Windows 11 25H2 için yayınlanan KB5067036 güncellemesiyle birlikte gelen en önemli güvenlik geliştirmelerinden biri, Yönetici Koruması oldu. Bu özellik, klasik yönetici yükseltme yöntemini terk ederek Sistem Tarafından Yönetilen Yönetici Hesabı odaklı daha güvenli ve izole bir modele geçiş sağlıyor.
Windows 11’de Yöneticilerinizi Güvende Tutun!
Yönetici Hakları Dengeleme Yasası
Yönetici hesaplarına çok fazla yetki verirseniz, ayrıcalıkların kötüye kullanılması riskiyle karşı karşıya kalabilirsiniz. Çok az yetki verirseniz de kullanıcılar özgürce çalışamayabilr. Yönetici Koruması, bu hesaplara yalnızca gerektiğinde erişim izni sağlayarak bu durumu değiştirir.
Her zaman yüksek haklara sahip kalıcı yönetici hesapları yerine, Windows artık yalnızca yükseltme sırasında etkinleşen Sistem Tarafından Yönetilen Yönetici Hesabı kullanıyor. Görev tamamlandığında, tekrar uyku moduna geçiyor.
Bu Yönetici Koruması Neden Oyunun Kurallarını Değiştiriyor?
Geleneksel olarak bir kullanıcıya ister yerel bir hesap ister bir Microsoft hesabı olsun, bir Windows cihazında yönetici hakları verildiğinde, bu ayrıcalıklar her zaman etkin olur ve bu da cihazı saldırganlar için cazip bir hedef hâline getirir. Hesap ele geçirilirse saldırganlar bu hakları anında kullanarak kötü amaçlı yazılım yükleyebilir veya sistem üzerinde daha fazla kontrol elde etmek için kullanabilirler.
Eski UAC
İşte tam da bu noktada, eski dostumuz Kullanıcı Hesabı Denetimi (UAC) devreye girerek bir miktar koruma sağlamaya çalışır. Yönetici ayrıcalıklarına sahip bir kullanıcı oturum açtığında, UAC oturum için bir “bölünmüş belirteç” oluşturur. Bu belirteç, kullanıcının kimliğini iki ayrı parçaya böler: Standart bir kullanıcı belirteci ve bir yönetici belirteci.
Varsayılan olarak kullanıcı standart belirteç (token) altında çalışır; bunu “Clark Kent” modunda olduğunu düşünün. Yönetici hakları ikinci belirteçte mevcut olsa da yönetici hakları gerektiren bir işlem gerçekleştirilene kadar etkin değil.
Yönetici ayrıcalıklarını etkinleştirmek (“Superman” moduna geçmek) için kullanıcının bir programı yönetici olarak çalıştırmak gibi daha yüksek izinler gerektiren bir işlem yapması gerekir. Bu, kullanıcıdan tüm yönetici haklarını kullanmak isteyip istemediğini onaylamasını isteyen bir UAC istemini tetikler. Kullanıcı “evet” diyene kadar, bu yönetici yetkileri kapalı kalır ve bir saldırganın yalnızca standart belirtece erişmesi durumunda risk en aza indirilir.
Yönetici Korumasında Farklılıklar Neler?
Ancak UAC’nin bölünmüş belirteç sistemiyle bile, saldırganlar yine de onu atlatmanın veya UAC istemini manipüle etmenin yollarını bulabilirler. İşte Yönetici Koruması tam da bu noktada oyunu değiştirir. Etkinleştirildiğinde; Yönetici Koruması, yükseltilmiş eylemler için normal yönetici hesabını kullanmak yerine kullanıcıyla bağlantılı ayrı, gizli bir sistem tarafından yönetilen yönetici hesabı oluşturur ancak burada önemli bir fark var: Bu gizli hesap yalnızca yükseltilmiş haklara ihtiyaç duyulduğunda etkinleşir.
Bu, güvenli bir istek yapılana kadar ayrıcalıklarının etkin olmadığı anlamına gelir. Görev tamamlandığında, ayrıcalıklar tekrar kilitlenir ve kötü niyetli kişilerin bu geçici yönetici haklarından yararlanması neredeyse imkansız hâle gelir. Yönetici Koruması, yönetici yetkilerini ayrı bir profil altında toplayarak ek bir güvenlik katmanı oluşturur. Bu sayede bir saldırgan hesaba erişim sağlasa bile yönetici ayrıcalıklarının kötüye kullanılması engellenir.
Bu Nasıl Etkinleştirilir?
Grup İlkesi ile Kurulum
- Grup İlkesi Düzenleyici’yi açın.
- Bilgisayar Yapılandırması -> Windows Ayarları -> Güvenlik Ayarları -> Yerel İlkeler -> Güvenlik Seçenekleri’ne gidin.
- Kullanıcı Hesabı Denetimi: Yönetici Onay Modu Türünü Yapılandır seçeneğini bulun ve Yönetici koruması ile Yönetici Onay Modu olarak ayarlayın.
Intune ile Dağıtım
- Bir Aygıt Yapılandırma Profili Oluşturun.
- Platform olarak Windows 10 ve üstünü seçin.
- Ayarlar Kataloğu’nda şunu arayın:
Kullanıcı Hesabı Denetimi Yönetici Onay Modu Türü : “Yönetici Korumalı Yönetici Onay Modu”.
Yükseltme İsteminin Kullanıcı Hesabı Denetim Davranışı : “Güvenli masaüstünde onay iste”.
Hesap Koruma Ayarları Aracılığıyla Yönetici Korumasını Etkinleştirme
En son Windows KB5067036 2025-10 ön izleme güncelleştirmesinin kullanıma sunulmasıyla birlikte artık Hesap Koruması ayarlarından Yerel Yönetici korumasını etkinleştirme seçeneğine sahibiz.
Yukarıda gösterildiği gibi Windows Güvenlik Ayarları’ndaki yönetici koruma özelliğine tıklamamız yeterli.
Ancak Microsoft, KB5067036 sürüm notlarında Yönetici Koruması’nı yeni bir özellik olarak tanıtsa da bu özelliğin şu anda düzgün şekilde çalışmadığı görülüyor.
Bunu 25H2 sürümünde etkinleştirmenin tek yolu, vivetool/stagingtool’u kullarak 59275076 (Shadowadmin) ve 57048231 (ValAcctest) özelliklerini etkinleştirmek.
Yönetici Koruması Uygulamada Nasıl Görünür?
Yönetici Koruması açık olduğunda (GPO/Intune veya Yönetici Koruması) ve yerel yönetici olarak bir şey çalıştırmayı denediğinizde bir değişiklik fark edeceksiniz; normalde gördüğünüz Kullanıcı Hesabı Denetimi (UAC) ekranı yerine, Windows Güvenliği istemiyle karşılaşacaksınız.
Bu görsel değişiklikle Yönetici Koruması’nın ne zaman etkin olduğunu ve yükseltme isteklerinizi ne zaman işlediğini bir bakışta görmek kolaylaşıyor; böylece güvenlik hem yöneticiler hem de kullanıcılar için çok daha şeffaf hâle getiriliyor.
Bu yeni komut istemi, Windows’un yükseltme isteklerini işlemek için Sistem Tarafından Yönetilen Yönetici Hesabı’nı kullandığını ve böylece ek bir güvenlik katmanı sağladığını gösteriyor. İlgili komut istemi, yalnızca yönetici görevleri için korumayı güçlendirmekle kalmıyor, aynı zamanda izole yönetici haklarının ne zaman kullanıldığını da açıkça gösteriyor ve bu özelliği standart UAC komut istemlerinden ayırıyor.
Yönetici Koruması Gerçekte Nasıl Çalışır?
Yönetici Koruması’nı etkinleştirdiğinizde, Windows yerel yönetici haklarına sahip tüm kullanıcı hesapları için (korunan Windows LAPS hesabınız hariç. Bu hesap bu özelliğin dışında tutulur) otomatik olarak bir Sistem Tarafından Yönetilen Yönetici Hesabı oluşturur. Bu sistem tarafından yönetilen yönetici hesabı, özel olarak ihtiyaç duyulana kadar gizli ve etkin olmayan durumda kalır. Windows, oturum açmış kullanıcının ayrıcalıklarını yükseltmek yerine, istenen işlemi gerçekleştirmek için artık bu ayrı ve izole yönetici hesabına geçer.
Bu değişiklik, hiçbir yönetici ayrıcalığının doğrudan kullanıcının hesabına doğrudan bağlı olmamasını sağlayarak kötüye kullanım veya suistimal riskini azaltır. Bu akışın nasıl çalıştığına dair ayrıntılı bir açıklamayı aşağıdaki görselde görebilirsiniz. Yukarıdaki görsel, Windows’un yükseltme isteklerini standart UAC süreci yerine sistem tarafından yönetilen bu hesap aracılığıyla nasıl güvenli bir şekilde işlediğini gösteriyor.
Gereksinim: Windows Canary Yapısı 27718
Yükseltilmiş görev tamamlandıktan sonra oturum sona erer ve ayrıcalıklar anında iptal edilir. Bu yaklaşım, her şeyi tekrar karanlığa gömmek için eldeki görevi aydınlatmaya yetecek kadar bir saniye boyunca spot ışığını yakmak gibi.
Faydalar
- Ayrıcalık Yükseltme Riskini Azaltır: Yeni sistem tarafından yönetilen hesapla yönetici belirteçleri artık tüm oturum tamamı boyunca ortada kalmıyor. Bunun yerine, tam zamanında ve yalnızca ihtiyaç duyulan süre boyunca veriliyorlar; bu da saldırganların bunları kötüye kullanmasını çok daha zor hâle getiriyor.
- Saldırı Yüzeyini En Aza İndirir: Saldırganlar, var olmayan şeyleri hedef alamazlar. Bu yönetici ayrıcalıklarının etkin kullanım süresini sınırlayarak sistem kötü niyetli kişilerin bir dayanak noktası edinme fırsatlarını en aza indirir.
- Daha Güçlü Uyumluluk: Yönetici hakları her zaman etkin olduğunda, en az ayrıcalık modelini uygulamak zor oluyor. Yönetici Koruması ile yükseltilmiş izinler yalnızca gerektiğinde etkin hâle gelir ve böylece yönetici erişimi için gerçek bir “kullanım gerekliliği” ilkesini güvenle uygulayabilmemizi sağlar.
Daha Güçlü Güvenlik
Bakım görevleri veya yerel sorun giderme için yönetici hakları verilen tipik bir kullanıcıyı düşünün. Yönetici Koruması etkinleştirildiğinde, kullanıcılar yine de bu görevleri gerçekleştirebilirler ancak bir işlemi yükseltmeleri durumunda, işlem ek sistem tarafından yönetilen hesapta yürütülür.
Kötü amaçlı yazılım, oturumu ele geçirmeye çalışsa bile Sistem Yönetilen Yönetici Hesabı yalnızca kontrollü bir şekilde etkinleştirildiği için bu yükseltilmiş ayrıcalıkları kullanamaz. Bu, yalnızca yanal hareketleri durdurmaya yardımcı olmakla kalmaz, aynı zamanda ayrıcalık yükseltme saldırılarının olasılığını da önemli ölçüde azaltır.
Windows 11’de Yönetici Koruması: Hatalara Dikkat Edin
Yerel Yönetici Koruması, yönetici haklarını güvence altına almada harika bir adım olsa da bazı zorlukları da beraberinde getiriyor. İlk sorunla başlayalım:
EPM:
Eğer Endpoint Privilege Management (EPM) kullanıyorsanız, bazı olası hatalara hazırlıklı olun. Bu iki özelliğin bir araya getirilmesi, beklenmedik hatalardan engellenen ayrıcalık yükseltmelerine kadar fark edilmeyen sorunlara yol açabilir.
EN-US: MUI Dosyası Bulunamadı
Ayrıca Yerel Yönetici koruması etkinleştirildiğinde cihazda EPM artık çalışmaz hâle geliyor. EN-US Windows Sürümü kullanmıyorsanız, bir sorunla karşılaşabileceğinizi unutmayın. Bu sorun, yerel yöneticinin oturum açmasını engelleyeceği için beklediğinizden daha büyük olabilir.
Sonuç: Yönetici Haklarını Daha Güvenli ve Daha Akıllıca Ele Almanın Bir Yolu
Yerel Yönetici Koruması’nın tanıtımı, statik ve her zaman etkin izinlerden daha dinamik, oturum tabanlı ayrıcalık yönetimine geçiş yönündeki daha geniş bir eğilimin parçası. Bu, bir cihaza veya kullanıcıya körü körüne güvenmemeniz gereken Zero Trust (Sıfır Güven) gibi modern güvenlik uygulamalarıyla uyumlu önemli bir değişim olarak göze çarpıyor.
Son Notlar
Windows 11’deki Yönetici Koruması, yerel yönetici haklarıyla ilişkili riskleri en aza indirirken yazılımınızı güncel ve uyumlu tutması da aynı derecede önemli. İşte tam da bu noktada Patch My PC gibi çözümler, yama yönetimini otomatikleştirerek ve üçüncü taraf uygulamaları güvenli tutarak Yönetici Koruması’nı tamamlar ve daha güvenli bir BT (Bilgi Teknolojileri) ortamı oluşturmanıza yardımcı olur.
Kaynak: www.patchmypc.com
