Windows sistem sıkılaştırma adı altındaki kullanıcı yönetimi başlığını 7 başlık altında inceleyebiliriz. düzenli ve güvenli bir kullanıcı yönetimi sağlayabilirsek aynı bilgisayarı kullanan birden fazla kullanıcının da güvenliğini sağlamış oluruz.

I.Gereksiz Hesapları Kaldırma

Yükleme sırasında, yerel kullanıcı hesapları otomatik olarak oluşturulur; Administrator, Guest ve Help-Assistant. Administrator hesabı yönetici hesabıdır ve krallığa giden anahtarları elinde tutar. Ayrıca bu master account dediğimiz hesap silinemez. Bu hesabı korumak için devre dışı bırakabilir ya da ismini değiştirebiliriz, böylelikle bilgisayar korsanı arkadaşların ulaşmak istedikleri hesabı bulmasını zorlaştırırız. Buna ek olarak Guest ve Help-Assistant hesapları da işini bilenler için bilgisayara uzaktan bağlanmaya çok müsaittir bu sebeple bunları Denetim Masası’nın altında bulunan Yönetici Araçları’nda ki Bilgisayar Yönetimi sekmesinde istediğimiz hesaba sağ tıklayarak Özellikler’e tıkladıktan sonra açılan pencereden değiştirebilir veya devre dışı bırakabiliriz. Bunu yaparken dikkat edeceğimiz husus bu devre dışı bırakma işleminin hem Network ( Ağ ) üzerinde hem de localde (yerel bilgisayar üzerinde) olmasıdır.

II. Normal Hesap Kullanımı

Kullanıcı hesapları yönetiminde en iyi uygulama elbette, yöneticilerin de bir normal hesap (dministrator olmayan) kullanmaları olacaktır. Eğer bir zararlı yazılım zaafı oluşursa, onu çalıştıran kullanıcının yetkilerine sahip olacaktır. Yani bu demek oluyor ki Yönetici olarak (RunAs) ya da Admin hesabından direkt olarak çalıştırdığınız zararlı yazılımlar Admin (root) yetkisine sahip olacaktır. Başka bir açısıyla normal hesaplar gizli dosyalarımıza ulaşılması yolunda bir bariyer görevi görmektedir. Bu sebeplerden dolayı kullanabildiğimiz kadar normal hesap kullanalım. Admin hesabını sadece program yükleme, sistem veya diğer kullanıcıların hesaplarında değişiklik yapacağımız zaman kullanalım.

III.Administrator Hesap

Eğer ağınızda ya da bilgisayarınızda birden çok yönetici kullanıcı varsa hepsi için farklı, kişiselleştirilmiş yönetici hesapları oluşturun. Bu şekilde Administator yetkisinde bir sorun ortaya çıktığında kimin sorumlu olduğunu veya kasten yaptığını anlayabiliriz. Ayrıca buna ilaveten de Bölüm.1 de bahsettiğim gibi her yönetici, yönetici hesaplarının yanında normal bir hesabı da olmalıdır. Örneğin Pattern ve Admin-Pattern gibi iki hesap oluşturulabilir.

IV. Güvenli Giriş

Hesaplarımızı içerden koruduğumuz gibi dışardan da koruma ihtiyacı duyarız. Örneğin bilgisayarımızı kullandıktan sonra ara vermek için kilitlediğimizde veya bilgisayarımızı ilk açtığımızda giriş yapmadan önce kullanıcı adımızın yazmaması bize büyük bir avantaj sağlayacaktır. Çünkü bilgisayar korsanı arkadaşımızın artık bir değil iki işi vardır, sadece şifreyi değil aynı zamanda kullanıcı adını da bulması gerekir.

1.Windows + R  tuşları ile Çalıştır penceresini açalım ve netplwiz  yazdıktan sonra Tamam’a basalım.

2. Gizlemek istediğimiz kullanıcı hesabını seçip Özellikler  diyelim.
3. Kullanıcı hesabımıza istediğimiz bir kullanıcı adı atayalım. Ben cypmiyte  diyeceğim.
4. Sonra Tamam  deyip çıkalım.
5. Tekrar Windows + R  ile açılan pencereden regedit  yazıp Tamam  a basalım.

6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  adresine gelelim. Winlogon ‘a sağ tıklayıp Yeni > Anahtar  ‘ı sırayla seçip SpecialAccounts  şeklinde adlandıralım.

7. Sonra SpecialAccounts’a sağ tıklayıp Yeni > Anahtar ‘ı sırayla seçip UserList  şeklinde adlandıralım.

8. UserList  ‘in içersinde sağ tıklayıp Yeni dedikten sonra DWORD (32-bit)  Değeri’ni seçelim ve adını gizlemek istediğiniz hesabın kullanıcı adını verin. Ben cypmiyte  diyeceğim.

9. Son olarak değerin 0  olduğundan emin olalım. Eğer ileride tekrar hesabı giriş ekranınde göstermek isterse bu değer 1  yapacağız.

V. Kullanıcı Hakları

Bilgisayarımıza bağlanan kullanıcılara yetkileri direkt veya bir grup aracılığıyla dağıtırken dikkatli olmamız gerekmektedir. Çünkü istemeden birisini Admin yetkileriyle donatmak istemeyiz. Dikkat etmemiz gereken yetkilerden bazıları şunlardır:

1)Ağ üzerinden bu bilgisayara bağlanabilme

Bu yetki ağ üzerinden bilgisayara bağlanması gereken hesaplara elle dağıtılmalıdır ve server bilgisayarlarında en az bir Administrator hesabında bulunmalıdır(API’ler için). Ama Guests , Anonymous Girişler , NETWORK SERVICE, SERVICE, ve LOCAL SERVICE  için engellenmelidir. Şunu da unutmayalım ki bu yetki engellemesi Terminal Service  girişlerini etkilememektedir.

2) Terminal Services

Bu haklar Windows 2003 de Terminal Services üzerinden giriş yapacak her kullanıcıda olması gereken haklardır.

3) Debug Programs

Bu hakkı Administrator dahil tüm kullanıcılardan kaldırmayı düşünmeliyiz, çünkü bu hakka sahip bir oturumdan bulaşabilen Pwdump2  ve L0phtCrack  gibi zararlı yazılımlar SAM  dosyası hash’lerini çalabilmektedir.

4) Log on Locally

Bu hak hangi kullanıcıların konsol üzerinen giriş yapabileceklerini belirlemektedir. En az bir Administrator hesabı bu yetkiye sahip olmalıdır. Windows 2000 üzerinde Terminal Services hakları bu hakla belirlenmektedir.

5). Grup üyeliklerini sınırlandırmak

Grup üyelikleri kullanıcı yönetimi konusu içerisinde çok önemlidir, çünkü bir anonim kullanıcı bilgisayarımıza bağlanmaya çalıştığı sırada gruplarda bulunan Herkes ( Everyone ) sınıfına girip diğer kullanıcılara erişebilir. Bunu engellemek için grup üyeliklerini sınırlayıp üyelikleri elle yapmamız gerekmektedir ve ağ üzerinden bağlanma yetkileri tekrar gözden geçirilmelidir.

6). Microsoft hesabı oluşturmak

Son olarak Windows Kullanıcı Hesap Yönetimi konusunda ki sıkılaştırma yöntemlerinden birisi de Microsoft hesabı oluşturmaktır. Microsoft hesabı bilgisayarımızın güvenli kalması için bize yardım edecektir. Oluşturduğumuz Microsoft hesabını gmail.com veya outlook.com gibi herhangi bir mail adresimiz ile oluşturabiliriz ama dikkat etmeniz gereken husus bu hesabın Administrator olmamasıdır, çünkü bilgisayar korsanı arkadaşlarımız internet üzerinden bir şekilde hesabı ele geçirirse bilgisayar üzerinde Administrator yetkisine sorgusuz sualsiz sahip olacaklardır. Buna ek olarak oluşturduğumuz Microsoft hesabı şu sebeplerle önemlidir bir mail adresi ve şifresi olduğu için localde şifresini bulmaktan daha zor olarak gmail’e ya da outlook’a sızması gerekecektir hacker kardeşimizin. Ardından mail şifremizi bulsa bile bizim
bağladığımız telefon ile giriş yaparken 2-Adımlı-Doğrulama denilen araç ile bizim haberimiz olmadan ya da bizim telefonumuza sahip olmadan giriş yapamayacaktır.

TR | Windows Kullanıcı Yönetimi CypmUni İYTE