4Sep
Microsoft'un Sonbahar Yaratıcıları Güncellemesi nihayet Windows'a entegre exploit koruması ekledi. Daha önce bunu Microsoft'un EMET aracı şeklinde aramıştınız. Artık Windows Defender'ın bir parçası ve varsayılan olarak etkinleştirildi.
Windows Defender'ın Exploit Koruması Nasıl Çalışıyor
Microsoft'un Geliştirilmiş Zararmayla Deneyim Araç Seti( EMET) veya daha kullanıcı dostu olan Malwarebytes Anti-Malware gibi anti-exploit yazılımları, güçlü bir anti-exploit özelliği bulunan( diğer şeylerin yanı sıra)).Microsoft'un EMET, sistem yöneticileri tarafından konfigüre edilebildiği daha büyük ağlarda yaygın olarak kullanılmaktadır, ancak varsayılan olarak hiçbir zaman kurulmadı, yapılandırma gerektirdi ve ortalama kullanıcılar için kafa karıştırıcı bir arayüze sahip.
Windows Defender'ın kendisi gibi tipik antivirüs programları, tehlikeli programları sisteminizde çalışmadan önce yakalamak için virüs tanımlarını ve buluşsal yöntemleri kullanır. Anti-exploit araçları aslında birçok popüler saldırı tekniğinin çalışmasını engellemektedir, bu yüzden bu tehlikeli programlar sisteminizde ilk başta yer almamaktadır. Belirli işletim sistemi korumalarını sağlarlar ve ortak bellek yararlanma tekniklerini engellerler, böylece exploit benzeri bir davranış algılanırsa, kötü bir şey olmamasından önce işlemi sonlandırırlar. Başka bir deyişle, yamadan önce birçok sıfır gün saldırılarına karşı koruma sağlayabilirler.
Ancak, potansiyel olarak uyumluluk sorunlarına neden olabilirler ve ayarları farklı programlar için düzeltilmelidir. Bu yüzden EMET genelde kurumsal ağlarda kullanıldı, burada sistem yöneticileri ev bilgisayarlarında değil ayarları değiştirebiliyordu.
Windows Defender artık Microsoft'un EMET'te bulunan bu korumaların çoğunu da içeriyor. Herkes için varsayılan olarak etkindir ve işletim sisteminin bir parçasıdır. Windows Defender, sisteminizde çalışan farklı işlemler için uygun kuralları otomatik olarak yapılandırır.(Malwarebytes hâlâ anti-exploit özelliğinin üstün olduğunu iddia ediyor ve hala Malwarebytes kullanmanızı öneriyoruz, ancak Windows Defender'ın şu an bu yerleşik özelliklere sahip olması iyi bir şey.)
Bu özellik, Windows'a yükselttiyseniz otomatik olarak etkinleşir.10'un Sonbahar Creators Güncellemesi ve EMET artık desteklenmiyor. EMET, Sonbahar Yaratıcıları Güncellemesi çalıştıran bilgisayarlara bile yüklenemez. EMET zaten yüklüyse, güncelleme tarafından kaldırılacaktır.
Windows 10'un Sonbahar İçerik Oluşturucuları Güncelleştirmesi ayrıca, Kontrollü Klasör Erişimi adlı ilgili bir güvenlik özelliğini içerir. Zararlı yazılımları yalnızca güvenilir programların Belgeler ve Resimler gibi kişisel veri klasörlerindeki dosyaları değiştirmesine izin vererek durdurmak için tasarlanmıştır. Her iki özellik de "Windows Defender Exploit Guard "'ın bir parçasıdır. Bununla birlikte, Kontrollü Klasör Erişimi varsayılan olarak etkindir.
Exploit Koruması Etkinleştirildi Nasıl Doğrulur
Bu özellik tüm Windows 10 bilgisayarları için otomatik olarak etkinleştirilir. Bununla birlikte, sistem yöneticilerinin Exploit Protection'ın, kritik PC'lerde etkinleştirmeden önce hiçbir soruna neden olmayacağını onaylamak için yapacakları bir günlük izlemesine olanak tanıyan "Denetim modu" na da geçilebilir.
Bu özelliğin etkinleştirildiğini onaylamak için Windows Defender Güvenlik Merkezi'ni açabilirsiniz. Başlat menüsünü açın, Windows Defender'ı arayın ve Windows Defender Güvenlik Merkezi kısayolunu tıklayın.
Pencere şeklindeki "App &tarayıcı kontrolü "simgesini tıklayın. Aşağı kaydırın ve "Exploit protection" bölümünü görürsünüz. Bu özelliğin etkinleştirildiğini size bildirir.
Bu bölümü görmüyorsanız, bilgisayarınız Muhtemelen Sonbahar Creator Update'e güncellenmiş değildir.
Windows Defender'ın Exploit Korumasını Nasıl Yapılandırır
Uyarı : Muhtemelen bu özelliği yapılandırmak istemezsiniz. Windows Defender, ayarlayabileceğiniz birçok teknik seçenek sunar ve çoğu kişi burada ne yaptıklarını bilemez. Bu özellik, sorunlara neden olmamak için akıllı varsayılan ayarlarla yapılandırılmıştır ve Microsoft zaman içinde kurallarını güncelleştirebilir. Buradaki seçenekler öncelikle sistem yöneticilerinin yazılım kurallarını geliştirmelerine yardımcı olmak ve bunları bir kuruluş ağında dışarı atmak gibi görünüyor.
İstenmeyen Korumayı yapılandırmak istiyorsanız, Windows Defender Güvenlik Merkezi & gt;Uygulama & amp;tarayıcı denetimi aşağı kaydırın ve Exploit koruması altında "Exploit protection settings" ı tıklayın.
Burada iki sekme göreceksiniz: Sistem ayarları ve Program ayarları.Sistem ayarları, tüm uygulamalar için kullanılan varsayılan ayarları kontrol eder; Program ayarları, çeşitli programlar için kullanılan tek tek ayarları kontrol eder. Başka bir deyişle, Program ayarları, ayrı programlar için Sistem ayarlarını geçersiz kılabilir. Daha kısıtlayıcı veya daha az kısıtlayıcı olabilirler.
Ekranın alt kısmında, ayarlarınızı diğer sistemlere içe aktarabileceğiniz bir. xml dosyası olarak dışa aktarmak için "Dışa aktarma ayarları" nı tıklayabilirsiniz. Microsoft'un resmi belgeleri, Grup İlkesi ve PowerShell ile kuralların uygulanması hakkında daha fazla bilgi sunar.
Sistem ayarları sekmesinde, akış akışı denetimi( CFG), Veri Yürütme Engellemesi( DEP), Görüntüler için rastgele oluşturma( Zorunlu ASLR), Bellek ayırmalarını rastgele oluştur( Alttan-üste ASLR), İstisna doğrulama gibi aşağıdaki seçenekleri görürsünüz.zincirleri( SEHOP) ve Yığın bütünlüğünü doğrulama. Resimler için zorlamayı zorla( Zorunlu ASLR) seçeneği hariç hepsi varsayılan olarak açıktır. Zorunlu ASLR, bazı programlarda sorunlara neden olduğundan, çalıştırdığınız programlara bağlı olarak etkinleştirirseniz uyumluluk sorunlarıyla karşılaşabilirsiniz.
Yine, ne yaptığınızı bilmediğiniz sürece gerçekten bu seçeneklere dokunmamalısınız. Varsayılan değerler mantıklıdır ve bir nedenle seçilmiştir.
Arabirim, her seçeneğin ne yaptığının kısa bir özetini sağlar, ancak daha fazlasını öğrenmek isterseniz biraz araştırma yapmanız gerekir. DEP ve ASLR'nin burada ne yaptıklarını daha önce açıkladık.
"Program ayarları" sekmesine tıkladığınızda, özel ayarlara sahip farklı programların bir listesini görürsünüz. Buradaki seçenekler genel sistem ayarlarının geçersiz kılınmasına izin verir.Örneğin, listeden "iexplore.exe" yi seçerseniz ve "Düzenle" yi tıklarsanız, burada kuralın, varsayılan olarak sistem genelinde etkinleştirilmemiş olsa da Internet Explorer işlemi için Zorunlu ASLR'yi zorla etkinleştirdiğini görürsünüz.
runtimebroker.exe ve spoolsv.exe gibi işlemler için yerleşik kuralları değiştirmemelisiniz. Microsoft bunları bir nedenle ekledi.
Münferit programlar için "Özelleştirmek için program ekle" yi tıklayarak özel kurallar ekleyebilirsiniz."Program adına göre ekle" veya "Tam dosya yolu seç" seçeneklerinden birini kullanabilirsiniz, ancak tam bir dosya yolu belirlemek çok daha kesin.
Eklendiğinde, çoğu insana göre anlamlı olmayacak uzun bir ayar listesi bulabilirsiniz. Burada mevcut tüm ayarlar listesi: İsteğe bağlı kod koruma( ACG), Düşük bütünlüklü görüntüleri engelleme, Uzak görüntüleri engelleme, güvenilmeyen fontları engelleme, Kod bütünlüğü koruması, Kontrol akışı koruması( CFG), Veri Yürütme Engellemesi( DEP), Uzantı noktalarını devre dışı bırakma(Zorunlu ASLR), İçe Aktarma Adres Filtreleme( IAF), Bellek ayırmalarını rastgele oluştur( Alttan-üste ASLR), yürütmeyi benzetme( SimExec), Win32k sistem çağrılarını devre dışı bırakma, Çocuk süreçlerine izin verme, Dışa aktarma adres filtrelemesine( EAF), API çağrısını doğrulama( CallerCheck), istisna zincirlerini doğrulama( SEHOP), tanıtıcı kullanımını doğrulama, öbek bütünlüğünü doğrulama, görüntü bağımlılığı bütünlüğünü doğrulama ve yığın bütünlüğünü doğrulama( StackPivot).
Yine, bir uygulamayı kilitlemek isteyen bir sistem yöneticisi değilseniz ve gerçekten ne yaptığınızı biliyorsanız, bu seçeneklere dokunmayın.
Bir testte, iexplore.exe için tüm seçenekleri etkinleştirdik ve onu başlatmaya çalıştık. Internet Explorer az önce bir hata iletisi gösterdi ve başlatmayı reddetti. Internet Explorer'ın ayarlarımız nedeniyle çalışmadığını açıklayan bir Windows Defender bildirimi bile görmedik.
Sadece körü körüne uygulamalar kısıtlamaya çalışmayın, aksi takdirde sisteminizde benzer sorunlara neden olursunuz. Seçenekleri değiştirdiğinizi de hatırlamıyorsanız, sorun gidermek zor olacak.
Windows 7 gibi daha eski bir Windows sürümünü kullanmaya devam ediyorsanız, Microsoft'un EMET veya Malwarebytes'lerini yükleyerek exploit koruma özelliklerine sahip olabilirsiniz. Bununla birlikte, Microsoft, işletmelerin Windows 10'a ve Windows Defender'ın Exploit Protection'a doğru ilerlemek istediği için, 31 Temmuz 2018'de EMET'e olan destek duracak.