Exploit Protection'i etkinleştirin

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• Uç Nokta için Microsoft Defender Planı 1
• Microsoft Defender XDR

Açıklardan yararlanma koruması, cihazlara bulaşmak ve yayılmak için açıklardan yararlanan kötü amaçlı yazılımlara karşı korunmaya yardımcı olur. Açıklardan yararlanma koruması, işletim sistemine veya tek tek uygulamalara uygulanabilecek birçok risk azaltmadan oluşur.

Gelişmiş Risk Azaltma Deneyimi Araç Seti'nin (EMET) birçok özelliği, açıklardan yararlanma korumasına dahildir.

Aşağıdaki yöntemlerden herhangi birini kullanarak her bir azaltmayı ayrı ayrı etkinleştirebilirsiniz:

• Windows Güvenliği uygulaması
• Microsoft Intune
• Mobil Cihaz Yönetimi (MDM)
• Microsoft Configuration Manager
• Grup İlkesi
• PowerShell

Açıklardan yararlanma koruması, Windows 10 ve Windows 11'de varsayılan olarak yapılandırılmıştır. Her risk azaltmayı açık, kapalı veya varsayılan değerine ayarlayabilirsiniz. Bazı risk azaltmaların daha fazla seçeneği vardır. Bu ayarları bir XML dosyası olarak dışarı aktarabilir ve bunları diğer cihazlara dağıtabilirsiniz.

Risk azaltmalarını denetim moduna da ayarlayabilirsiniz. Denetim modu, cihazın normal kullanımını etkilemeden risk azaltmalarının nasıl çalışacağını test etmenize (ve olayları incelemenize) olanak tanır.

Windows Güvenliği uygulaması

1. Görev çubuğunuzdaki kalkan simgesini seçerek veya Başlat menüsünde Güvenliği için arama yaparak Windows Güvenliği uygulamasını açın.

2. Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması ayarları öğesini seçin.

3. Program ayarlarına gidin ve risk azaltmalarını uygulamak istediğiniz uygulamayı seçin.

   • Yapılandırmak istediğiniz uygulama zaten listelenmişse uygulamayı seçin ve Düzenle öğesini seçin.
   • Uygulama listelenmiyorsa, listenin üst kısmında Özelleştirmek için program ekle'yi seçin ve ardından uygulamayı nasıl eklemek istediğinizi seçin.
   • Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısıyla birlikte bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
   • İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.

4. Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim'in seçilmesi, azaltmayı yalnızca denetim modunda uygular. İşlemi veya uygulamayı yeniden başlatmanız veya Windows'un yeniden başlatılması gerekiyorsa size bildirilir.

5. Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için 3-4 adımlarını tekrarlayın.

6. Sistem ayarları bölümünde, yapılandırmak istediğiniz risk azaltmasını bulun ve ardından aşağıdaki ayarlardan birini belirtin. Program ayarları bölümünde tek tek yapılandırılmamış uygulamalar, burada yapılandırılan ayarları kullanır.

   • Varsayılan olarak açık: Risk azaltma, uygulamaya özel Program ayarları bölümünde bu risk azaltma ayarına sahip olmayan uygulamalar için etkindir.
   • Varsayılan olarak kapalı: Risk azaltma, uygulamaya özel Program ayarları bölümünde bu risk azaltma ayarına sahip olmayan uygulamalar için devre dışıdır.
   • Varsayılanı kullan: Risk azaltma, Windows 10 veya Windows 11 yüklemesi tarafından ayarlanan varsayılan yapılandırmaya bağlı olarak etkinleştirilir veya devre dışı bırakılır; varsayılan değer (Açık veya Kapalı) her zaman her azaltma için Varsayılan etiketi kullan öğesinin yanında belirtilir

7. Yapılandırmak istediğiniz tüm sistem düzeyinde risk azaltmaları için 6. adımı tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.

Program ayarları bölümüne bir uygulama ekler ve burada tek tek risk azaltma ayarlarını yapılandırırsanız, bunlar Sistem ayarları bölümünde belirtilen aynı risk azaltmaları için yapılandırmanın üstünde kabul edilir. Aşağıdaki matris ve örnekler, varsayılanların nasıl çalıştığını göstermeye yardımcı olur:

Örnek 1: Mikael, sistem ayarları bölümünde Veri Yürütme Engellemesi'ni varsayılan olarak kapalı olacak şekilde yapılandırır

Mikael, test.exe uygulamasını Program ayarları bölümüne ekler. Bu uygulamanın seçeneklerinde, Veri Yürütme Engellemesi (DEP) altında, Mikael Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirir ve anahtarı Açık olarak ayarlar. Program ayarları bölümünde listelenen başka uygulama yok.

Sonuç olarak, DEP yalnızca test.exe için etkindir. Diğer tüm uygulamalarda DEP uygulanmaz.

Örnek 2: Josie, sistem ayarlarında Veri Yürütme Engellemesi'ni varsayılan olarak kapalı olacak şekilde yapılandırır

Josie, test.exe uygulamasını Program ayarları bölümüne ekler. Bu uygulamanın seçeneklerinde, Veri Yürütme Engellemesi (DEP) altında, Josie Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirir ve anahtarı Açık olarak ayarlar.

Josie ayrıca, miles.exe uygulamasını Program ayarları bölümüne ekler ve Denetim akışı korumasını (CFG)Açık olarak yapılandırır. Josie, bu uygulama için DEP veya diğer risk azaltmaları için Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirmez.

Sonuç olarak, test.exe için DEP etkindir. DEP, miles.exedahil olmak üzere başka hiçbir uygulama için etkinleştirilmez. CFG, miles.exe için etkinleştirilir.

1. Görev çubuğundaki kalkan simgesini seçerek veya başlat menüsünde Windows Güvenliği için arama yaparak Windows Güvenliği uygulamasını açın.

2. Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması öğesini seçin.

3. Program ayarlarına gidin ve risk azaltmalarını uygulamak istediğiniz uygulamayı seçin.
   

   • Yapılandırmak istediğiniz uygulama zaten listelenmişse uygulamayı seçin ve Düzenle öğesini seçin.
   • Uygulama listelenmiyorsa, listenin üst kısmında Özelleştirmek için program ekle'yi seçin ve ardından uygulamayı nasıl eklemek istediğinizi seçin.
     
     • Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısı olan bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
     • İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.

4. Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim'in seçilmesi, azaltmayı yalnızca denetim modunda uygular. İşlemi veya uygulamayı yeniden başlatmanız veya Windows'un yeniden başlatılması gerekiyorsa size bildirilir.

5. Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için 3-4 adımlarını tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.

Intune

1. Azure portalında oturum açın ve Intune'u açın.

2. Cihaz yapılandırması>Yapılandırma Profilleri>Profil oluştur'a gidin.

3. Profili adlandırın, Windows 10 ve üzeri'ni seçin, Profil türü için şablonları seçin ve şablon adı altında Uç nokta koruması'nı seçin.

   

4. Windows Defender Exploit Guard Exploit Protection'ı>yapılandır'ı> seçin.

5. Açıklardan yararlanma koruması ayarlarına sahip bir XML dosyasını karşıya yükleyin:

   

6. Her açık dikey pencereyi kaydetmek için Tamam'ı ve Oluştur'u seçin.

7. Profil Atamaları sekmesini seçin, ilkeyi Tüm Kullanıcılar ve Tüm Cihazlar'a atayın ve Kaydet'i seçin.

MDM

./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings yapılandırma hizmeti sağlayıcısını (CSP) açıklardan yararlanma koruması risk azaltmalarını etkinleştirmek veya devre dışı bırakmak ya da denetim modunu kullanmak için kullanın.

Microsoft Configuration Manager

Uç Nokta Güvenliği

1. Microsoft Configuration Manager'da Endpoint Security>Attack yüzey azaltma bölümüne gidin.

2. İlke >PlatformuOluştur'useçin ve Profil için Exploit Protection'ı seçin. Ardından Oluştur’u seçin.

3. Bir ad ve açıklama belirtin ve İleri'yi seçin.

4. XML Dosyası Seç'i seçin ve açıklardan yararlanma koruması XML dosyasının konumuna göz atın. Dosyayı seçin ve İleri'yi seçin.

5. Gerekirse Kapsam etiketlerini ve Atamaları yapılandırın.

6. Gözden geçir + oluştur altında, yapılandırma ayarlarınızı gözden geçirin ve ardından Oluştur'u seçin.

Varlıklar ve Uyumluluk

1. Microsoft Configuration Manager'da Varlıklar ve Uyumluluk>Uç Noktası Koruması>Windows Defender Exploit Guard'a gidin.

2. Giriş>Oluşturma Exploit Guard İlkesi'ni seçin.

3. Bir ad ve açıklama belirtin, Açıklardan yararlanma koruması öğesini ve İleri öğesini seçin.

4. Açıklardan yararlanma koruması XML dosyasının konumuna göz atın ve İleri'yi seçin.

5. Ayarları gözden geçirin ve ilkeyi oluşturmak için İleri'yi seçin.

6. İlke oluşturulduktan sonra Kapat'ı seçin.

Grup İlkesi

1. Grup İlkesi yönetim cihazınızda, Grup İlkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz Grup İlkesi Nesnesine sağ tıklayın ve Düzenle'ye tıklayın.

2. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.

3. Ağacı Windows bileşenleri>Windows Defender Exploit GuardExploit Protection>> olarak genişletinOrtak bir açıktan yararlanma koruma ayarları kümesi kullanın.

4. Etkin'i seçin, XML dosyasının konumunu yazın ve Tamam'ı seçin.

PowerShell

PowerShell fiili Get veya Set, cmdlet ProcessMitigation ile kullanılabilir. Get kullanmak, cihazda etkinleştirilen tüm risk azaltmalarının geçerli yapılandırma durumunu listeler - yalnızca bu uygulama için risk azaltmaları görmek için -Name cmdlet'ini ve uygulama exe'sini ekleyin:

Get-ProcessMitigation -Name processName.exe

Her bir risk azaltmayı aşağıdaki biçimde yapılandırmak için Set kullanın:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Konum:

• <Kapsam>:
  • Risk azaltmaların belirli bir uygulamaya uygulanması gerektiğini belirtmek için -Name. Bu bayraktan sonra uygulamanın yürütülebilir dosyasını belirtin.
    • Risk azaltmanın sistem düzeyinde uygulanması gerektiğini belirtmek için -System
• <Eylem>:
  • Risk azaltmayı etkinleştirmek için -Enable
  • Risk azaltmayı devre dışı bırakmak için -Disable
• < >Azaltma:
  • Tüm alt seçeneklerle birlikte risk azaltma cmdlet'i (boşluklarla çevrili). Her risk azaltma bir virgülle ayrılır.

Örneğin, ATL thunk öykünmesi ile Veri Yürütme Engellemesi (DEP) risk azaltmayı etkinleştirmek ve C:\Apps\LOB\tests klasöründeki testing.exe adlı yürütülebilir dosya için ve bu yürütülebilir dosyanın alt işlemler oluşturmasını önlemek için aşağıdaki komutu kullanırsınız:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

DEP'yi sistem düzeyinde uygulamak istiyorsanız, aşağıdaki komutu kullanırsınız:

Set-Processmitigation -System -Enable DEP

Risk azaltmalarını devre dışı bırakmak için -Enable yerine -Disable koyabilirsiniz. Ancak, uygulama düzeyindeki risk azaltmalar için bu eylem, risk azaltmayı yalnızca bu uygulama için devre dışı bırakılmaya zorlar.

Risk azaltmayı sistem varsayılanı olarak geri yüklemeniz gerekiyorsa, aşağıdaki örnekte olduğu gibi -Remove cmdlet'ini de eklemeniz gerekir:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Aşağıdaki tabloda, -Enable veya -Disable cmdlet parametreleriyle kullanılacak bağımsız Risk azaltmaları (ve varsa Denetimler) listelenmektedir.

[1]: Bir işlem için DLL'ler için EAF modüllerini etkinleştirmek için aşağıdaki biçimi kullanın:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Bu risk azaltma denetimi PowerShell cmdlet'leri aracılığıyla kullanılamaz.

Bildirimi özelleştirme

Kural tetiklendiğinde ve bir uygulama veya dosya engellendiğinde bildirimi özelleştirme hakkında bilgi için bkz. Windows Güvenliği.

Ayrıca bkz.

• Açıklardan yararlanma korumasını değerlendirme
• Açıklardan yararlanma koruması risk azaltmalarını yapılandırma ve denetleme
• Exploit Protection yapılandırmalarını içeri aktarma, dışarı aktarma ve dağıtma