Windows Defender'ın Yeni Exploit Koruması Nasıl Çalışır (ve Nasıl Yapılandırılır)
Microsoft'un Düşme Yaratıcıları Güncellemesi nihayet, Windows'a bütünleşik yararlanma koruması ekler. Bunu daha önce Microsoft'un EMET aracı biçiminde aramak zorundaydınız. Şimdi Windows Defender'ın bir parçası ve varsayılan olarak etkindir.
Windows Defender'ın Exploit Koruması Nasıl Çalışır?
Microsoft'un Gelişmiş Azaltma Deneyimi Araç Seti (EMET) veya güçlü bir suiistimal karşıtı özellik içeren (diğer şeylerin yanı sıra) daha kullanıcı dostu Malwarebytes Anti-Malware gibi, kötüye kullanım önleme yazılımı kullanmanızı uzun süredir tavsiye ediyoruz. Microsoft'un EMET'i, sistem yöneticileri tarafından yapılandırılabildiği daha büyük ağlarda yaygın olarak kullanılır, ancak hiçbir zaman varsayılan olarak kurulmaz, yapılandırma gerektirir ve ortalama kullanıcılar için kafa karıştırıcı bir arayüze sahiptir.
Windows Defender'ın kendisi gibi tipik antivirüs programları, sisteminizde çalışmadan önce tehlikeli programları yakalamak için virüs tanımlarını ve sezgisel taramaları kullanır. Kötüye kullanım önleme araçları aslında pek çok popüler saldırı tekniğinin çalışmasını engelliyor, bu nedenle bu tehlikeli programlar ilk önce sisteminize girmiyor. Bazı işletim sistemi korumalarını mümkün kılarlar ve ortak bellek kullanımı tekniklerini engellerler, böylece istismar benzeri davranışlar tespit edilirse kötü bir şey olmadan önce işlemi sonlandırırlar. Başka bir deyişle, yamalanmadan önce sıfır günlük saldırılara karşı koruyabilirler.
Ancak, potansiyel olarak uyumluluk sorunlarına neden olabilirler ve ayarlarının farklı programlar için ayarlanması gerekebilir. Bu nedenle EMET genellikle sistem yöneticilerinin ayarları değiştirebildiği, ev bilgisayarlarında değil kurumsal ağlarda kullanılıyordu..
Windows Defender şimdi, orijinal olarak Microsoft’un EMET’inde bulunan bu korumaların çoğunu içeriyor. Herkes için varsayılan olarak etkindirler ve işletim sisteminin bir parçasıdır. Windows Defender, sisteminizde çalışan farklı işlemler için uygun kuralları otomatik olarak yapılandırır. (Malwarebytes hala istismar karşıtı özelliklerinin üstün olduğunu iddia ediyor ve Malwarebytes'i kullanmanızı hala tavsiye ediyoruz, ancak Windows Defender'ın da bu yerleşik özelliklerden bazılarına sahip olması iyi.)
Windows 10'un Sonbahar Oluşturucu Güncelleştirmesi'ne yükseltme yaptıysanız bu özellik otomatik olarak etkinleştirilir ve EMET artık desteklenmez. EMET, Fall Creators Güncellemesini çalıştıran bilgisayarlara bile kurulamaz. Zaten EMET kuruluysa, güncelleme ile kaldırılır..
Windows 10'daki Fall Creators Update, ayrıca Kontrollü Klasör Erişimi adlı ilgili bir güvenlik özelliği de içerir. Kötü amaçlı yazılımları, yalnızca güvenilir programların Kişisel Belgeler ve Resimler gibi kişisel veri klasörlerindeki dosyaları değiştirmesine izin vererek durdurmak için tasarlanmıştır. Her iki özellik de “Windows Defender Exploit Guard” ın bir parçasıdır. Ancak, Kontrollü Klasör Erişimi varsayılan olarak etkin değildir.
Exploit Korumasının Etkin Olduğu Nasıl Onaylanır?
Bu özellik tüm Windows 10 PC'ler için otomatik olarak etkinleştirilir. Bununla birlikte, sistem yöneticilerinin kritik PC'lerde etkinleştirmeden önce herhangi bir soruna yol açmayacağını onaylamak için Exploit Protection'ın ne yapacağının bir kaydını izlemesine izin veren “Denetim moduna” da geçirilebilir..
Bu özelliğin etkin olduğunu onaylamak için, Windows Defender Güvenlik Merkezi'ni açabilirsiniz. Başlat menünüzü açın, Windows Defender'ı arayın ve Windows Defender Güvenlik Merkezi kısayolunu tıklayın..
Kenar çubuğundaki pencere şeklindeki “Uygulama ve tarayıcı kontrolü” simgesini tıklayın. Aşağı kaydırın ve “Exploit koruma” bölümünü göreceksiniz. Bu özelliğin etkin olduğu konusunda sizi bilgilendirecektir..
Bu bölümü görmüyorsanız, PC'niz muhtemelen henüz Fall Creators Güncellemesi ile güncellememiştir..
Windows Defender'ın Exploit Koruması Nasıl Yapılandırılır
Uyarı: Muhtemelen bu özelliği yapılandırmak istemiyorsunuz. Windows Defender ayarlayabileceğiniz birçok teknik seçenek sunar ve çoğu insan burada ne yaptığını bilemez. Bu özellik, sorun çıkmasını önleyecek akıllı varsayılan ayarlarla yapılandırılmıştır ve Microsoft zaman içinde kurallarını güncelleyebilir. Buradaki seçenekler öncelikle sistem yöneticilerinin yazılım için kurallar geliştirmelerine ve bunları bir kurumsal ağda kullanıma sunmalarına yardımcı olmak için tasarlandı..
Exploit Protection'ı yapılandırmak istiyorsanız, Windows Defender Güvenlik Merkezi> Uygulama ve tarayıcı kontrolü'ne gidin, aşağı kaydırın ve Exploit koruması altındaki “Exploit koruma ayarları” nı tıklayın.
Burada iki sekme göreceksiniz: Sistem ayarları ve Program ayarları. Sistem ayarları, tüm uygulamalar için kullanılan varsayılan ayarları kontrol ederken, Program ayarları, çeşitli programlar için kullanılan bireysel ayarları kontrol eder. Başka bir deyişle, Program ayarları, her bir program için Sistem ayarlarını geçersiz kılabilir. Daha kısıtlayıcı ya da daha az kısıtlayıcı olabilirler.
Ekranın altında, ayarlarınızı diğer sistemlere aktarabileceğiniz bir .xml dosyası olarak dışa aktarmak için “Ayarları dışa aktar” ı tıklayabilirsiniz. Microsoft'un resmi belgeleri, Grup İlkesi ve PowerShell ile kuralları dağıtma hakkında daha fazla bilgi sunar..
Sistem ayarları sekmesinde, aşağıdaki seçenekleri göreceksiniz: Kontrol akış koruması (CFG), Veri Yürütme Engellemesi (DEP), Görüntüler için rastgele dağıtmayı zorla (Zorunlu ASLR), Bellek ayırmalarını randomize et (Aşağıdan yukarıya ASLR), İstisna zincirlerini doğrula (SEHOP) ve Öbek bütünlüğünü doğrula. Resimler için zorla rasgele zorla (Zorunlu ASLR) seçeneği dışında hepsi varsayılan olarak açıktır. Bu zorunludur çünkü Zorunlu ASLR bazı programlarda sorunlara neden olur; bu nedenle, çalıştırdığınız programlara bağlı olarak etkinleştirirseniz uyumluluk sorunlarıyla karşılaşabilirsiniz..
Yine, ne yaptığınızı bilmiyorsanız gerçekten bu seçeneklere dokunmamalısınız. Varsayılan değerler mantıklıdır ve bir nedenden dolayı seçilir.
Arabirim, her seçeneğin ne yaptığının çok kısa bir özetini sunar, ancak daha fazla bilgi edinmek için biraz araştırma yapmanız gerekir. DEP ve ASLR'nin burada ne yaptığını daha önce açıkladık..
“Program ayarları” sekmesine tıkladığınızda, özel ayarlara sahip farklı programların bir listesini göreceksiniz. Buradaki seçenekler, genel sistem ayarlarının geçersiz kılınmasına izin verir. Örneğin, listede "iexplore.exe" yi seçip "Düzenle" yi tıklarsanız, burada kuralın, sistem genelinde varsayılan olarak etkinleştirilmemiş olsa bile, Internet Explorer işlemi için Zorunlu ASLR'yi zorla etkinleştirdiğini göreceksiniz..
Runtimebroker.exe ve spoolsv.exe gibi işlemler için bu yerleşik kurallara müdahale etmemelisiniz. Microsoft bir nedenden dolayı onları ekledi.
Tek tek programlar için "Özelleştirilecek program ekle" yi tıklayarak özel kurallar ekleyebilirsiniz. “Program adına göre ekle” veya “Tam dosya yolunu seç” seçeneğini belirleyebilirsiniz, ancak tam bir dosya yolu belirtmek çok daha kesindir.
Eklendikten sonra, çoğu insan için anlamlı olmayacak uzun bir ayar listesi bulabilirsiniz. Burada bulunan ayarların tam listesi: Rasgele kod koruyucusu (ACG), Düşük bütünlük resimlerini engelle, Uzaktaki resimleri engelle, Güvenilmeyen yazı tiplerini engelle, Kod bütünlüğü koruyucusu, Kontrol akış koruyucusu (CFG), Veri Yürütme Engellemesi (DEP), Genişletme noktalarını devre dışı bırak , Win32k sistem çağrılarını devre dışı bırakma, Alt işlemlere izin verme, Adres filtrelemeyi dışa aktarma (EAF), Görüntüler için rasgele düzenlemeyi zorla (Zorunlu ASLR), Adres Filtrelemeyi İçe Aktar (IAF), Bellek ayırmalarını randomize et (Aşağıdan ASLR), Simülasyon yürütme (SimExec) , API başlatmayı doğrula (CallerCheck), İstisna zincirlerini doğrula (SEHOP), İşleme kullanımını doğrula, Yığın bütünlüğünü doğrula, Görüntü bağımlılığı bütünlüğünü doğrula ve Yığın bütünlüğünü doğrula (StackPivot).
Bir uygulamayı kilitlemek isteyen bir sistem yöneticisi değilseniz ve ne yaptığınızı gerçekten bilmiyorsanız, yine de bu seçeneklere dokunmamalısınız..
Bir test olarak, iexplore.exe için tüm seçenekleri etkinleştirdik ve başlatmaya çalıştık. Internet Explorer az önce bir hata mesajı gösterdi ve başlatmayı reddetti. Internet Explorer'ın ayarlarımız nedeniyle çalışmadığını açıklayan bir Windows Defender bildirimi bile görmedik.
Sadece uygulamaları kısıtlamaya çalışmayın, yoksa sisteminizde benzer sorunlara neden olursunuz. Seçenekleri de değiştirdiğinizi hatırlamıyorsanız, sorunlarını gidermeniz zor olacaktır..
Hala Windows 7 gibi daha eski bir Windows sürümünü kullanıyorsanız, Microsoft'un EMET veya Malwarebytes uygulamasını yükleyerek koruma özelliklerinden yararlanabilirsiniz. Ancak, EMET desteği 31 Temmuz 2018’de sona erecek, çünkü Microsoft şirketleri Windows 10’a ve bunun yerine Windows Savunucunun Exploit Korumasına itmek istiyor.