Exploit Guard ilkesi oluşturma ve dağıtma

Uygulama hedefi: Configuration Manager (güncel dalı)

Windows Defender Exploit Guard'ın dört bileşenini de yöneten Configuration Manager ilkeleri yapılandırabilir ve dağıtabilirsiniz. Bu bileşenler şunlardır:

• Saldırı Yüzeyi Azaltma
• Denetimli klasör erişimi
• Exploit Protection
• Ağ koruması

Exploit Guard ilke dağıtımı için uyumluluk verileri Configuration Manager konsolundan kullanılabilir.

Önkoşullar

Yönetilen cihazların 1709 veya sonraki Windows 10 çalıştırılması gerekir; en düşük Windows Server derlemesi yalnızca Server 2019'a kadar sürüm 1809 veya üzeridir. Yapılandırılan bileşenlere ve kurallara bağlı olarak aşağıdaki gereksinimler de karşılanmalıdır:

Exploit Guard ilkesi oluşturma

1. Configuration Manager konsolunda Varlıklar ve uyumluluk>Endpoint Protection'a gidin ve ardından Exploit Guard'ı Windows Defender tıklayın.

2. Giriş sekmesinin Oluştur grubunda, Yararlanma İlkesi Oluştur'a tıklayın.

3. Yapılandırma Öğesi Oluşturma Sihirbazı'nınGenel sayfasında, yapılandırma öğesi için bir ad ve isteğe bağlı bir açıklama belirtin.

4. Ardından, bu ilkeyle yönetmek istediğiniz Exploit Guard bileşenlerini seçin. Seçtiğiniz her bileşen için ek ayrıntıları yapılandırabilirsiniz.

   • Saldırı Yüzeyini Azaltma: Engellemek veya denetlemek istediğiniz Office tehdidini, betik oluşturma tehditlerini ve e-posta tehditlerini yapılandırın. Ayrıca, belirli dosyaları veya klasörleri bu kuralın dışında tutabilirsiniz.
   • Denetimli klasör erişimi: Engelleme veya denetimi yapılandırın ve ardından bu ilkeyi atlayan uygulamalar ekleyin. Varsayılan olarak korunmayan ek klasörler de belirtebilirsiniz.
   • Yararlanma koruması: Sistem işlemlerinin ve uygulamaların açıklarından yararlanmayı azaltmaya yönelik ayarları içeren bir XML dosyası belirtin. Bu ayarları Windows 10 veya sonraki bir cihazdaki Windows Defender Güvenlik Merkezi uygulamasından dışarı aktarabilirsiniz.
   • Ağ koruması: Şüpheli etki alanlarına erişimi engellemek veya denetlemek için ağ korumasını ayarlayın.

5. Daha sonra cihazlara dağıtabileceğiniz ilkeyi oluşturmak için sihirbazı tamamlayın.

   Uyarı

   Yararlanma koruması için XML dosyası makineler arasında aktarılırken güvenli tutulmalıdır. Dosya içeri aktarıldıktan sonra silinmelidir veya güvenli bir konumda tutulmalıdır.

Exploit Guard ilkesi dağıtma

Exploit Guard ilkelerini oluşturduktan sonra, bunları dağıtmak için Exploit Guard İlkesi Dağıtma sihirbazını kullanın. Bunu yapmak için, Configuration Manager konsolunu Varlıklar ve uyumluluk>Endpoint Protection'a açın ve ardından Exploit Guard İlkesiNi Dağıt'a tıklayın.

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Exploit Guard ilke ayarlarını Windows Defender

Saldırı Yüzeyi Azaltma ilkeleri ve seçenekleri

Saldırı Yüzeyi Azaltma, Office, betik ve posta tabanlı kötü amaçlı yazılım tarafından kullanılan vektörleri durduran akıllı kurallarla uygulamalarınızın saldırı yüzeyini azaltabilir. Saldırı Yüzeyi Azaltma ve bunun için kullanılan Olay Kimlikleri hakkında daha fazla bilgi edinin.

• Saldırı Yüzeyi Azaltma kurallarının dışında tutulacak Dosya ve Klasörler - Ayarla'ya tıklayın ve hariç tutulacak dosyaları veya klasörleri belirtin.

• Email Tehditleri:

  • E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim

• Office Tehditleri:

  • Office uygulamasının alt işlemler oluşturmalarını engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim
  • Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim
  • Office uygulamalarının diğer işlemlere kod eklemesini engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim
  • Office makrolarından Win32 API çağrılarını engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim

• Betik Oluşturma Tehditleri:

  • JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim
  • Karartılmış olabilecek betiklerin yürütülmesini engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim

• Fidye yazılımı tehditleri: (Configuration Manager sürüm 1802'den başlayarak)

  • Fidye yazılımlara karşı gelişmiş koruma kullanın.
    • Yapılandırılmadı
    • Engelle
    • Denetim

• İşletim sistemi tehditleri: (Configuration Manager sürüm 1802'den başlayarak)

  • Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınma işlemini engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim
  • Yaygınlık, yaş veya güvenilir liste ölçütlerini karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim

• Dış cihaz tehditleri: (Configuration Manager sürüm 1802'den başlayarak)

  • USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleyin.
    • Yapılandırılmadı
    • Engelle
    • Denetim

Denetimli klasör erişim ilkeleri ve seçenekleri

Dosya şifrelemeli fidye yazılımı kötü amaçlı yazılımları da dahil olmak üzere, önemli sistem klasörlerindeki dosyaların kötü amaçlı ve şüpheli uygulamalar tarafından yapılan değişikliklerden korunmasına yardımcı olur. Daha fazla bilgi için bkz . Denetimli klasör erişimi ve kullandığı Olay Kimlikleri.

• Denetimli klasör erişimini yapılandırma:
  • Engelle
  • Yalnızca disk kesimlerini engelle (Configuration Manager sürüm 1802'den başlayarak)
    • Denetimli klasör erişiminin yalnızca önyükleme kesimleri için etkinleştirilmesine izin verir ve belirli klasörlerin veya varsayılan korumalı klasörlerin korunmasını etkinleştirmez.
  • Denetim
  • Yalnızca disk kesimlerini denetleme (Configuration Manager sürüm 1802'den başlayarak)
    • Denetimli klasör erişiminin yalnızca önyükleme kesimleri için etkinleştirilmesine izin verir ve belirli klasörlerin veya varsayılan korumalı klasörlerin korunmasını etkinleştirmez.
  • Devre dışı
• Denetimli klasör erişimi aracılığıyla uygulamalara izin ver - Ayarla'ya tıklayın ve uygulamaları belirtin.
• Ek korumalı klasörler - Ayarla'ya tıklayın ve ek korumalı klasörler belirtin.

Güvenlik açığından yararlanma koruma ilkeleri

Kuruluşunuzun kullandığı işletim sistemi işlemlerine ve uygulamalarına açıklardan yararlanma azaltma tekniklerini uygular. Bu ayarlar Windows 10 veya sonraki cihazlardaki Windows Defender Güvenlik Merkezi uygulamasından dışarı aktarılabilir. Daha fazla bilgi için bkz . Yararlanma koruması.

• Yararlanma koruması XML'i: - Gözat'a tıklayın ve içeri aktarılacak XML dosyasını belirtin.

  Uyarı

  Yararlanma koruması için XML dosyası makineler arasında aktarılırken güvenli tutulmalıdır. Dosya içeri aktarıldıktan sonra silinmelidir veya güvenli bir konumda tutulmalıdır.

Ağ koruma ilkesi

İnternet tabanlı saldırılardan cihazlarda saldırı yüzeyini en aza indirmeye yardımcı olur. Hizmet, kimlik avı dolandırıcılığı, açıklardan yararlanma ve kötü amaçlı içerik barındırabilecek şüpheli etki alanlarına erişimi kısıtlar. Daha fazla bilgi için bkz . Ağ koruması.

• Ağ korumasını yapılandırma:
  • Engelle
  • Denetim
  • Devre dışı