UAC Güvenlik Açığını Kapatma: msconfig.exe ve Ayrıcalık Yükseltme Riski

Nis 3, 2025
Active Directory / Bilgi Güvenligi / Cyber Security
UAC Settings

Hızlı Test: Windows’unuz Güvenli mi?

Windows güvenliğinizi test etmenin basit bir yolu var: Windows + R tuşlarına basın, msconfig.exe yazın ve ENTER tuşuna basın.

Sistem Yapılandırma aracı doğrudan bir güvenlik istemi olmadan açıldı mı? Eğer öyleyse, UAC (Kullanıcı Hesabı Denetimi) yapılandırmanız tehlikeli bir şekilde zayıf demektir.

 

Neden Bu Önemli?

Bu basit test, Windows sistemlerinizde yaygın bir güvenlik yanlış yapılandırmasını ortaya çıkarır. Birçok organizasyon hala Windows’un varsayılan UAC ayarlarını kullanıyor, bu da saldırganların UAC atlama teknikleri ile yararlanmaya bayıldığı bir güvenlik açığı oluşturuyor.

Bu açık, yerel bir saldırganın ayrıcalıklarını yükseltmesine ve sisteminizde daha fazla kontrol ele geçirmesine olanak tanır – genellikle kötü amaçlı yazılım enfeksiyonlarında kritik bir adımdır.

Sorun: Varsayılan UAC Ayarları

Windows’un varsayılan UAC davranışı, “Windows olmayan ikili dosyalar için onay iste” olarak ayarlanmıştır. Bu ayar şu soruna yol açar:

  • Windows yerleşik araçları (msconfig.exe gibi) bir güvenlik istemi göstermeden çalışabilir.
  • Saldırganlar, sistemdeki bu güvenilen Windows aracını kullanarak ayrıcalıklarını gizlice yükseltebilirler.

Çözüm: UAC’yi Sağlamlaştırma

Bu güvenlik açığını kapatmak için, yerel grup ilkesi veya domaininizdeki Grup İlkesi Nesneleri (GPO) aracılığıyla UAC’yi sağlamlaştırmanız gerekmektedir.

Adım 1: GPO Oluşturma veya Düzenleme

  1. Grup İlkesi Yönetim Konsolunu (gpmc.msc) açın veya yerel bir bilgisayarda Yerel Grup İlkesi Düzenleyiciyi (gpedit.msc) açın.
  2. Şu ilkeye gidin: 
    Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri
  3. Şu ilkeyi bulun: 
    Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'ndaki yöneticiler için yükseltme isteminin davranışı

Adım 2: İlkeyi Güvenli Ayara Değiştirme

  1. İlkeyi düzenleyin ve şu ayarı seçin: 
    Güvenli masaüstünde onay istemi

    veya daha yüksek güvenlik için:

    Güvenli masaüstünde kimlik bilgileri istemi
  2. Değişiklikleri uygulayın ve ilke düzenleyiciyi kapatın.
  3. Grup ilkesi güncelleştirmelerini zorlamak için, etkilenen bilgisayarlarda şu komutu çalıştırın: 
    gpupdate /force

Adım 3: Doğrulama

Değişikliğinizin başarılı olduğunu doğrulamak için:

  1. Windows + R tuşlarına basın
  2. msconfig.exe yazın ve ENTER tuşuna basın
  3. Bu kez, Sistem Yapılandırma aracını başlatmadan önce mavi bir UAC güvenlik istemi görmelisiniz

Etkisi: Küçük Değişiklik, Büyük Fayda

Bu basit değişiklik, yerel ayrıcalık yükseltme saldırılarına karşı savunmanızı önemli ölçüde iyileştirir. Saldırganların UAC mekanizmasını atlaması çok daha zor hale gelir ve potansiyel kötü amaçlı yazılım aktiviteleri kullanıcı tarafından fark edilebilir olur.

UAC’yi sağlamlaştırmak, Windows güvenliğinizi güçlendirmenin en hızlı ve en etkili yollarından biridir. Bu ayar değişikliği:

  • Kötü amaçlı yazılımların gizlice yüksek ayrıcalıklı eylemleri gerçekleştirmesini engeller
  • Kullanıcıları, sistemlerinde yürütülen ayrıcalıklı işlemler hakkında bilgilendirir
  • CIS ve NIST gibi güvenlik standartlarına uyumluluğunuzu artırır

Diğer UAC Sağlamlaştırma Adımları

UAC güvenliğinizi daha da artırmak için göz önünde bulundurmanız gereken ek ayarlar:

  1. UAC’yi her zaman bildir: 
    Kullanıcı Hesabı Denetimi: Kullanıcı bilgisayarlarında değişiklik yaptığında bildir

    Bunu “Her zaman bildir” olarak ayarlayın.

  2. Yerel Yönetici parolasıyla UAC: 
    Kullanıcı Hesabı Denetimi: Yerleşik Yönetici hesabı için Yönetici Onay Moduna geçiş

    Bunu “Etkin” olarak ayarlayın.

  3. UAC yükseltmelerini filtrele: 
    Kullanıcı Hesabı Denetimi: UIAccess uygulamalarının istem olmadan güvenli masaüstüne yükseltmesine izin ver

    Bunu “Devre Dışı” olarak ayarlayın.

Bu UAC sağlamlaştırma adımları, sistemlerinizin güvenliğini önemli ölçüde artıracak ve potansiyel ayrıcalık yükseltme vektörlerini azaltacaktır.

Sonuç

UAC ayarları, Windows güvenlik mimarisinin kritik bir bileşenidir, ancak varsayılan yapılandırmalar genellikle güvenlikten çok kullanım kolaylığı için optimize edilmiştir. Bu basit GPO değişikliği ile, güvenliğinizi önemli ölçüde artırabilir ve yaygın bir ayrıcalık yükseltme vektörünü ortadan kaldırabilirsiniz.

Windows güvenliğini sağlamlaştırmaya yönelik bu kolay adım, siber saldırıların zincirleme reaksiyonunu kırmada da etkilidir. Küçük bir değişiklik, büyük bir fark yaratır.

Not: Bu blog yazısı yalnızca bilgilendirme amaçlıdır. Her organizasyon, kendi iş ihtiyaçlarına ve risk toleransına uygun güvenlik ayarlarını belirlemelidir.