Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
Şunlar için geçerlidir:
Saldırı yüzeyleri, kuruluşunuzun siber tehditlere ve saldırılara karşı savunmasız olduğu tüm yerlerdir. Saldırı yüzeyinizi azaltmak, kuruluşunuzun cihazlarını ve ağını korumak anlamına gelir ve bu da saldırganlara saldırı için daha az yol bırakır. Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarının yapılandırılması yardımcı olabilir.
Saldırı yüzeyi azaltma kuralları aşağıdakiler gibi belirli yazılım davranışlarını hedefler:
- Dosyaları indirmeye veya çalıştırmaya çalışan yürütülebilir dosyaları ve betikleri başlatma
- Karartılmış veya başka bir şekilde şüpheli betikleri çalıştırma
- Uygulamaların genellikle normal gündelik çalışma sırasında gerçekleşmeyen davranışlar
Farklı saldırı yüzeylerini azaltarak saldırıların gerçekleşmesini önlemeye yardımcı olabilirsiniz.
Bu dağıtım koleksiyonu, saldırı yüzeyi azaltma kurallarının aşağıdaki yönleri hakkında bilgi sağlar:
- saldırı yüzeyi azaltma kuralları gereksinimleri
- saldırı yüzeyi azaltma kuralları dağıtımı için planlama
- test saldırısı yüzeyi azaltma kuralları
- saldırı yüzeyi azaltma kurallarını yapılandırma ve etkinleştirme
- saldırı yüzeyi azaltma kuralları en iyi yöntemleri
- saldırı yüzeyi azaltma kuralları gelişmiş avcılık
- saldırı yüzeyi azaltma kuralları olay görüntüleyicisi
Saldırı yüzeyi azaltma kuralları dağıtım adımları
İş kolu operasyonlarınızı etkileyebilecek yeni ve geniş ölçekli uygulamalarda olduğu gibi planlama ve uygulama işlemlerinizde de yöntemli olmak önemlidir. Benzersiz müşteri iş akışlarınız için en iyi şekilde çalıştığından emin olmak için saldırı yüzeyi azaltma kurallarının dikkatli bir şekilde planlanması ve dağıtımı gereklidir. Ortamınızda çalışmak için saldırı yüzeyi azaltma kurallarını dikkatlice planlamanız, test etmeniz, uygulamanız ve çalışır hale getirmeniz gerekir.
Önemli dağıtım öncesi uyarı
Aşağıdaki üç standart koruma kuralını etkinleştirmenizi öneririz. saldırı yüzeyi azaltma kurallarının iki türü hakkında önemli ayrıntılar için bkz. Türe göre saldırı yüzeyi azaltma kuralları.
- Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme
- Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
- Windows Yönetim Araçları (WMI) olay aboneliği aracılığıyla kalıcılığı engelleme
Genellikle, standart koruma kurallarını son kullanıcı üzerinde en az farkedilebilir etkiyle etkinleştirebilirsiniz. Standart koruma kurallarını etkinleştirmek için kolay bir yöntem için bkz . Basitleştirilmiş standart koruma seçeneği.
Not
Microsoft HIPS olmayan bir kullanan ve Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarına geçiş yapan müşteriler için Microsoft, Denetim modundan Blok moduna geçiş yaptığınız ana kadar saldırı yüzeyi azaltma kuralları dağıtımının yanı sıra HIPS çözümünü çalıştırmayı önerir. Dışlama önerileri için Microsoft dışı virüsten koruma sağlayıcınıza ulaşmanız gerektiğini unutmayın.
Saldırı yüzeyi azaltma kurallarını test etme veya etkinleştirmeye başlamadan önce
İlk hazırlığınız sırasında, yerleştirdiğiniz sistemlerin özelliklerini anlamak çok önemlidir. Özellikleri anlamak, kuruluşunuzu korumak için hangi saldırı yüzeyi azaltma kurallarının en önemli olduğunu belirlemenize yardımcı olur. Buna ek olarak, saldırı yüzeyi azaltma dağıtımınızın hazırlanmasında ilgilenmeniz gereken çeşitli önkoşullar vardır.
Önemli
Bu kılavuz, saldırı yüzeyi azaltma kurallarını yapılandırmaya karar vermenize yardımcı olacak görüntüler ve örnekler sağlar; bu görüntüler ve örnekler ortamınız için en iyi yapılandırma seçeneklerini yansıtmayabilir.
Başlamadan önce, temel bilgiler için Saldırı yüzeyi azaltmaya genel bakış ve Saldırı yüzeyi azaltma kurallarını kaldırma - Bölüm 1'i gözden geçirin. Kapsama alanlarını ve olası etkiyi anlamak için, mevcut saldırı yüzeyi azaltma kuralları kümesini tanıyın; bkz. Saldırı yüzeyi azaltma kuralları başvurusu. Saldırı yüzeyi azaltma kuralları kümesi hakkında bilgi sahibi olurken kural başına GUID eşlemelerini not edin; bkz . GUID matrisine saldırı yüzeyi azaltma kuralı.
Saldırı yüzeyi azaltma kuralları, Uç Nokta için Microsoft Defender'daki saldırı yüzeyi azaltma özelliklerinin yalnızca bir özelliğidir. Bu belge, insan tarafından çalıştırılan fidye yazılımı ve diğer tehditler gibi gelişmiş tehditleri durdurmak için saldırı yüzeyi azaltma kurallarını etkili bir şekilde dağıtma konusunda daha ayrıntılı bilgi sağlar.
Kategoriye göre saldırı yüzeyi azaltma kuralları listesi
Aşağıdaki tabloda, kategoriye göre saldırı yüzeyi azaltma kuralları gösterilmektedir:
| Çok biçimli tehditler | Yanal hareket & kimlik bilgisi hırsızlığı | Üretkenlik uygulamaları kuralları | E-posta kuralları | Betik kuralları | Çeşitli kurallar |
|---|---|---|---|---|---|
| Bir yaygınlık (1.000 makine), yaş veya güvenilir liste ölçütünü karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleyin | PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme | Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme | E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme | Karartılmış JS/VBS/PS/makro kodunu engelleme | Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engellendi [1] |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe)[2] kimlik bilgilerinin çalınmalarını engelle | Office uygulamalarının alt işlemler oluşturmalarını engelleme | Yalnızca Office iletişim uygulamalarının alt işlemler oluşturmalarını engelle | JS/VBS'nin indirilen yürütülebilir içeriği başlatmasını engelleme | |
| Fidye yazılımına karşı gelişmiş koruma kullanma | WMI olay aboneliği aracılığıyla kalıcılığı engelleme | Office uygulamalarının diğer işlemlere kod eklemesini engelleme | Office iletişim uygulamalarının alt işlemler oluşturmalarını engelleme | ||
| Adobe Reader'ın alt işlemler oluşturmalarını engelleme |
(1) Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engellendi artık Endpoint Security>Attack Surface Reduction altında kullanılabilir.
(2) Bazı saldırı yüzeyi azaltma kuralları önemli miktarda gürültü oluşturur, ancak işlevselliği engellemez. Örneğin, Chrome'ı güncelleştiriyorsanız Chrome lsass.exeerişir; parolalar cihazdaki lsass içinde depolanır. Ancak, Chromelsass.exe yerel cihaza erişmiyor olmalıdır. Lsass'e erişimi engellemek için kuralı etkinleştirirseniz birçok olay görürsünüz. Yazılım güncelleştirme işleminin lsass.exe erişmemesi gerektiğinden bu olaylar iyi olaylardır. Bu kuralın kullanılması Chrome güncelleştirmelerinin lsass'e erişmesini engeller, ancak Chrome'un güncelleştirilmesini engellemez. Bu aynı zamanda lsass.exegereksiz çağrılar yapmak diğer uygulamalar için de geçerlidir. lsass kuralına erişimi engelleme lsass'a gereksiz çağrıları engeller, ancak uygulamanın çalışmasını engellemez.
Saldırı yüzeyi azaltma altyapısı gereksinimleri
Saldırı yüzeyi azaltma kurallarını uygulamak için birden çok yöntem mümkün olsa da, bu kılavuz,
- Microsoft Entra ID
- Microsoft Intune
- Windows 10 ve Windows 11 cihazları
- Uç Nokta E5 veya Windows E5 lisansları için Microsoft Defender
Saldırı yüzeyi azaltma kurallarından ve raporlamadan tam olarak yararlanmak için Microsoft Defender XDR E5 veya Windows E5 lisansı ve A5 kullanmanızı öneririz. Uç Nokta için Microsoft Defender için en düşük gereksinimler makalesinde daha fazla bilgi edinin.
Not
Saldırı yüzeyi azaltma kurallarını yapılandırmak için birden çok yöntem vardır. Saldırı yüzeyi azaltma kuralları şu kullanılarak yapılandırılabilir: Microsoft Intune, PowerShell, Grup İlkesi, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Altyapı gereksinimleri için listelenenden farklı bir altyapı yapılandırması kullanıyorsanız, diğer yapılandırmaları kullanarak saldırı yüzeyi azaltma kurallarını dağıtma hakkında daha fazla bilgiyi burada bulabilirsiniz: Saldırı yüzeyi azaltma kurallarını etkinleştirme.
Saldırı yüzeyi azaltma kuralları bağımlılıkları
Microsoft Defender Virüsten Koruma birincil virüsten koruma çözümü olarak etkinleştirilmeli ve yapılandırılmalıdır ve aşağıdaki modda olmalıdır:
- Birincil virüsten koruma/kötü amaçlı yazılımdan koruma çözümü
- Durum: Etkin mod
Microsoft Defender Virüsten Koruma aşağıdaki modlardan hiçbirinde olmamalıdır:
- Pasif
- Blok Modunda Uç Nokta algılama ve yanıt (EDR) ile Pasif Mod
- Sınırlı düzenli tarama (LPS)
- Devre Dışı
Daha fazla bilgi için bkz. Bulut tabanlı koruma ve Microsoft Defender Virüsten Koruma .
Saldırı yüzeyi azaltma kurallarını etkinleştirmek için Bulut Koruması (MAPS) etkinleştirilmelidir
Microsoft Defender Virüsten Koruma, Microsoft bulut hizmetleriyle sorunsuz çalışır. Microsoft Gelişmiş Koruma Hizmeti (MAPS) olarak da adlandırılan bu bulut koruma hizmetleri, standart gerçek zamanlı korumayı geliştirir ve muhtemelen en iyi virüsten koruma savunmasını sağlar. Bulut koruması, kötü amaçlı yazılımdan kaynaklanan ihlalleri önleme açısından kritik öneme sahiptir ve saldırı yüzeyi azaltma kurallarının kritik bir bileşenidir. Microsoft Defender Virüsten Koruma'da bulut tabanlı korumayı açın.
Saldırı yüzeyi azaltma kuralları için Microsoft Defender Virüsten Koruma bileşenleri geçerli sürümler olmalıdır
Aşağıdaki Microsoft Defender Virüsten Koruma bileşen sürümleri, en çok kullanılabilir sürümden en eski iki sürümden daha eski olmamalıdır:
- Microsoft Defender Virüsten Koruma Platformu güncelleştirme sürümü - Microsoft Defender Virüsten Koruma platformu aylık olarak güncelleştirilir.
- Microsoft Defender Virüsten Koruma altyapısı sürümü - Microsoft Defender Virüsten Koruma altyapısı aylık olarak güncelleştirilir.
- Microsoft Defender Virüsten Koruma güvenlik bilgileri - Microsoft, en son tehditleri ele almak ve algılama mantığını geliştirmek için Microsoft Defender güvenlik zekasını (tanım ve imza olarak da bilinir) sürekli olarak güncelleştirir.
Microsoft Defender Virüsten Koruma sürümlerini güncel tutmak, saldırı yüzeyi azaltma kurallarının hatalı pozitif sonuçları azaltmaya yardımcı olur ve Microsoft Defender Virüsten Koruma algılama özelliklerini geliştirir. Geçerli sürümler ve farklı Microsoft Defender Virüsten Koruma bileşenlerini güncelleştirme hakkında daha fazla bilgi için Microsoft Defender Virüsten Koruma platformu desteği sayfasını ziyaret edin.
Uyarı
İmzalanmamış, dahili olarak geliştirilmiş uygulama ve betikler yüksek kullanımdaysa bazı kurallar iyi çalışmaz. Kod imzalama zorlanmazsa saldırı yüzeyi azaltma kurallarını dağıtmak daha zordur.
Bu dağıtım koleksiyonundaki diğer makaleler
Test saldırısı yüzeyi azaltma kuralları
Saldırı yüzeyi azaltma kurallarını etkinleştirme
Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Saldırı yüzeyi azaltma kuralları başvurusu
Başvuru
Bloglar
Saldırı yüzeyini azaltma kurallarını kaldırma - 1. Bölüm
Saldırı yüzeyi azaltma kurallarını kaldırma - Bölüm 2
Saldırı yüzeyini azaltma kurallarını kaldırma - Bölüm 3
Saldırı yüzeyini azaltma kurallarını kaldırma - Bölüm 4
Saldırı yüzeyi azaltma kuralları toplama
Saldırı yüzeyini azaltmaya genel bakış
Kötü amaçlı yazılım bulaşmasını önlemek için saldırı yüzeyi azaltma kurallarını kullanma
Saldırı yüzeyi azaltma kurallarını etkinleştirme - alternatif yapılandırmalar
Saldırı yüzeyi azaltma kuralları başvurusu
Saldırı yüzeyini azaltma ile ilgili SSS
Microsoft Defender
Uç Nokta için Microsoft Defender'da yanlış pozitifleri/negatifleri ele alın
Bulut tabanlı koruma ve Microsoft Defender Virüsten Koruma
Microsoft Defender Virüsten Koruma'da bulut tabanlı korumayı açma
Uzantı, ad veya konuma göre dışlamaları yapılandırma ve doğrulama
Microsoft Defender Virüsten Koruma platformu desteği
Microsoft 365 Uygulamaları yönetim merkezinde envantere genel bakış
Windows için dağıtım planı oluşturma
Intune'da dağıtılmış BT için rol tabanlı erişim denetimini (RBAC) ve kapsam etiketlerini kullanmaa
Microsoft Intune'da cihaz profilleri atama
Yönetim siteleri
Microsoft Intune yönetim merkezi
Saldırı yüzeyi azaltma kuralları yapılandırmaları
Saldırı yüzeyi azaltma kuralları dışlamaları
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.