Günümüzde internet ortamının gelişmesi ve her eve bilgisayarın girmesi ile internet kullanımının yaygınlaşması elbette ki güvenlik açısından da bir çok problemi beraberinde getirmiştir. Uluslararası güvenlik yazılımı firmaları oluşturdukları anti virüs ve anti spy gibi programlarla her ne kadar güvenliği üst seviyede tutmayı vaat etmiş olsalar da bu programların kullanılmasına rağmen bir çok internet kullanıcısı bu saldırılara maruz kalarak bir takım zararlar görmektedir. Bu makalemizde, bilgisayarımızın güvenliği açısından anti virüs ve anti spy programlarından bağımsız olarak Microsoft’un kullanıcılarına Windows Vista ile sunmuş olduğu bir koruma mekanizması olan Korumalı Mod özelliğini inceleyeceğiz.
Internet Explorer 7 ile bütünleşik bir yapı oluşturan Korumalı modu maalesef Windows Xp Service Pack 2 üzerinde kurulu olan İnternet explorer 7 de kullanamıyorsunuz. Çünkü korumalı mod ie7 üzerinde bütünleşik bir yapı olsa da güvenlik mekanizmasını Windows Vista güvenlik alt yapısından almaktadır. Korumalı mod güvenlik tabanı olarak vistada bulunan Kullanıcı Hesap Denetimi / User Account Control (UAC) mekanizmasını kullanmaktadır. Bu güvenlik yapısı sisteminizde aktif değilse korumalı modda otomatik olarak devre dışı kalacaktır.
Korumalı mod özelliğini aktif hale getirmek için internet explorer > tools/araçlar > internet options / internet seçenekleri penceresinde “security / güvenlik” tabına gidelim. Bu pencerede en altta bulunan “Korumalı modu etkinleştir / Enable Protected Mode” seçeneğinin işaretlememiz yeterli olacaktır.
Şekil-1
Daha öncede belirttiğimiz gibi bu özelliği kullanabilmemiz için Kullanıcı hesap denetimi (UAC) fonksiyonunun açık olması gerekmektedir. Eğerki UAC kapalı ise bu bahsetmiş olduğum ayarı yapmış olsanız dahi korumalı mod kapalı olacaktır ve internet explorer penceresinde sağ altta korumalı modun kapalı olduğunu gösteren uyarı almış olacaksınız.
Şekil-2
UAC’ ı açmak için bilgisayarınızda denetim masası / control panel – kullanıcı hesapları / user account menüsü içerisinde “ kullanıcı hesabı denetimini aç veya kapat / Turn User Account Control on or off” seçeneğine tıklayınız ve açılan pencerede ki onay kutusunu işaretli değilse işaretleyerek “Tamam / OK” butonuna basınız. Bilgisayarı yeniden başlatıp ayarların aktif olması için “şimdi yeniden başlat / restart now” butonuna basın.
Şekil-3
Şekil-4
Bilgisayarınız açıldığında korumalı modun internet explorer penceresinde açık olduğunu gösteren uyarıyı kontrol edin.
Şekil-5
Korumalı mod özelliği, ie7 ile web üzerinde gezinti yaptığınızda girmiş olduğunuz web sitelerinde, alt yapıda çalışan bir çok zararlı kod içeren programlarla sisteminize yayılmaya çalışan ve yönetimsel haklar gerektiren bir çok sistem dosyaları ile kayıtlarına ulaşmayı hedefleyerek sisteminizi zarara uğratmayı planlayan saldırganları engellemiş oluyor. Windows Vista güvenlik alt yapısı, hassas sistem verilerini yapılandırmak yada alt yapıda bir takım programların kurulumunu engellemek için gerekli yetkileri kısıtlarken web ‘ de tarama için ihtiyaç duyulan yetkileri internet explorer ‘ a sağlayamak için Korumalı moda izin verir. Kısıtlı yetkilere sahip, düşük bütünlük seviyesinde çalışan IE’de bir işlem yaptığınızda yada bir kod çalıştırdığınızda bu kod sadece düşük bütünlük seviyesine sahip dosyalara ve klasörlere ( Temporary Internet Files klasörü gibi) yazılır. Bu da sisteminizde önemli işlevlere sahip dosya, klasör yada kayıtların bu zararlı kodlardan etkilenmesini önler. Bu konuyu biraz daha açıklığa kavuşturmak için isterseniz Windows Vista güvenlik alt yapısını biraz inceleyelim.
Windows Vista Bütünlük Mekanizması
İnternet explorer ile web’ de gezintiye çıktığınızda güvenilir olmayan kaynaklardan sisteminize yüklenilmeye çalışılan internet arayüz programları sisteminiz için potansiyel bir tehlike oluşturur. Korumalı mod Düşük Bütünlükteki internet explorer işlemlerini çalıştırmak için vistanın tüm güvenlik mekanızmasını kullanır. Windows Vistanın güvenlik mekanizmasının ana özelliklerini aşağıda görebilirsiniz.
Sistem içerisinde, güvenli objeler, dosyalar ve kayıt anahtarları, objeye yazma hakkı veren yetkilerin seviyesi yada tüm yetkileri anlatan güvenli tanımlayıcılar mevcuttur.
Yapılan işlemler, güvenli erişim belirteçlerinde tanımlanmış bütünlük seviyelerine sahiptir.
-
Korumalı modda ki internet explorer düşük bütünlük seviyesine sahiptir.
-
Başlat menüsündeki uygulamalar, orta bütünlük seviyesine sahiptir.
-
Yönetimsel izinlerin gerektirdiği uygulamalar ise yüksek bütünlük seviyesine sahiptir.
Düşük bütünlük işlemleri, isteğe bağlı erişim kontrol listesindeki (DACL) yazma yetkisi almış kullanıcıya, yüksek bütünlük seviyesindeki objelere yazma hakkı vermez. Çünkü bütünlük seviyesi kontrolleri sistem içerisinde kullanıcı erişim izinleri kontrolünden önce yapılır.
Bütünlük Mekanizması
| Bütünlük erişim seviyesi (IL) | Sistem Ayrıcalıkları |
| Yüksek | Yönetimsel ( işlem Program Files klasörüne dosyaları yüklemeyi ve HKEY_LOCAL_MACHINE kayıt defteri anahtarına yazmayı gerektirir ) |
| Orta | Kullanıcı (işlem kullanıcının Belgelerim klasöründeki dosyaları düzenleyebilir yada oluşturabilir ayrıca HKEY_CURRENT_USER gibi belirli kullanıcı kayıt anahtarına yazabilir) |
| Düşük | Güvenilir olmayan ( işlem Temporary Internet Files\Low klasörü yada HKEY_CURRENT_USER\Software\LowRegistry anahtarı gibi yalnızca düşük bütünlük lokasyonlarına yazabilir) |
Şekil-6
Düşük bütünlük işlemleri yalnızca klasörlere, dosyalar ve düşük bütünlük etiketi ile belirlenmiş kayıt anahtarlarına yazılabilir.
-
Temporary Internet Files klasörü
-
Geçmiş ( History) klasörü
-
Cookies klasörü
-
Sık kullanılanlar ( Favorites ) klasörü
-
Windows Temporary dosya ve klasörleri Sistem bütünlük seviyesine göre yapılan işlemleri otomatik olarak bütünlük lokasyonlarına yönlendirmek için Windows Uyumluluk Pulu (Windows Compatibility Shim) mekanizmasını kullanır.
-
Documents and Settings\%userprofile%\LocalSettings\TemporaryInternet Files\Virtualized
-
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\InternetRegistry
Şekil-7
Korumalı Modu Yapılandırmak
Korumalı modu internet explorer’ ın internet özellikleri pencersindeki ayarlar ile yapılandırabiliriz.
Şekil-8
Düşük Bütünlük Yazma Lokasyonları
-
Korumalı moddayken, kullanıcı profili altındaki klasörlere ve dosyalara yazılır. Örnek olarak %userprofile%\AppData\LocalLow
-
Düşük bütünlük işlemleri kayıt defterinin HKEY_CURRENT_USER\Software\AppDataLow gibi düşük bütünlük alt anahtarlarına yazılır
-
Korumalı mod IE’nin ortam değişkenlerini yapılandırır.
Korumalı Modda İşlemleri Başlatmak
Varsayılan olarak internet explorer aşağıdaki resimde gösterildiği gibi orta bütünlük seviyesine yükseltilmiş işlem için kullanıcıya uyarı verecektir.
Şekil-9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Şekil-10
Bu anahtardaki “Policy (DWORD)” değeri korumalı modu nasıl başlatacağını belirler. Aşağıdaki tablo bu destek oranlarını göstermektedir.
| Değer | Sonuç |
| 3 | Korumalı mod orta bütünlük işlemi olarak tarayıcıda alt yapıda çalışır. |
| 2 | İşlemi başlatmak için kullanıcı izinlerini sorar. Eğer izin verilirse orta bütünlük seviyesinde işlem çalıştırılır. |
| 1 | Korumalı mod düşük bütünlük işlemi olarak programı çalıştırır. |
| 0 | Korumalı mod işlemi başlarken engeller. |
Şekil-11
Eğer programınız çalıştırılabilir bir dosya ise, ilkelerinize (policy) aşağıdaki ayarları ekler.
-
AppName (REG_SZ) çalıştırılabilir dosyanızın dosya adı
-
AppPath (REG_SZ) çalıştırılabilir dosyanızın yükleme lokasyonu
Eğer dosyanın uzantısı .dll kaydına sahip rundll32.exe kullanıyorsa, aşağıdaki anahtara dosya isminin uzantısını eklereyerek bu dosyanın sessizce düşük bütünlük seviyesinde çalıştırılmasını sağlayabilirsiniz.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDLl32Policy
Şekil-12
Uygulamanızdaki Sürükle Bırak İşlemine İzin Vermek
Varsayılan olarak korumalı mod, bir yüksek bütünlük işlemine, web içeriğini kopyalamasına izin vermeden önce kullanıcıyı uyarır.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\DragDrop
Şekil-13
Uygulama Uyumluluk Aracı ile Sorun Giderme
Internet Explorer yada onun kullandığı uygulama uzantıları korumalı moddaki güvenli objelere yazmaya kalkıştıklarında, uygulama uyumluluğu uygulamayı ve onun sonuçlarını içerik alanına loglar. Aşağıdaki liste bu loglardaki alanların oranlarını açıklar;
-
ModuleName: güvenli objeye erişimi sağlayan işlemin dosya adıdır.
-
VirtualizationAction yazma işleminin sonucunu belirler ve aşağıdakilerden birini belirtir.
-
InterceptedWrite Uyumluluk seviyesi tarafından engellenen işlemi belirtir.
-
WriteIgnored korumalı mod tarafından iptal edilmiş yok sayılmış uygulamayı gösterir.
-
CreateVirtualCopy sanal lokasyondaki objenin bir kopyasının Uyumluluk Katmanında oluşturulduğu bildirilir.
-
CreateNew Uyumluluk Katmanı tarafından sanal lokasyonda yeni bir obje oluşturulduğu belirtilir.
-
-
ObjectType dosya yada kayıt değeri olduğu gösterilir
-
APIName Uygulamanın fonksiyonunu belirtir. Örnek olarak CreateFile yada RegOpenKey
-
RegObjectPath düzenlenmek istenen objenin lokasyanunu belirtir. Bu alan herhangi bir yola sahip olmayan dosyalar için boştur.
-
Uygulama başarılı olarak yazılırken NewObjectPath uygulama tarafından düzenlenen objeyi belirler.
-
APIResult yazma uygulamasını gerçekleştiren API fonksiyonu tarafından geri dönüşümün sonucu belirtilir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Internet Explorer Protected Mode