Access this computer from the network (SeTrustedCredManAccessPrivilege)
Server:
Administrators,
Authenticated Users
Domain Controller:
Administrators,
Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS
Bu ayar, hangi kullanıcıların veya hangi gruplarda bulunan kullanıcıların ağ üzerinden
sisteme bağlanıp
bağlanamayacağını belirler. Bu ayar, RDP servisini etkilemez.
Act as part of the operating system (SeTcbPrivilege)
No one Bu ayarın aktif edilmesi
durumunda, processler herhangi bir kullanıcının kimliğine bürünebilir ve o kullanıcının yetkilerini kullanarak makine üzerinde herhangi bir kaynağa erişim sağlayabilir.
Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, bir process tarafından tüketilebilecek olan maksimum bellek boyutunu, kimin değiştirebileceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 26 Varsayılan:
Administrators Local Service Network Service
Back up files and directories (SeBackupPrivilege)
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, sistemin yedeklenmesi için hangi kullanıcıların bütün dosya, dizin, kayıt defteri ayarları ve diğer nesnelere erişim sağlayabileceğini belirtir.
Varsayılan:
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Bypass traverse checking (SeChangeNotifyPrivilege)
Enterprise Member Server:
Administrators,
Authenticated Users, Backup Operators, Local Service, Network Service
Enterprise Domain Controller: Not Defined
Bu ayar, bir kullanıcının erişim yetkisi olmasa dahi dizinler arasında gezinebilmesini sağlar. Bu yetkiye sahip bir kullanıcı sadece dizinleri gezebilir, ancak yetkisi olmadığı bir dizinin içeriğini listeleyemez.
Varsayılan:
Server-> Administrators
WİNDOWS HARDENİNG S A Y F A | 27 Backup Operators
Users Everyone Local Service Network Service
Domain Controller->
Administrators Authenticated Users Everyone
Local Service
Change the system time (SeSystemtimePrivilege)
LOCAL SERVICE, Administrators
Bu ayar, hangi kullanıcıların ve hangi grupların sistem saatini değiştirebileceğini belirler. Bu yetkiye sahip kullanıcılar, logların görünümünü etkileyebilir. Sistem saati değiştirilirse, loglar olayların meydana geldiği gerçek zamanı değil, yeni zamanı yansıtır.
Varsayılan:
Server->
Administrators Local Service
Domain Controller->
Administrators
WİNDOWS HARDENİNG S A Y F A | 28 Server Operators
Local Service
Create a pagefile
(SeCreatePagefilePrivilege)
Enterprise Domain Controller:
Not Defined
Windows, sabit sürücünün bir bölümünü, pagefile (sayfa dosyası) olarak bilinen sanal bellek olarak veya pagefile.sys olarak atar. Bu ayar, hangi kullanıcıların bir sayfa dosyası oluşturabileceğini veya değiştirebileceğini belirler. verilere erişim sağlayabilmesi için yüksek yetkilere erişebileceği bir access token oluşturmasına izin verir. Bu yetki, gerekli olmadığı sürece SYSTEM hesabı dışında hiçbir
kullanıcı hesabına
atanmamalıdır. Bu yetkinin bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.
Varsayılan:
None
Create global objects
(SeCreateGlobalPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların tüm kullanıcı oturumlarında kullanılabilen genel nesneler oluşturup oluşturamayacağını belirler. Bir kullanıcı bu yetkiye sahip değilse, yalnızca kendi oturumuna özgü nesnelere oluşturabilir. Ancak bu yetkinin bir kullanıcıya atanması durumunda, kullanıcı tüm
WİNDOWS HARDENİNG S A Y F A | 29 oturumlara müdahele edebilir
ve bu durum güvenlik riski oluşturabilir.
Varsayılan:
Administrators Local Service Network Service Service
Create permanent shared objects (SeCreatePermanentPrivilege)
No One Bu ayar, processlerin nesne yöneticisini kullanarak bir dizin nesnesi oluşturmak için hangi hesapları kullanılabileceğini belirler.
Varsayılan:
None
Debug programs (SeDebugPrivilege) Enterprise Member Server/ Enterprise Domain Controller:
Administrators
Bu ayar, kullanıcılara tüm processler için debug yetkisi verir. Bu yetkiye sahip olan bir kullanıcı yüksek yetkilere sahip kullanıcı processlerine erişim sağlayarak, sistem üzerindeki hassas ve kritik verilere erişim sağlayabilir.
Varsayılan:
Administrators
Deny access to this computer from the network (SeDenyNetworkLogonRight)
Guests Bu ayar, kullanıcıların sisteme ağ üzerinden erişimlerini engeller.
WİNDOWS HARDENİNG S A Y F A | 30 Varsayılan:
Guest
Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege)
No One Bu ayar, kullanıcıların Active Directory ortamında “Trusted for Delegation” özelliğini değiştirebilmelerine olanak verir. Bu yetkiyi kötüye kullanan kullanıcılar, diğer kullanıcıların kimliğine bürünerek yetkisiz işlemler gerçekleştirebilirler.
Varsayılan:
Domain Controller->
Administrators
Force shutdown from a remote system (SeRemoteShutdownPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların sistemi ağ üzerinde uzak bir noktadan kapatabilmelerine olanak verir.
Bu yetkiyi kötüye kullanan kullanıcılar, sistem üzerinde DoS etkisi oluşturabilirler.
Varsayılan:
Server-> Administrators
Domain Controller->
Administrators Server Operators
Impersonate a client after authentication
(SeImpersonatePrivilege)
Administrators,
SERVICE, Local Service, Network Service
Bu ayar, çalışan programların belirtilen kullanıcıların kimliğine bürünerek o kullanıcıların adına hareket etmesine izin verir.
WİNDOWS HARDENİNG S A Y F A | 31 Varsayılan:
Administrators Local Service Network Service Service
Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir process’e atanan önceliği artırmak için, başka bir process üzerinde “Write” yetkisi olan bir process’i hangi kullanıcıların kullanabileceğini belirler.
Varsayılan:
Administrators
Load and unload device drivers (SeLoadDriverPrivilege)
Administrators Bu ayar, hangi kullanıcıların aygıt sürücülerini çekirdek
modunda yükleyip
kaldırabileceğini belirler. Bu yetkinin düşük yetkili bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.
Varsayılan:
Server-> Administrators
Domain Controller->
Administrators
WİNDOWS HARDENİNG S A Y F A | 32 Print Operators
Lock pages in memory
(SeLockMemoryPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, verileri fiziksel bellekte tutmak için hangi hesapların bir process’i kullanabileceğini belirler ve bu da sistemin verileri diskteki sanal belleğe sayfalandırmasını engeller. Bu ayrıcalığın kullanılması, mevcut RAM miktarını azaltarak sistem performansını önemli ölçüde etkileyebilir.
Varsayılan:
None
Manage auditing and security log SeSecurityPrivilege ()
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların dosya ve dizinler için denetim seçeneklerini
değiştirebileceğini ve güvenlik loglarını temizleyebileceğini belirler.
Varsayılan:
Administrators
Modify firmware environment values (SeSystemEnvironmentPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların donanım konfigürasyonlarını etkileyen çevre değişkenlerini yapılandırmasına olanak tanır.
Bu değerlerin değiştirilmesi donanım arızasına neden olabilir.
Varsayılan:
Administrators
WİNDOWS HARDENİNG S A Y F A | 33 Perform volume maintenance tasks
(SeManageVolumePrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined.
Bu ayar, kullanıcıların sistem
birimleri ve disk
konfigürasyonlarını
yönetmelerine izin verir. Bu yetkinin kötüye kullanılması durumunda, kullanıcılar bir sistem birimini silebilir ve veri kaybına neden olabilir.
Varsayılan:
Administrators
Profile single process
(SeProfileSingleProcessPrivilege)
Administrators Bu ayar, hangi kullanıcıların sistem process’i olmayan processlerin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.
Varsayılan:
Administrators Power users
Profile system performance (SeSystemProfilePrivilege)
Administrators Bu ayar, hangi kullanıcıların sistem processlerinin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.
Varsayılan:
Administrators
Remove computer from docking station (SeUndockPrivilege)
Administrators Bu ayar, bir kullanıcının taşınabilir bir bilgisayarı ayırabilmesi için Start menüsünde “Eject PC”
WİNDOWS HARDENİNG S A Y F A | 34 seçeneğini tıklayabilmesine
olanak verir.
Varsayılan:
Administrators Power Users Users
Replace a process level token (SeAssignPrimaryTokenPrivilege)
LOCAL SERVICE, NETWORK SERVICE
Bu ayar, bir servisin veya bir process’in başka bir process veya servisi farklı bir access token ile başlatabilmesi için, kullanıcıların
CreateProcessAsUser() API’sini çağırabilmelerine olanak verir.
Varsayılan:
LOCAL SERVICE NETWORK SERVICE
Shut down the system
(SeShutdownPrivilege)
Administrators Bu ayar, hangi kullanıcıların sistemi kapatabileceğini belirler.
Varsayılan:
Workstation->
Administrators, Backup Operators, Users
Server->
Administrators, Backup Operators
WİNDOWS HARDENİNG S A Y F A | 35 Domain Controller->
Administrators, Backup Operators, Server Operators, Print Operators
Add workstations to domain (SeMachineAccountPrivilege)
Administrators Bu ayar, hangi kullanıcıların Active Directory Domain
ortamına cihaz
ekleyebileceğini belirler. Bu ayar yalnızca Domain Controller sunucular için geçerlidir. Varsayılan olarak bu yetkiye, kimliği doğrulanmış herhangi bir kullanıcı sahiptir ve bu kullanıcılar Domain ortamına en fazla 10 cihaz ekleyebilirler.
Allow log on locally
(SeInteractiveLogonRight)
Administrators Bu ayar, hangi kullanıcıların sunucu üzerinde oturum açabileceğini belirler.
Varsayılan:
Workstation-> Administrators, Backup Operators, Power Users, Users, and Guest
Server-> Administrators, Backup Operators, Power Users, Users, and Guest
Domain Controller-> Account Operators, Administrators, Backup Operators, and Print Operators
WİNDOWS HARDENİNG S A Y F A | 36
Change the time zone
(SeTimeZonePrivilege)
LOCAL SERVICE, Administrators
Bu ayar, hangi kullanıcıların saat dilimini değiştirebileceğini belirler.
Varsayılan:
Administrators Users
Create symbolic links
(SeCreateSymbolicLinkPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların sembolik bağlantılar oluşturabileceğini belirler. sistem üzerinde oturum açmalarına izin verilmeyeceğini belirler. açmalarına izin verilmeyeceğini belirler.
Varsayılan:
None
Generate security audits (SeAuditPrivilege)
Enterprise Domain Controller: Not Defined.
Bu ayar, hangi kullanıcıların veya processlerin güvenlik loglarında denetim kayıtları oluşturabileceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 37 Increase a process working set
(SeIncreaseWorkingSetPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların bir process için RAM miktarını artırıp azaltabileceğini belirler.
Varsayılan:
Users
Log on as a batch job (SeBatchLogonRight)
Enterprise Domain Controller:
No one
Enterprise Member Server:
Not Defined
Bu ayar, kullanıcıların “Task Scheduler” servisini kullanarak oturum açmalarına izin verir.
Task Scheduler genellikle yönetimsel amaçlarla kullanıldığından dolayı, kurumsal ortamlarda gerekli olabilir. Ancak sistem kaynaklarının kötüye kullanımını önlemek veya saldırganların bir bilgisayara kullanıcı düzeyinde erişim sağladıktan sonra zararlı kod çalıştırmalarını engellemek için bu ayar yüksek güvenlikli ortamlarda kısıtlanmalıdır.
Varsayılan:
Administrators Backup Operators
Restore files and directories (SeRestorePrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Administrators, Backup Operators.
Bu ayar, yedeklenen dosyaların geri yüklenmesi sırasında hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer nesneler üzerinde erişim kısıtlamalarını atlatabileceğini belirler.
Varsayılan:
WİNDOWS HARDENİNG S A Y F A | 38 Workstation-> Administrators,
Backup Operators
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Take ownership of files or other objects (SeTakeOwnershipPrivilege)
Administrators Bu ayar, kullanıcıların; dosya, dizin, kayıt defteri anahtarları, processler veya threadlerin kullanıcısını
değiştirebilmelerine olanak verir.
Varsayılan:
Workstation-> Administrators, Backup Operators
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Access credential Manager as a trusted caller
(SeTrustedCredManAccessPrivilege)
No One Bu ayar, yedekleme ve geri yükleme işlemi sırasında Credential Manager tarafından kullanılır. Bu yetki Winlogon'a atandığından dolayı, hiçbir hesap bu kullanıcı hakkına sahip olmamalıdır. Bu yetki
WİNDOWS HARDENİNG S A Y F A | 39 diğer varlıklara atanırsa,
kullanıcıların kimlik bilgileri tehlikeye girebilir.
Synchronize directory service data (SeSyncAgentPrivilege)
No One Bu ayar, hangi kullanıcıların
Active Directory
senkronizasyonu yetkisine sahip olduğunu belirler.
WİNDOWS HARDENİNG S A Y F A | 40