Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış

Şunlar için geçerlidir:

Saldırı yüzeyleri, kuruluşunuzun siber tehditlere ve saldırılara karşı savunmasız olduğu tüm yerlerdir. Saldırı yüzeyinizi azaltmak, kuruluşunuzun cihazlarını ve ağını korumak anlamına gelir ve bu da saldırganlara saldırı için daha az yol bırakır. Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarının yapılandırılması yardımcı olabilir.

Saldırı yüzeyi azaltma kuralları aşağıdakiler gibi belirli yazılım davranışlarını hedefler:

  • Dosyaları indirmeye veya çalıştırmaya çalışan yürütülebilir dosyaları ve betikleri başlatma
  • Karartılmış veya başka bir şekilde şüpheli betikleri çalıştırma
  • Uygulamaların genellikle normal gündelik çalışma sırasında gerçekleşmeyen davranışlar

Farklı saldırı yüzeylerini azaltarak saldırıların gerçekleşmesini önlemeye yardımcı olabilirsiniz.

Bu dağıtım koleksiyonu, saldırı yüzeyi azaltma kurallarının aşağıdaki yönleri hakkında bilgi sağlar:

  • saldırı yüzeyi azaltma kuralları gereksinimleri
  • saldırı yüzeyi azaltma kuralları dağıtımı için planlama
  • test saldırısı yüzeyi azaltma kuralları
  • saldırı yüzeyi azaltma kurallarını yapılandırma ve etkinleştirme
  • saldırı yüzeyi azaltma kuralları en iyi yöntemleri
  • saldırı yüzeyi azaltma kuralları gelişmiş avcılık
  • saldırı yüzeyi azaltma kuralları olay görüntüleyicisi

Saldırı yüzeyi azaltma kuralları dağıtım adımları

İş kolu operasyonlarınızı etkileyebilecek yeni ve geniş ölçekli uygulamalarda olduğu gibi planlama ve uygulama işlemlerinizde de yöntemli olmak önemlidir. Benzersiz müşteri iş akışlarınız için en iyi şekilde çalıştığından emin olmak için saldırı yüzeyi azaltma kurallarının dikkatli bir şekilde planlanması ve dağıtımı gereklidir. Ortamınızda çalışmak için saldırı yüzeyi azaltma kurallarını dikkatlice planlamanız, test etmeniz, uygulamanız ve çalışır hale getirmeniz gerekir.

Uç nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarını planlayın, saldırı yüzeyi azaltma kurallarını test edin, Saldırı yüzeyi azaltma kurallarını etkinleştirin, saldırı yüzeyi azaltma kurallarını koruyun.

Önemli dağıtım öncesi uyarı

Aşağıdaki üç standart koruma kuralını etkinleştirmenizi öneririz. saldırı yüzeyi azaltma kurallarının iki türü hakkında önemli ayrıntılar için bkz. Türe göre saldırı yüzeyi azaltma kuralları.

Genellikle, standart koruma kurallarını son kullanıcı üzerinde en az farkedilebilir etkiyle etkinleştirebilirsiniz. Standart koruma kurallarını etkinleştirmek için kolay bir yöntem için bkz . Basitleştirilmiş standart koruma seçeneği.

Not

Microsoft HIPS olmayan bir kullanan ve Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarına geçiş yapan müşteriler için Microsoft, Denetim modundan Blok moduna geçiş yaptığınız ana kadar saldırı yüzeyi azaltma kuralları dağıtımının yanı sıra HIPS çözümünü çalıştırmayı önerir. Dışlama önerileri için Microsoft dışı virüsten koruma sağlayıcınıza ulaşmanız gerektiğini unutmayın.

Saldırı yüzeyi azaltma kurallarını test etme veya etkinleştirmeye başlamadan önce

İlk hazırlığınız sırasında, yerleştirdiğiniz sistemlerin özelliklerini anlamak çok önemlidir. Özellikleri anlamak, kuruluşunuzu korumak için hangi saldırı yüzeyi azaltma kurallarının en önemli olduğunu belirlemenize yardımcı olur. Buna ek olarak, saldırı yüzeyi azaltma dağıtımınızın hazırlanmasında ilgilenmeniz gereken çeşitli önkoşullar vardır.

Önemli

Bu kılavuz, saldırı yüzeyi azaltma kurallarını yapılandırmaya karar vermenize yardımcı olacak görüntüler ve örnekler sağlar; bu görüntüler ve örnekler ortamınız için en iyi yapılandırma seçeneklerini yansıtmayabilir.

Başlamadan önce, temel bilgiler için Saldırı yüzeyi azaltmaya genel bakış ve Saldırı yüzeyi azaltma kurallarını kaldırma - Bölüm 1'i gözden geçirin. Kapsama alanlarını ve olası etkiyi anlamak için, mevcut saldırı yüzeyi azaltma kuralları kümesini tanıyın; bkz. Saldırı yüzeyi azaltma kuralları başvurusu. Saldırı yüzeyi azaltma kuralları kümesi hakkında bilgi sahibi olurken kural başına GUID eşlemelerini not edin; bkz . GUID matrisine saldırı yüzeyi azaltma kuralı.

Saldırı yüzeyi azaltma kuralları, Uç Nokta için Microsoft Defender'daki saldırı yüzeyi azaltma özelliklerinin yalnızca bir özelliğidir. Bu belge, insan tarafından çalıştırılan fidye yazılımı ve diğer tehditler gibi gelişmiş tehditleri durdurmak için saldırı yüzeyi azaltma kurallarını etkili bir şekilde dağıtma konusunda daha ayrıntılı bilgi sağlar.

Kategoriye göre saldırı yüzeyi azaltma kuralları listesi

Aşağıdaki tabloda, kategoriye göre saldırı yüzeyi azaltma kuralları gösterilmektedir:

Çok biçimli tehditler Yanal hareket & kimlik bilgisi hırsızlığı Üretkenlik uygulamaları kuralları E-posta kuralları Betik kuralları Çeşitli kurallar
Bir yaygınlık (1.000 makine), yaş veya güvenilir liste ölçütünü karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleyin PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme Karartılmış JS/VBS/PS/makro kodunu engelleme Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engellendi [1]
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe)[2] kimlik bilgilerinin çalınmalarını engelle Office uygulamalarının alt işlemler oluşturmalarını engelleme Yalnızca Office iletişim uygulamalarının alt işlemler oluşturmalarını engelle JS/VBS'nin indirilen yürütülebilir içeriği başlatmasını engelleme
Fidye yazılımına karşı gelişmiş koruma kullanma WMI olay aboneliği aracılığıyla kalıcılığı engelleme Office uygulamalarının diğer işlemlere kod eklemesini engelleme Office iletişim uygulamalarının alt işlemler oluşturmalarını engelleme
Adobe Reader'ın alt işlemler oluşturmalarını engelleme

(1) Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engellendi artık Endpoint Security>Attack Surface Reduction altında kullanılabilir.

(2) Bazı saldırı yüzeyi azaltma kuralları önemli miktarda gürültü oluşturur, ancak işlevselliği engellemez. Örneğin, Chrome'ı güncelleştiriyorsanız Chrome lsass.exeerişir; parolalar cihazdaki lsass içinde depolanır. Ancak, Chromelsass.exe yerel cihaza erişmiyor olmalıdır. Lsass'e erişimi engellemek için kuralı etkinleştirirseniz birçok olay görürsünüz. Yazılım güncelleştirme işleminin lsass.exe erişmemesi gerektiğinden bu olaylar iyi olaylardır. Bu kuralın kullanılması Chrome güncelleştirmelerinin lsass'e erişmesini engeller, ancak Chrome'un güncelleştirilmesini engellemez. Bu aynı zamanda lsass.exegereksiz çağrılar yapmak diğer uygulamalar için de geçerlidir. lsass kuralına erişimi engelleme lsass'a gereksiz çağrıları engeller, ancak uygulamanın çalışmasını engellemez.

Saldırı yüzeyi azaltma altyapısı gereksinimleri

Saldırı yüzeyi azaltma kurallarını uygulamak için birden çok yöntem mümkün olsa da, bu kılavuz,

  • Microsoft Entra ID
  • Microsoft Intune
  • Windows 10 ve Windows 11 cihazları
  • Uç Nokta E5 veya Windows E5 lisansları için Microsoft Defender

Saldırı yüzeyi azaltma kurallarından ve raporlamadan tam olarak yararlanmak için Microsoft Defender XDR E5 veya Windows E5 lisansı ve A5 kullanmanızı öneririz. Uç Nokta için Microsoft Defender için en düşük gereksinimler makalesinde daha fazla bilgi edinin.

Not

Saldırı yüzeyi azaltma kurallarını yapılandırmak için birden çok yöntem vardır. Saldırı yüzeyi azaltma kuralları şu kullanılarak yapılandırılabilir: Microsoft Intune, PowerShell, Grup İlkesi, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Altyapı gereksinimleri için listelenenden farklı bir altyapı yapılandırması kullanıyorsanız, diğer yapılandırmaları kullanarak saldırı yüzeyi azaltma kurallarını dağıtma hakkında daha fazla bilgiyi burada bulabilirsiniz: Saldırı yüzeyi azaltma kurallarını etkinleştirme.

Saldırı yüzeyi azaltma kuralları bağımlılıkları

Microsoft Defender Virüsten Koruma birincil virüsten koruma çözümü olarak etkinleştirilmeli ve yapılandırılmalıdır ve aşağıdaki modda olmalıdır:

  • Birincil virüsten koruma/kötü amaçlı yazılımdan koruma çözümü
  • Durum: Etkin mod

Microsoft Defender Virüsten Koruma aşağıdaki modlardan hiçbirinde olmamalıdır:

  • Pasif
  • Blok Modunda Uç Nokta algılama ve yanıt (EDR) ile Pasif Mod
  • Sınırlı düzenli tarama (LPS)
  • Devre Dışı

Daha fazla bilgi için bkz. Bulut tabanlı koruma ve Microsoft Defender Virüsten Koruma .

Saldırı yüzeyi azaltma kurallarını etkinleştirmek için Bulut Koruması (MAPS) etkinleştirilmelidir

Microsoft Defender Virüsten Koruma, Microsoft bulut hizmetleriyle sorunsuz çalışır. Microsoft Gelişmiş Koruma Hizmeti (MAPS) olarak da adlandırılan bu bulut koruma hizmetleri, standart gerçek zamanlı korumayı geliştirir ve muhtemelen en iyi virüsten koruma savunmasını sağlar. Bulut koruması, kötü amaçlı yazılımdan kaynaklanan ihlalleri önleme açısından kritik öneme sahiptir ve saldırı yüzeyi azaltma kurallarının kritik bir bileşenidir. Microsoft Defender Virüsten Koruma'da bulut tabanlı korumayı açın.

Saldırı yüzeyi azaltma kuralları için Microsoft Defender Virüsten Koruma bileşenleri geçerli sürümler olmalıdır

Aşağıdaki Microsoft Defender Virüsten Koruma bileşen sürümleri, en çok kullanılabilir sürümden en eski iki sürümden daha eski olmamalıdır:

  • Microsoft Defender Virüsten Koruma Platformu güncelleştirme sürümü - Microsoft Defender Virüsten Koruma platformu aylık olarak güncelleştirilir.
  • Microsoft Defender Virüsten Koruma altyapısı sürümü - Microsoft Defender Virüsten Koruma altyapısı aylık olarak güncelleştirilir.
  • Microsoft Defender Virüsten Koruma güvenlik bilgileri - Microsoft, en son tehditleri ele almak ve algılama mantığını geliştirmek için Microsoft Defender güvenlik zekasını (tanım ve imza olarak da bilinir) sürekli olarak güncelleştirir.

Microsoft Defender Virüsten Koruma sürümlerini güncel tutmak, saldırı yüzeyi azaltma kurallarının hatalı pozitif sonuçları azaltmaya yardımcı olur ve Microsoft Defender Virüsten Koruma algılama özelliklerini geliştirir. Geçerli sürümler ve farklı Microsoft Defender Virüsten Koruma bileşenlerini güncelleştirme hakkında daha fazla bilgi için Microsoft Defender Virüsten Koruma platformu desteği sayfasını ziyaret edin.

Uyarı

İmzalanmamış, dahili olarak geliştirilmiş uygulama ve betikler yüksek kullanımdaysa bazı kurallar iyi çalışmaz. Kod imzalama zorlanmazsa saldırı yüzeyi azaltma kurallarını dağıtmak daha zordur.

Test saldırısı yüzeyi azaltma kuralları

Saldırı yüzeyi azaltma kurallarını etkinleştirme

Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme

Saldırı yüzeyi azaltma kuralları başvurusu

Başvuru

Bloglar

Saldırı yüzeyini azaltma kurallarını kaldırma - 1. Bölüm

Saldırı yüzeyi azaltma kurallarını kaldırma - Bölüm 2

Saldırı yüzeyini azaltma kurallarını kaldırma - Bölüm 3

Saldırı yüzeyini azaltma kurallarını kaldırma - Bölüm 4

Saldırı yüzeyi azaltma kuralları toplama

Saldırı yüzeyini azaltmaya genel bakış

Kötü amaçlı yazılım bulaşmasını önlemek için saldırı yüzeyi azaltma kurallarını kullanma

Saldırı yüzeyi azaltma kurallarını etkinleştirme - alternatif yapılandırmalar

Saldırı yüzeyi azaltma kuralları başvurusu

Saldırı yüzeyini azaltma ile ilgili SSS

Microsoft Defender

Uç Nokta için Microsoft Defender'da yanlış pozitifleri/negatifleri ele alın

Bulut tabanlı koruma ve Microsoft Defender Virüsten Koruma

Microsoft Defender Virüsten Koruma'da bulut tabanlı korumayı açma

Uzantı, ad veya konuma göre dışlamaları yapılandırma ve doğrulama

Microsoft Defender Virüsten Koruma platformu desteği

Microsoft 365 Uygulamaları yönetim merkezinde envantere genel bakış

Windows için dağıtım planı oluşturma

Intune'da dağıtılmış BT için rol tabanlı erişim denetimini (RBAC) ve kapsam etiketlerini kullanmaa

Microsoft Intune'da cihaz profilleri atama

Yönetim siteleri

Microsoft Intune yönetim merkezi

Saldırı yüzeyini azaltma

Saldırı yüzeyi azaltma kuralları yapılandırmaları

Saldırı yüzeyi azaltma kuralları dışlamaları

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.