İş için Microsoft Defender'da saldırı yüzeyi azaltma kurallarınızı etkinleştirme
Saldırı yüzeyleriniz, kuruluşunuzun ağının ve cihazlarının siber tehditlere ve saldırılara karşı savunmasız olduğu tüm yerler ve yollardır. Güvenli olmayan cihazlar, bir şirket cihazındaki herhangi bir URL'ye sınırsız erişim ve herhangi bir uygulama veya betiğin şirket cihazlarında çalışmasına izin vermek, saldırı yüzeylerine örnek olarak verilebilir. Şirketinizi siber saldırılara karşı savunmasız bırakırlar.
İş için Microsoft Defender, ağınızın ve cihazlarınızın korunmasına yardımcı olmak için saldırı yüzeyi azaltma kuralları da dahil olmak üzere çeşitli saldırı yüzeyi azaltma özellikleri içerir. Bu makalede saldırı yüzeyi azaltma kurallarınızı ayarlama ve saldırı yüzeyi azaltma özellikleri açıklanmaktadır.
Standart koruma ASR kuralları
Birçok saldırı yüzeyi azaltma kuralı mevcuttur. Hepsini aynı anda kurmak zorunda değilsiniz. Ayrıca, kuruluşunuzda nasıl çalıştıklarını görmek ve bunları daha sonra blok modunda çalışacak şekilde değiştirmek için denetim modunda bazı kurallar ayarlayabilirsiniz. Bu, aşağıdaki standart koruma kurallarını mümkün olan en kısa sürede etkinleştirmenizi öneririz:
- Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme
- Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
- WMI olay aboneliği aracılığıyla kalıcılığı engelleme
Bu kurallar ağınızın ve cihazlarınızın korunmasına yardımcı olur ancak kullanıcılar için kesintiye neden olmamalıdır. Saldırı yüzeyi azaltma kurallarınızı ayarlamak için Intune kullanın.
Intune kullanarak ASR kurallarını ayarlama
Microsoft Intune yönetim merkezindeUç nokta güvenliği>Saldırısı yüzey azaltma bölümüne gidin.
Yeni bir ilke oluşturmak için İlke oluştur'u seçin.
- Platform için Windows 10, Windows 11 ve Windows Server'ı seçin.
- Profil için Saldırı Yüzeyi Azaltma Kuralları'nı ve ardından Oluştur'u seçin.
İlkenizi aşağıdaki gibi ayarlayın:
Bir ad ve açıklama belirtin ve İleri'yi seçin.
En az aşağıdaki üç kural için her birini Engelle olarak ayarlayın:
- Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme
- WMI olay aboneliği aracılığıyla kalıcılığı engelleme
- Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
Ardından İleri'yi seçin.
Kapsam etiketleri adımında İleri'yi seçin.
Atamalar adımında, kuralları alacak kullanıcıları veya cihazları seçin ve ardından İleri'yi seçin. ( Tüm cihazları ekle'yi seçmenizi öneririz.)
Gözden geçir ve oluştur adımında bilgileri gözden geçirin ve Oluştur'u seçin.
İpucu
İsterseniz, dosyalar veya işlemler gerçekten engellenmeden önce algılamaları görmek için önce denetim modunda saldırı yüzeyi azaltma kurallarınızı ayarlayabilirsiniz. Saldırı yüzeyi azaltma kuralları hakkında daha ayrıntılı bilgi için bkz . Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış.
Saldırı yüzeyi azaltma raporunuzu görüntüleme
İş için Defender, saldırı yüzeyi azaltma kurallarının sizin için nasıl çalıştığını gösteren bir saldırı yüzeyi azaltma raporu içerir.
Microsoft Defender portalında, gezinti bölmesinde Raporlar'ı seçin.
Uç noktalar'ın altında Saldırı yüzeyi azaltma kuralları'nı seçin. Rapor açılır ve üç sekme içerir:
- Saldırı yüzeyi azaltma kurallarının bir sonucu olarak gerçekleşen algılamaları görüntüleyebileceğiniz algılamalar
- Standart koruma kuralları veya diğer saldırı yüzeyi azaltma kuralları için verileri görüntüleyebileceğiniz yapılandırma
- Saldırı yüzeyi azaltma kurallarının dışında tutulacak öğeler ekleyebileceğiniz dışlamalar ekleyin (dışlamaları tedbirli kullanın; her dışlama güvenlik koruma düzeyinizi azaltır)
Saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Saldırı yüzeyi azaltma kurallarına genel bakış
- Saldırı yüzeyi azaltma kuralları raporu
- Saldırı yüzeyi azaltma kuralları başvurusu
- Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
İş için Defender'da saldırı yüzeyi azaltma özellikleri
Saldırı yüzeyi azaltma kuralları İş için Defender'da kullanılabilir. Aşağıdaki tabloda, İş için Defender'daki saldırı yüzeyi azaltma özellikleri özetlemektedir. Yeni nesil koruma ve web içeriği filtreleme gibi diğer özelliklerin saldırı yüzeyi azaltma özelliklerinizle birlikte nasıl çalıştığına dikkat edin.
Özellik | Nasıl ayarlanır? |
---|---|
Saldırı yüzeyini azaltma kuralları Yaygın olarak kötü amaçlı etkinliklerle ilişkili belirli eylemlerin Windows cihazlarında çalışmasını engelleyin. |
Standart koruma saldırısı yüzey azaltma kurallarınızı etkinleştirin (bu makalenin bölümü). |
Denetimli klasör erişimi Denetimli klasör erişimi, yalnızca güvenilen uygulamaların Windows cihazlarında korumalı klasörlere erişmesine izin verir. Bu özelliği fidye yazılımı azaltma olarak düşünün. |
İş için Microsoft Defender'da denetimli klasör erişim ilkesini ayarlayın. |
Ağ koruması Ağ koruması, kişilerin Windows ve Mac cihazlarındaki uygulamalar aracılığıyla tehlikeli etki alanlarına erişmesini engeller. Ağ koruması, İş için Microsoft Defender'da Web içeriği filtrelemenin de önemli bir bileşenidir. |
Cihazlar İş için Defender'a eklendiğinde ve İş için Defender'da yeni nesil koruma ilkeleri uygulandığında ağ koruması varsayılan olarak zaten etkindir. Varsayılan ilkeleriniz önerilen güvenlik ayarlarını kullanacak şekilde yapılandırılmıştır. |
Web koruması Web koruması, web tarayıcılarıyla tümleştirilir ve web tehditlerine ve istenmeyen içeriğe karşı koruma sağlamak için ağ korumasıyla çalışır. Web koruması, web içeriği filtrelemeyi ve web tehdit raporlarını içerir. |
İş için Microsoft Defender'da Web içeriği filtrelemeyi ayarlayın. |
Güvenlik duvarı koruması Güvenlik duvarı koruması, hangi ağ trafiğinin kuruluşunuzun cihazlarına veya cihazlarına akışına izin verileceğini belirler. |
Cihazlar İş için Defender'a eklendiğinde ve İş için Defender'da güvenlik duvarı ilkeleri uygulandığında güvenlik duvarı koruması varsayılan olarak zaten etkindir. |