Windows Kullanıcı Hesapları.

Aslında hem güvenlik bölümüne hem de işletim sistemi bölümüne açılabilecek bir konu. Fakat windows işletim sistemine özgü yönleri konuşulabileceğinden burada açma ihtiyacı duydum...

Konu uzun ve kendi yazılarımı yazmayı severim, göstererek resimleyerek adım adım anlatmak gerekir. Velakin ihtiyaca binaen kısa bir kaç link bırakıp belki ilerde genişletme üzere konuyu kısa keseceğim.

Usulen … üç noktalarımı bile bir kenara bıraktım çünkü zamanım kısıtlı.

Öncelikle;

http://www.hakanuzuner.com/index.php/kullanici-hesaplari-user-accounts.html


Konun neden bahsettiğini anlamak, kullanıcı ve kullanıcı grup ayarlarını nerede olduğuna bakmak isteyenler için bir link bırakıyorum.

Yine bu kullanıcı grupları için de temel özet niteliğinde bir linki aşağıda paylaşıyorum.

http://www.cagataycebi.com/security/grup_ve_kullanici_guvenlik.swf

Bu özet bilgiler ışığında üzerinde konuşulacak sayfalarca konu var aslında ama dediğim gibi vaktim kısa foruma bir göz atıp çıkacaktım velakin kıramayacağım bir katılımcını ihtiyacını da göz önünde bulundurarak ufak bir mesaj karalamak istedim.

Bu konu ciddi ve önemli bir konu üzerinde konuşulmasında ve katkı sağlanmasında fayda var. Bilenlerin ekleyecekleri mesajlar çok faydalı olacaktır.

Kolay gelsin.

 

Öncelikle elinize emeğinize sağlık..

Kullanmış olduğum Windows 10 İşletim sistemine sahip şahsi bilgisayarıma, Windows 10’un sunmuş olduğu sıfırlama (tüm sürücüler) ile bilgisayarımı sıfırladım.. Yeni nesil format gibi bir şey.. Herşeyden önce “orta düzey” bilgisayar kullanıcı olduğum kanısındaydım.. Sıfırlama sonucu Windows ayarlar panelinde bazı izinlerin kısıtlandığını (bildirimler, kişiselleştirme vs.) gördüm.. Şaşırdım çünkü işletim sistemim lisanslı ve bilgisayarda yönetici olarak işlem yapıyorum.. Akabinde; bilgisayarım sağ tık, kullanıcılar bölümünde 4 farklı kullanıcı olduğunu gördüm.. Her biri farklı izinlere sahip kullanıcı gurupları. Acaba sistemde benim haricimde bir kullanıcı mı var?.. Sıfırlamalar sonrası sürekli kullanıcı mı açtım?.. Yoksa başka bir sorun mu var?..

Bugün mü tempom bu soruları çözme amacıyla başladı.. Değerli arkadaşlar... Başımdan geçeni hikayeleştirerek anlattım. İlginizi çeker mi?.. Ne kadar bilgisayar kullanımına hakimsiniz?.. Hiç sorguladınız mı?.. Bilgisayarınızda her gün düzenli olarak yaptığınız işlemler.. Arada karşılaştığınız sorunlara gerek kendi gerek internetten bulduğunuz çözümler... Size ne gibi bir avantaj sağlıyor?..

Yukarıda anlattıklarımı “gerçekten” bir düşünün.. Ben ne kadar bilgisayar kullanabiliyorum?. Tabi, rica ediyorum “gerçekçi” olun.. Cevabı bir yere yazmayacaksınız, birisi ile paylaşmayacaksınız.. Belki de diyorsunuz ki, amma abarttın ne var ki.. Ben sadece başımdan geçeni ve ardından bunun için araştırma yaparken gördüklerime, karşılaştıklarıma şaşırdım.. Sonucunda da bilgisayar kullanabilme yeteneğimi sorguladım.. Siz de bu konuya bu bakış açısı ile katılım sağlamak istemez misiniz?.. Her gün onlarca internet sitesi ve sosyal medya kullanıcı hesaplarını deface eden katılımcılar.. Sizler de bilgisayara mı, programlara mı hakimsiniz?... Kendinizi sorgulamak ve deneyimlerinizi paylaşmak istemez misiniz?..

Yerinde bir konu.. Sn.Semtex, bir kişiye değil bin kişiye ulaşalım metodu.. İlgi ve alakanıza teşekkür ediyorum..

Windows 10 kullanıcı guruplarına Yerel Disk C yolu ile ulaştım evet.. “Bilinmeyen kullanıcı” gurubunu oradan kaldırdım.. (ilk gördüğümde refleks olarak bu işlemi gerçekleştirdim) Sonrasında bir çok uyarı aldım fakat tinerde onayladım silindi.. Görünürde silindi sanıyorum, kayıt defterinde halen duruyor olmalı. Benim bir sorum; bu kullanıcı gurupları ne işe yarar? Tek kullanıcı oluşturup tüm yetkileri o kullanıcıya verdiğimizde sistem sorunsuz şekilde çalışmaz mı? Eğer sistem sorunsuz şekilde çalışırsa, diğer kullanıcılara ne gerek var? Eğer sorun olmazsa; birden fazla olması beni rahatsız ve tedirgin ediyor, bunu tek kullanıcıya nasıl indirebilirim? Tek kullanıcı mümkün değilse, diğer tüm kullanıcı guruplarına okuma, yazma vs. tüm yetkileri verdiğim halde neden bazı erişimlerim kısıtlı oluyor?..

Uzunca bir yanıt oldu, kusura bakmayın..

 

Windows işletim sisteminin tasarımı gereği, çok kullanıcılıdır. Ve kullanıcılara da yetki tahsisi yapar. Kısıtlar veya genişletilebilir.

Bu nedenle tek kullanıcıya indirmek mümkün değil.

Son durumda aslında administrator kullanıcısı bile tam yetkili değildir.

Bu kullanıcı yetkileri ile bağlansanız dahi bazan sizden bazı işlemler için ayrıca izin ister.

Bu bir güvenlik tasarımıdır.

Tabi ki istisnai yöntemlerle kullanıcı sayısı teke indirilebilir ama bunu yapmak stabil çalışmayı ve tasarımın mantığını bozar. Uzun süre güvenlik sorunları ile uğraşan Microsoft, yakın bir geçmişten bu yana bütün enerjisini işletim sistemi güvenliği için harcıyor, bu uğurda kendi yerleşik antivirüs programını dahi default yüklüyor.

Yani kısaca özetlersek doğrudan bir metotla tek kullanıcılı olmaz. Ama dolaylı metotlar ise gereksiz efor sarfı ile güvenlik zaafiyeti demektir.

 

Windows’un kullanıcılar üzerindeki tavrını ve amaçlarını anladım.. Soruma yanıt olarak belirli başlı nedenlerden dolayı tekli kullanıcı olamayacağını da öğrendim. Şöyle bir şey aklıma takıldı, sorularımın mantık derecesini ölçemiyorum bunun için kusura bakmayın.. Bilgisayarda sıradan işlemler yaptığımızda (her türlü faaliyet olabilir) hangi kullanıcı ve yetki sınırları içerisinde yaptığımızı kendimiz belirleyebiliyor muyuz? Yani.. Ben bilgisayarda bir takım işler yapacağım, bilgisayarda tanımlı 4 kullanıcı gurubu mevcut. Ben hangi kullanıcı gurubunun yetkilerini kullanıyorum?.. Sistem, işleme göre otomatik mi tanımlıyor? Yapamadığım bir işlem için kullanıcı ya da izinleri değiştirmem, yapamadığım işlemi yapabilme imkanı tanır mı?..

 

Kısaca evet...

Bunun adı group policy…

Kullanıcınızı hangi grup politikasına dahil ederseniz o yetki yada kısıtlamalara tabi tutulur...

http://www.bakicubuk.com/group-policy/

Grup ilkesi olarak da bilinir...

https://docs.microsoft.com/tr-tr/wi...y-to-configure-domain-member-client-computers


Bu da Microsoft referansı...

Güzel ve yerinde sorular olunca cevaplamak da eğlenceli oluyor...

Teşekkür ederim...

 

Makaleleri okudum, konuyu tam anlamıyla anlayamadım ne yazık ki.. Basit düzeyde anladım fakat ilk defa karşılaştığım bir konu içeriği olduğu için kavramam çok zor. Bu noktada yaşantısal örnekler daha kavrayıcı oluyor.. Banka sistemlerinde veyahut çoklu network ağlarında kullanılıyor olması, güvenlik amaçları vs. konuya bir nebze somutsal yaklaştırıyor..

Konuyu tam anlamıyla anlamak biraz zaman alacak gibime geliyor. Basit teoriler olmadığı kanısındayım yanılıyor muyum?.. Kafamda ki çağrışımlar ve genel hatlarıyla yetki, izin prensibi olan bir sistemden bahsetmek, sizin belirttiğiniz ve makalelerde de belirtilenler “güvenlik” kavramına yöneltiyor.

https://tr.l3xa.com/simple-questions-what-is-local-group-policy-editor-how-use-it

Attığım link biraz daha sade bir dil kullanılarak, daha basit düzeyde ve neler yapabiliriz sorusuna yanıt verilerek anlatıldığı için benim adıma daha anlaşılır oldu.. Önce bunu, sonra sizin attıklarınızı incelemek iyi geldi..

Tabi grup ilkelerini şahsi bilgisayarlarda kullanmak avantajlı olur mu bilemedim.. Tekil kullanıcıysak kısıtlamak istemeyiz, kısıtları kaldırmak daha cazip.. Tabi avantajlı olmaz demiyorum, çoklu ağlarla kıyaslıyorum.. Aklıma gelen ilk şeylerden biri.. Örneğin; bir banka çalışanıyım.. Kullandığım bilgisayar muhtemelen bu ilkelerle yönetiliyor.. Basit olsun.. Bilgisayarın arkaplanı bankanın logosu konulmuş.. Değiştiremiyorum, bu yetki kısıtlanmış.. Bu kısıtlamayı kendi çabalarımla kaldırmanın hiç bir yolu yok mu?..
Tabi arkaplan sadece bir örnek.. Yanıta göre çok daha ileri düzey belki de zaafiyetler ortaya çıkarılabilir.. Yanıtı merak ediyorum..

Konuyu sevdim, sorularım elbette olacak zahmet veriyorum.. Mantık çerçevesinde olup olmadığını da yanıt ile anlıyorum.. Asıl ben teşekkür ederim, ilginize..

 

oldukça önemli bir konu açılmış aslında. Windows 'un güvenlik amaçlı yaptığı bu "group policy" ye ek olarak 1 yöntem daha uyguluyorum ben.
Yetkili administrator hesabı yerine standart bir kullanıcı oluşturuyorum. Her işimi burada hallediyorum.
Bilindiği üzere standart hesaplar program bile yükleyemez (UAC aktifse). Yönetici izni istenir. İhtiyacım olduğunda admin parolasını girerek izin alıyorum.
Hesap standart olduğu için bilgisayara bulaşmış bir malware, yetki yükseltemediği sürece pek etkili olamayacaktır. Ki güncel bir windows kullanılıyorsa 0-day haricinde yetki yükseltmek biraz zor.

Konu güzel. İçeriği Mcsa sertifikasını kapsayacak kadar geniş. Konunun devamı için yorum yapmak gerekirse; iaklıma domain controller, WINS server geliyor. NetBIOS da başlı başına bir güvenlik zafiyeti aslında. Group policy dışında dikkat edilmesi gereken noktalardan birisi de bu.

 

Uyguladığınız yöntem gayet mantıklıymış.. Şu dikkatimi çekti ““group policy” ye ek olarak” demişsiniz.. Bunu iki ayrıcı kullanıcı (standart ve admin) hesabı açmaya gerek kalmaksızın, tek kullanıcı üzerinden “group policy” ile de yapmak mümkün değil olabilir mi?.. Yani evet parola isteyecek izinler için yine parolamızı gireceğiz, ancak Windows’a tek kullanıcıdan giriş yaparak.. Bu mümkün mü?..

Alıntıladığım yanıtınızı ise bir önceki mesajıma cevap olarak algılayabilir miyim?..