Cihazları açıklardan koruyun
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Açıklardan yararlanma koruması, işletim sistemi işlemlerine ve uygulamalarına otomatik olarak birçok kötüye kullanım azaltma tekniği uygular. Windows 10, sürüm 1709, Windows 11 ve Windows Server, sürüm 1803'le başlayarak yararlanma koruması desteklenir.
Açıklardan yararlanma koruması, her zamanki uyarı araştırma senaryolarının bir parçası olarak açıklardan yararlanma koruma olayları ve blokları hakkında ayrıntılı raporlama sağlayan Uç Nokta için Defender ile en iyi şekilde çalışır.
Tek bir cihazda güvenlik açığından yararlanma korumasını etkinleştirebilir ve grup ilkesi kullanarak XML dosyasını aynı anda birden çok cihaza dağıtabilirsiniz.
Cihazda bir azaltma bulunduğunda İşlem Merkezi'nden bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz . Ayrıca, özelliklerin izlediği teknikleri özelleştirmek için kuralları tek tek etkinleştirebilirsiniz.
Güvenlik açığından yararlanma korumasının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu da kullanabilirsiniz.
Gelişmiş Risk Azaltma Deneyimi Araç Seti'ndeki (EMET) özelliklerin çoğu, açıklardan yararlanma korumasına dahil edilir. Aslında, mevcut EMET yapılandırma profillerinizi açıklardan yararlanma korumasına dönüştürebilir ve içeri aktarabilirsiniz. Daha fazla bilgi edinmek için bkz. Yararlanma koruması yapılandırmalarını içeri aktarma, dışarı aktarma ve dağıtma.
Önemli
Şu anda EMET kullanıyorsanız , EMET'in 31 Temmuz 2018'de destek sonuna ulaştığını bilmeniz gerekir. EMET'i Windows 10'da yararlanma korumasıyla değiştirmeyi göz önünde bulundurun.
Uyarı
Bazı güvenlik azaltma teknolojilerinde bazı uygulamalarla uyumluluk sorunları olabilir. Yapılandırmayı bir üretim ortamına veya ağınızın geri kalanına dağıtmadan önce denetim modunu kullanarak tüm hedef kullanım senaryolarında açıklardan yararlanma korumasını test etmelisiniz.
Microsoft Defender portalında açıklardan yararlanma koruması olaylarını gözden geçirme
Uç Nokta için Defender, uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar.
Gelişmiş tehdit avcılığı kullanarak Uç Nokta için Defender verilerini sorgulayabilirsiniz. Denetim modunu kullanıyorsanız, güvenlik açığından yararlanma koruma ayarlarının ortamınızı nasıl etkileyebileceğini görmek için gelişmiş avcılığı kullanabilirsiniz.
Aşağıda örnek bir sorgu verilmişti:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Windows Olay Görüntüleyicisi'da açıklardan yararlanma koruma olaylarını gözden geçirme
Bir uygulamadan yararlanma koruma blokları (veya denetimler) olduğunda oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:
| Sağlayıcı/kaynak | Olay Kimliği | Açıklama |
|---|---|---|
| Security-Mitigations | 1 | ACG denetimi |
| Security-Mitigations | 2 | ACG zorlama |
| Security-Mitigations | 3 | Alt işlemlerin denetimine izin verme |
| Security-Mitigations | 4 | Alt işlemler bloğuna izin verme |
| Security-Mitigations | 5 | Düşük bütünlük görüntülerin denetimini engelle |
| Security-Mitigations | 6 | Düşük bütünlükte görüntüleri engelleme bloğu |
| Security-Mitigations | 7 | Uzak görüntülerin denetimini engelle |
| Security-Mitigations | 8 | Uzak görüntüleri engelle bloğu |
| Security-Mitigations | 9 | win32k sistem çağrıları denetimini devre dışı bırak |
| Security-Mitigations | 10 | win32k sistem çağrıları bloğunu devre dışı bırakma |
| Security-Mitigations | 11 | Kod bütünlüğü koruyucusu denetimi |
| Security-Mitigations | 12 | Kod bütünlüğü koruma bloğu |
| Security-Mitigations | 13 | EAF denetimi |
| Security-Mitigations | 14 | EAF zorlama |
| Security-Mitigations | 15 | EAF+ denetimi |
| Security-Mitigations | 16 | EAF+ zorlama |
| Security-Mitigations | 17 | IAF denetimi |
| Security-Mitigations | 18 | IAF zorlama |
| Security-Mitigations | 19 | ROP StackPivot denetimi |
| Security-Mitigations | 20 | ROP StackPivot zorlama |
| Security-Mitigations | 21 | ROP Çağıranı Denetimi denetleme |
| Security-Mitigations | 22 | ROP CallerCheck zorlama |
| Security-Mitigations | 23 | ROP SimExec denetimi |
| Security-Mitigations | 24 | ROP SimExec zorlama |
| WER-Diagnostics | 5 | CFG Bloğu |
| Win32K | 260 | Güvenilmeyen Yazı Tipi |
Azaltma karşılaştırması
EMET'te sağlanan azaltmalar, Windows 10 (sürüm 1709'dan başlayarak), Windows 11 ve Windows Server'da (sürüm 1803'den başlayarak) Exploit koruması altında yerel olarak bulunur.
Bu bölümdeki tabloda, EMET ile açıklardan yararlanma koruması arasındaki yerel risk azaltmaların kullanılabilirliği ve desteği gösterilir.
| Risk azaltma | Açık koruması altında kullanılabilir | EMET'te kullanılabilir |
|---|---|---|
| İsteğe bağlı kod koruması (ACG) | Evet | Evet "Bellek Koruma Denetimi" olarak |
| Uzak görüntüleri engelle | Evet | Evet "Kitaplık Denetimi Yükle" olarak |
| Güvenilmeyen yazı tiplerini engelle | Evet | Evet |
| Veri Yürütme Engellemesi (DEP) | Evet | Evet |
| Dışarı aktarma adresi filtrelemesi (EAF) | Evet | Evet |
| Görüntüleri rastgele seçmeye zorla (Zorunlu ASLR) | Evet | Evet |
| NullPage Güvenlik Azaltma | Evet Windows 10 ve Windows 11 yerel olarak dahil Daha fazla bilgi için bkz. Windows 10 güvenlik özelliklerini kullanarak tehditleri azaltma |
Evet |
| Bellek ayırmalarını rastgele seç (Aşağıdan Yukarı ASLR) | Evet | Evet |
| Yürütme simülasyonu (SimExec) | Evet | Evet |
| API çağrısını doğrula (CallerCheck) | Evet | Evet |
| Özel durum zincirlerini doğrula (SEHOP) | Evet | Evet |
| Yığın bütünlüğünü doğrula (StackPivot) | Evet | Evet |
| Sertifika güveni (yapılandırılabilir sertifika sabitleme) | Windows 10 ve Windows 11 kurumsal sertifika sabitleme sağlar | Evet |
| Yığın spreyi ayırma | Daha yeni tarayıcı tabanlı açıklara karşı etkisiz; daha yeni risk azaltmalar daha iyi koruma sağlar Daha fazla bilgi için bkz. Windows 10 güvenlik özelliklerini kullanarak tehditleri azaltma |
Evet |
| Bütünlük düzeyi düşük görüntüleri engelle | Evet | Hayır |
| Kod bütünlüğü koruması | Evet | Hayır |
| Uzantı noktalarını devre dışı bırak | Evet | Hayır |
| Win32k sistem çağrılarını devre dışı bırak | Evet | Hayır |
| Alt işlemlere izin verme | Evet | Hayır |
| İçeri aktarma adresi filtrelemesi (IAF) | Evet | Hayır |
| Tutamaç kullanımını doğrula | Evet | Hayır |
| Yığın bütünlüğünü doğrula | Evet | Hayır |
| Görüntü bağımlılığı bütünlüğünü doğrula | Evet | Hayır |
Not
EMET'te kullanılabilen Gelişmiş ROP azaltmaları, bir işlem için ROP önleme azaltmalarını etkinleştirmenin bir parçası olarak diğer EMET gelişmiş ayarlarının varsayılan olarak etkinleştirildiği Windows 10 ve Windows 11 ACG tarafından değiştirilir. Windows 10 mevcut EMET teknolojisini nasıl kullandığı hakkında daha fazla bilgi için bkz. Windows 10 güvenlik özelliklerini kullanarak tehditleri azaltma.
Ayrıca bkz.
- Açıklardan yararlanma koruması risk azaltmalarını yapılandırma ve denetleme
- Açıklardan yararlanma koruması sorunlarını giderme
- ASR kuralı dağıtım ve algılamalarını iyileştirme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.