, ilgili kurulumları “Run as Administrator” ile çalıştırmak en güvenli yöntemdir.
• Eğer kurulum sırasında UAC yüzünden hatalar alınıyorsa, yalnızca kurulum süresince geçici olarak devre dışı bırakmak, ardından yeniden etkinleştirmek en iyi yaklaşımdır.
User Account Control (UAC) kapatma işlemi Windows Server’da Group Policy (GPO), Registry veya Control Panel üzerinden yapılabilir. İlgili özelliği kapatmak için Windows>Run kısmında gpedit.msc yazılır.
Gelen ekranda Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options ilgili uzantıya gidilir. Aşağıda belirtilen ayarların Disable yapılması gerekmektedir.
-User Account Control: Run all administrators in Admin Approval Mode → Disabled
-User Account Control: Behavior of the elevation prompt for administrators → Elevate without prompting
Bu kavramların ne olduğuna değinmek gerekirse:
1. User Account Control: Run all administrators in Admin Approval Mode
Bu ayar, Windows’ta yerel Administrators grubundaki kullanıcıların yönetici ayrıcalıklarını nasıl kullanacağını belirler. Yönetici grubundaki kullanıcılar bile standart kullanıcı haklarıyla oturum açar. Bir işlem sistem düzeyinde değişiklik yapmak isterse (örneğin program yükleme, servis başlatma, kayıt defteri düzenleme vb.), “Yönetici izni” (elevation prompt) gerekir. Bu, modern güvenlik modelidir (Windows Vista’dan beri). Varsayılan Enabled yapısındadır. Disabled yapılırsa Yönetici grubundaki kullanıcılar doğrudan tam yönetici yetkileriyle oturum açar. Hiçbir onay penceresi çıkmaz, her işlem otomatik olarak yönetici haklarıyla yürür. Gerçek ortamlarda Enabled olarak bırakılmalıdır.
Yalnızca test/lab ortamlarında veya otomasyonla kurulum yapılan senaryolarda (örneğin unattended SQL kurulumları) geçici olarak devre dışı bırakılabilir.
2. User Account Control: Behavior of the elevation prompt for administrators
Bu ayar, yönetici yetkisi isteyen bir işlem çalıştırıldığında kullanıcıdan nasıl onay alınacağını belirler.
Seçenekler:
1. Prompt for consent → “Bu işlemi yönetici olarak çalıştırmak istiyor musunuz?” penceresi çıkar (varsayılan).
2. Prompt for credentials → Yönetici kullanıcı adı/şifresi istenir.
3. Elevate without prompting → Hiç sormadan işlemi yönetici yetkisiyle çalıştırır. Bu da güvenlik duvarını tamamen açmak gibidir — kötü amaçlı yazılım bulaşırsa sistem tamamen ele geçirilebilir.
Üretim ortamında “Prompt for consent” (veya “Prompt for credentials”) kullanılmalıdır.“ Elevate without prompting” yalnızca kontrollü test ortamlarında veya otomatik kurulum senaryolarında tercih edilebilir.
Prompt for consent modunun seçilmesi herhangi bir programa yönetici olarak bağlantı sağlanacağı zaman aşağıdaki ekran karşımıza gelmektedir.
Prompt for credentials ilgili modu seçilirse yönetici adı ve şifresi istemektedir.
Yukarıda belirtilen bölümlerin aşağıda gösterilmiştir.
Yapılan değişiklikleri uygulamak için powershell üzerinden gpupdate /force komutu yazılır. Değişikliklerin tamamen etkili olması için sunucu yeniden başlatılır. Neden UAC kapatılır:
- 1-Bazı uygulamalar, servisler veya komut dosyaları (scripts) UAC nedeniyle otomatik çalışamaz.
- 2-PowerShell ve Komut Dosyalarının Çalışmasını Kolaylaştırmak.
- 3-Uzaktan Yönetim ve Otomasyon Araçları ile Çakışma vb.. gibi nedenlerden dolayı kapatılır.
Sorabilirsiniz UAC yapısını kapattıktan sonra yönetici olarak uygulamaları çalıştıramayacağız. Evet doğru bu sorunun önüne geçmek için sunucu üzerinde kısa yollardan program çalıştırmayıp. İlgili programın kurulu olan uzantıdan exe yapısını yönetici olarak çalıştırabilirsiniz.
Not: Windows Server 2022 işletim sisteminde bu yapılar disable modunda gelmektedir. Yukarıdaki belirlenen sorunları yaşamamak için bu özelliğin açılması gerekmektedir.
Sunucularımızın üzerinde Anti-Virus yazılımının kurulmaması ve kurulu olan Anti-Virüs programların devre dışı bırakılması gerekmektedir.
Not: Gerçek sistem üzerinde User Account Control (UAC) genellikle kapatılmaz.
Başka bir makalede görüşmek dileğiyle..
“Allah, rüzgarları gönderendir. Onlar da bulutları hareket ettirir. Biz de bulutları ölü bir toprağa sürer ve onunla ölümünden sonra yer yüzünü diriltiriz. İşte ölümden sonra diriliş de böyledir. “Fâtır-9
