Microsoft'un Fall Creators Güncellemesi son olarak Windows'a entegre istismar koruması ekler. Daha önce bunu Microsoft’un EMET aracı biçiminde araştırmanız gerekiyordu. Artık Windows Defender'ın bir parçası ve varsayılan olarak etkindir.
Windows Defender’ın Kötüye Kullanım Koruması Nasıl Çalışır?
İLİŞKİLİ: Windows 10'un Fall Creators Güncellemesindeki Yenilikler Şimdi Kullanılabilir
Uzun zamandır tavsiye ediyoruz istismar önleme yazılımı kullanma Microsoft’un Gelişmiş Azaltma Deneyimi Araç Seti (EMET) gibi veya daha kullanıcı dostu Malwarebytes Kötü Amaçlı Yazılımdan Koruma , güçlü bir istismar önleme özelliği içeren (diğer şeylerin yanı sıra). Microsoft’s EMET sistem yöneticileri tarafından yapılandırılabildiği daha büyük ağlarda yaygın olarak kullanılmaktadır, ancak hiçbir zaman varsayılan olarak kurulmamıştır, yapılandırma gerektirir ve ortalama kullanıcılar için kafa karıştırıcı bir arayüze sahiptir.
Tipik antivirüs programları Windows Defender Tehlikeli programları sisteminizde çalıştırmadan önce yakalamak için virüs tanımlarını ve buluşsal yöntemleri kullanın. Kötüye kullanım önleme araçları aslında pek çok popüler saldırı tekniğinin çalışmasını engeller, bu nedenle bu tehlikeli programlar ilk etapta sisteminize girmez. Belirli işletim sistemi korumalarını etkinleştirirler ve yaygın bellek istismar tekniklerini engellerler, böylece kötüye kullanma benzeri davranış tespit edilirse, kötü bir şey olmadan önce süreci sonlandırırlar. Başka bir deyişle, birçok kişiye karşı koruyabilirler. sıfır gün saldırıları yamalanmadan önce.
Bununla birlikte, potansiyel olarak uyumluluk sorunlarına neden olabilirler ve ayarlarının farklı programlar için ince ayarlanması gerekebilir. EMET'in genel olarak sistem yöneticilerinin ayarları değiştirebildiği kurumsal ağlarda kullanılmasının nedeni budur, ev bilgisayarlarında değil.
Windows Defender artık orijinal olarak Microsoft’un EMET’inde bulunan bu korumaların çoğunu içeriyor. Varsayılan olarak herkes için etkindir ve işletim sisteminin bir parçasıdır. Windows Defender, sisteminizde çalışan farklı işlemler için uygun kuralları otomatik olarak yapılandırır. ( Malwarebytes, istismar önleme özelliklerinin hala üstün olduğunu iddia ediyor ve yine de Malwarebytes'i kullanmanızı öneririz, ancak Windows Defender'da da bu yerleşik özelliklerin bir kısmına sahip olması iyi bir şey.)
Windows 10’un Fall Creators Güncellemesine yükseltme yaptıysanız ve EMET artık desteklenmiyorsa bu özellik otomatik olarak etkinleştirilir. EMET, Fall Creators Güncellemesini çalıştıran bilgisayarlara bile yüklenemez. Zaten EMET yüklediyseniz, güncelleme ile kaldırıldı .
Windows 10’un Fall Creators Güncellemesi, aynı zamanda, Kontrollü Klasör Erişimi . Yalnızca güvenilir programların Belgeler ve Resimler gibi kişisel veri klasörlerinizdeki dosyaları değiştirmesine izin vererek kötü amaçlı yazılımları durdurmak için tasarlanmıştır. Her iki özellik de "Windows Defender Exploit Guard" ın bir parçasıdır. Ancak, Kontrollü Klasör Erişimi varsayılan olarak etkinleştirilmemiştir.
Kötüye Kullanım Korumasının Etkin Olduğu Nasıl Onaylanır
Bu özellik, tüm Windows 10 PC'ler için otomatik olarak etkinleştirilir. Bununla birlikte, sistem yöneticilerinin kritik PC'lerde etkinleştirmeden önce herhangi bir soruna neden olmayacağını onaylamak için ne yapacağına ilişkin bir günlüğü izlemelerine olanak tanıyan "Denetim moduna" da geçilebilir.
Bu özelliğin etkinleştirildiğini onaylamak için Windows Defender Güvenlik Merkezi'ni açabilirsiniz. Başlat menünüzü açın, Windows Defender'ı arayın ve Windows Defender Güvenlik Merkezi kısayolunu tıklayın.
Kenar çubuğunda pencere şeklindeki "Uygulama ve tarayıcı kontrolü" simgesini tıklayın. Aşağı kaydırın ve "Kötüye kullanım koruması" bölümünü göreceksiniz. Bu özelliğin etkinleştirildiği konusunda sizi bilgilendirecektir.
Bu bölümü görmüyorsanız, bilgisayarınız muhtemelen henüz Fall Creators Güncellemesine güncellenmemiştir.
Windows Defender’ın Kötüye Kullanım Korumasını Yapılandırma
Uyarı : Muhtemelen bu özelliği yapılandırmak istemezsiniz. Windows Defender, ayarlayabileceğiniz birçok teknik seçenek sunar ve çoğu kişi burada ne yaptıklarını bilemez. Bu özellik, sorunlara neden olmasını önleyecek akıllı varsayılan ayarlarla yapılandırılmıştır ve Microsoft zaman içinde kurallarını güncelleyebilir. Buradaki seçenekler öncelikle sistem yöneticilerinin yazılım için kurallar geliştirmesine ve bunları bir kurumsal ağda kullanıma sunmasına yardımcı olmayı amaçlamaktadır.
Exploit Protection'ı yapılandırmak istiyorsanız, Windows Defender Güvenlik Merkezi> Uygulama ve tarayıcı kontrolüne gidin, aşağı kaydırın ve Exploit koruması altında “Exploit koruma ayarları” na tıklayın.
Burada iki sekme göreceksiniz: Sistem ayarları ve Program ayarları. Sistem ayarları, tüm uygulamalar için kullanılan varsayılan ayarları kontrol ederken, Program ayarları çeşitli programlar için kullanılan bireysel ayarları kontrol eder. Başka bir deyişle, Program ayarları, ayrı programlar için Sistem ayarlarını geçersiz kılabilir. Daha kısıtlayıcı veya daha az kısıtlayıcı olabilirler.
Ayarlarınızı diğer sistemlere aktarabileceğiniz bir .xml dosyası olarak dışa aktarmak için ekranın altında "Ayarları dışa aktar" ı tıklayabilirsiniz. Microsoft'un resmi belgeleri, aşağıdakiler hakkında daha fazla bilgi sunar dağıtım kuralları Grup İlkesi ve PowerShell ile.
Sistem ayarları sekmesinde aşağıdaki seçenekleri göreceksiniz: Kontrol akış koruması (CFG), Veri Yürütme Engellemesi (DEP), Görüntüler için rasgele seçmeye zorlama (Zorunlu ASLR), Bellek ayırmalarını rastgele hale getir (Aşağıdan yukarıya ASLR), İstisna zincirlerini doğrula (SEHOP) ve Yığın bütünlüğünü doğrula. Görüntüler için randomizasyonu zorla (Zorunlu ASLR) seçeneği dışında tümü varsayılan olarak açıktır. Bunun nedeni büyük olasılıkla Zorunlu ASLR'nin bazı programlarda sorunlara neden olmasıdır, bu nedenle çalıştırdığınız programlara bağlı olarak etkinleştirirseniz uyumluluk sorunlarıyla karşılaşabilirsiniz.
Yine, ne yaptığınızı bilmiyorsanız bu seçeneklere gerçekten dokunmamalısınız. Varsayılanlar mantıklıdır ve bir nedenle seçilmiştir.
İLİŞKİLİ: Windows'un 64 bit Sürümü Neden Daha Güvenli?
Arayüz, her seçeneğin ne işe yaradığına dair çok kısa bir özet sunar, ancak daha fazlasını öğrenmek istiyorsanız biraz araştırma yapmanız gerekecektir. Daha önce açıkladık DEP ve ASLR burada ne yapıyor .
"Program ayarları" sekmesine tıkladığınızda, özel ayarlara sahip farklı programların bir listesini göreceksiniz. Buradaki seçenekler, genel sistem ayarlarının geçersiz kılınmasına izin verir. Örneğin, listede "iexplore.exe" yi seçip "Düzenle" yi tıklarsanız, buradaki kuralın, varsayılan olarak sistem genelinde etkinleştirilmemiş olmasına rağmen, Internet Explorer işlemi için Zorunlu ASLR'yi zorla etkinleştirdiğini görürsünüz.
Aşağıdaki gibi işlemler için bu yerleşik kurallarda değişiklik yapmamalısınız runtimebroker.exe ve spoolsv.exe . Microsoft bunları bir nedenden dolayı ekledi.
“Özelleştirilecek program ekle” seçeneğine tıklayarak ayrı programlar için özel kurallar ekleyebilirsiniz. "Program adına göre ekle" veya "Tam dosya yolunu seç" yapabilirsiniz, ancak tam bir dosya yolu belirtmek çok daha kesindir.
Eklendikten sonra, çoğu insan için anlamlı olmayacak uzun bir ayar listesi bulabilirsiniz. Burada bulunan ayarların tam listesi şudur: Rasgele kod koruması (ACG), Düşük bütünlüklü görüntüleri engelle, Uzak görüntüleri engelle, Güvenilmeyen yazı tiplerini engelle, Kod bütünlüğü koruması, Kontrol akışı koruması (CFG), Veri Yürütme Engellemesi (DEP), Uzantı noktalarını devre dışı bırak , Win32k sistem çağrılarını devre dışı bırakın, Alt işlemlere izin verme, Dışa aktarma adresi filtrelemesi (EAF), Görüntüler için rasgele dağıtmayı zorla (Zorunlu ASLR), İçe Aktarma Adresi Filtreleme (IAF), Bellek ayırmalarını rastgele hale getir (Aşağıdan yukarıya ASLR), Yürütmeyi simüle et (SimExec) , API çağrısını doğrula (CallerCheck), İstisna zincirlerini doğrula (SEHOP), Tutamaç kullanımını doğrula, Yığın bütünlüğünü doğrula, Görüntü bağımlılık bütünlüğünü doğrula ve Yığın bütünlüğünü doğrula (StackPivot).
Yine, bir uygulamayı kilitlemek isteyen bir sistem yöneticisi değilseniz ve ne yaptığınızı gerçekten bilmiyorsanız, bu seçeneklere dokunmamalısınız.
Test olarak, iexplore.exe için tüm seçenekleri etkinleştirdik ve başlatmaya çalıştık. Internet Explorer az önce bir hata mesajı gösterdi ve başlatmayı reddetti. Ayarlarımız nedeniyle Internet Explorer'ın çalışmadığını açıklayan bir Windows Defender bildirimi bile görmedik.
Körü körüne uygulamaları kısıtlamaya çalışmayın, aksi takdirde sisteminizde benzer sorunlara neden olursunuz. Seçenekleri değiştirdiğinizi de hatırlamıyorsanız, bunların giderilmesi zor olacaktır.
Hala Windows 7 gibi daha eski bir Windows sürümü kullanıyorsanız, yükleme yaparak koruma özelliklerinden yararlanabilirsiniz. Microsoft’s EMET veya Malwarebytes . Ancak Microsoft, işletmeleri bunun yerine Windows 10'a ve Windows Defender'ın Kötüye Kullanım Korumasına yönlendirmek istediğinden EMET desteği 31 Temmuz 2018'de sona erecek.
