Aracılığıyla paylaş


Exploit Protection'i etkinleştirin

Şunlar için geçerlidir:

İpucu

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Açıklardan yararlanma koruması, cihazlara bulaşmak ve yayılmak için açıklardan yararlanan kötü amaçlı yazılımlara karşı korunmaya yardımcı olur. Açıklardan yararlanma koruması, işletim sistemine veya tek tek uygulamalara uygulanabilecek birçok risk azaltmadan oluşur.

Önemli

.NET 2.0, özellikle Dışarı Aktarma Adresi Filtreleme (EAF) ve İçeri Aktarma Adresi Filtreleme (IAF) gibi bazı açıklardan yararlanma koruması özellikleriyle uyumlu değildir. .NET 2.0'ı etkinleştirdiyseniz, EAF ve IAF kullanımı desteklenmez.

Gelişmiş Risk Azaltma Deneyimi Araç Seti'nin (EMET) birçok özelliği, açıklardan yararlanma korumasına dahildir.

Aşağıdaki yöntemlerden herhangi birini kullanarak her bir azaltmayı ayrı ayrı etkinleştirebilirsiniz:

Açıklardan yararlanma koruması, Windows 10 ve Windows 11'de varsayılan olarak yapılandırılmıştır. Her risk azaltmayı açık, kapalı veya varsayılan değerine ayarlayabilirsiniz. Bazı risk azaltmaların daha fazla seçeneği vardır. Bu ayarları bir XML dosyası olarak dışarı aktarabilir ve bunları diğer cihazlara dağıtabilirsiniz.

Risk azaltmalarını denetim moduna da ayarlayabilirsiniz. Denetim modu, cihazın normal kullanımını etkilemeden risk azaltmalarının nasıl çalışacağını test etmenize (ve olayları incelemenize) olanak tanır.

Windows Güvenliği uygulaması

  1. Görev çubuğunuzdaki kalkan simgesini seçerek veya Başlat menüsünde Güvenliği için arama yaparak Windows Güvenliği uygulamasını açın.

  2. Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması ayarları öğesini seçin.

  3. Program ayarlarına gidin ve risk azaltmalarını uygulamak istediğiniz uygulamayı seçin.

    • Yapılandırmak istediğiniz uygulama zaten listelenmişse uygulamayı seçin ve Düzenle öğesini seçin.
    • Uygulama listelenmiyorsa, listenin üst kısmında Özelleştirmek için program ekle'yi seçin ve ardından uygulamayı nasıl eklemek istediğinizi seçin.
    • Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısıyla birlikte bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
    • İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.
  4. Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim'in seçilmesi, azaltmayı yalnızca denetim modunda uygular. İşlemi veya uygulamayı yeniden başlatmanız veya Windows'un yeniden başlatılması gerekiyorsa size bildirilir.

  5. Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için 3-4 adımlarını tekrarlayın.

  6. Sistem ayarları bölümünde, yapılandırmak istediğiniz risk azaltmasını bulun ve ardından aşağıdaki ayarlardan birini belirtin. Program ayarları bölümünde tek tek yapılandırılmamış uygulamalar, burada yapılandırılan ayarları kullanır.

    • Varsayılan olarak açık: Risk azaltma, uygulamaya özel Program ayarları bölümünde bu risk azaltma ayarına sahip olmayan uygulamalar için etkindir.
    • Varsayılan olarak kapalı: Risk azaltma, uygulamaya özel Program ayarları bölümünde bu risk azaltma ayarına sahip olmayan uygulamalar için devre dışıdır.
    • Varsayılanı kullan: Risk azaltma, Windows 10 veya Windows 11 yüklemesi tarafından ayarlanan varsayılan yapılandırmaya bağlı olarak etkinleştirilir veya devre dışı bırakılır; varsayılan değer (Açık veya Kapalı) her zaman her azaltma için Varsayılan etiketi kullan öğesinin yanında belirtilir
  7. Yapılandırmak istediğiniz tüm sistem düzeyinde risk azaltmaları için 6. adımı tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.

Program ayarları bölümüne bir uygulama ekler ve burada tek tek risk azaltma ayarlarını yapılandırırsanız, bunlar Sistem ayarları bölümünde belirtilen aynı risk azaltmaları için yapılandırmanın üstünde kabul edilir. Aşağıdaki matris ve örnekler, varsayılanların nasıl çalıştığını göstermeye yardımcı olur:

Program ayarlarında etkinleştirildi Sistem ayarlarında etkinleştirildi Davranış
Evet Hayır Program ayarlarında tanımlandığı gibi
Evet Evet Program ayarlarında tanımlandığı gibi
Hayır Evet Sistem ayarlarında tanımlandığı gibi
Hayır Hayır Varsayılanı kullan seçeneğinde tanımlandığı gibi varsayılan

Örnek 1: Mikael, sistem ayarları bölümünde Veri Yürütme Engellemesi'ni varsayılan olarak kapalı olacak şekilde yapılandırır

Mikael, test.exe uygulamasını Program ayarları bölümüne ekler. Bu uygulamanın seçeneklerinde, Veri Yürütme Engellemesi (DEP) altında, Mikael Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirir ve anahtarı Açık olarak ayarlar. Program ayarları bölümünde listelenen başka uygulama yok.

Sonuç olarak, DEP yalnızca test.exe için etkindir. Diğer tüm uygulamalarda DEP uygulanmaz.

Örnek 2: Josie, sistem ayarlarında Veri Yürütme Engellemesi'ni varsayılan olarak kapalı olacak şekilde yapılandırır

Josie, test.exe uygulamasını Program ayarları bölümüne ekler. Bu uygulamanın seçeneklerinde, Veri Yürütme Engellemesi (DEP) altında, Josie Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirir ve anahtarı Açık olarak ayarlar.

Josie ayrıca, miles.exe uygulamasını Program ayarları bölümüne ekler ve Denetim akışı korumasını (CFG)Açık olarak yapılandırır. Josie, bu uygulama için DEP veya diğer risk azaltmaları için Sistem ayarlarını geçersiz kıl seçeneğini etkinleştirmez.

Sonuç olarak, test.exe için DEP etkindir. DEP, miles.exedahil olmak üzere başka hiçbir uygulama için etkinleştirilmez. CFG, miles.exe için etkinleştirilir.

  1. Görev çubuğundaki kalkan simgesini seçerek veya başlat menüsünde Windows Güvenliği için arama yaparak Windows Güvenliği uygulamasını açın.

  2. Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması öğesini seçin.

  3. Program ayarlarına gidin ve risk azaltmalarını uygulamak istediğiniz uygulamayı seçin.

    • Yapılandırmak istediğiniz uygulama zaten listelenmişse uygulamayı seçin ve Düzenle öğesini seçin.
    • Uygulama listelenmiyorsa, listenin üst kısmında Özelleştirmek için program ekle'yi seçin ve ardından uygulamayı nasıl eklemek istediğinizi seçin.
      • Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısı olan bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
      • İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.
  4. Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim'in seçilmesi, azaltmayı yalnızca denetim modunda uygular. İşlemi veya uygulamayı yeniden başlatmanız veya Windows'un yeniden başlatılması gerekiyorsa size bildirilir.

  5. Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için 3-4 adımlarını tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.

Intune

  1. Azure portalında oturum açın ve Intune'u açın.

  2. Cihaz yapılandırması Yapılandırma>Profilleri>İçerik Oluşturucu profili'ne gidin.

  3. Profili adlandırın, Windows 10 ve üzerini seçin, Profil türü için şablonları seçin ve şablon adı altında Uç nokta koruması'nı seçin.

    Uç nokta koruma profili oluştur

  4. Yapılandır>Windows Defender Exploit Guard>Exploit protection'ı seçin.

  5. Açıklardan yararlanma koruması ayarlarına sahip bir XML dosyasını karşıya yükleyin:

    Intune'da Ağ korumasını etkinleştir ayarı

  6. Her açık dikey pencereyi kaydetmek için Tamam'ı ve Oluştur'u seçin.

  7. Profil Atamaları sekmesini seçin, ilkeyi Tüm Kullanıcılar ve Tüm Cihazlar'a atayın ve Kaydet'i seçin.

MDM

./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings yapılandırma hizmeti sağlayıcısını (CSP) açıklardan yararlanma koruması risk azaltmalarını etkinleştirmek veya devre dışı bırakmak ya da denetim modunu kullanmak için kullanın.

Microsoft Configuration Manager

Uç Nokta Güvenliği

  1. Microsoft Configuration Manager'de Endpoint Security>Attack yüzey azaltma bölümüne gidin.

  2. İlke>Platformu'İçerik Oluşturucu seçin ve Profil için Exploit Protection'ı seçin. Ardından Oluştur’u seçin.

  3. Bir ad ve açıklama belirtin ve İleri'yi seçin.

  4. XML Dosyası Seç'i seçin ve açıklardan yararlanma koruması XML dosyasının konumuna göz atın. Dosyayı seçin ve İleri'yi seçin.

  5. Gerekirse Kapsam etiketlerini ve Atamaları yapılandırın.

  6. Gözden geçir + oluştur altında, yapılandırma ayarlarınızı gözden geçirin ve ardından Oluştur'u seçin.

Varlıklar ve Uyumluluk

  1. Microsoft Configuration Manager'da Varlıklar ve Uyumluluk>Endpoint Protection>Windows Defender Exploit Guard'a gidin.

  2. Giriş>İçerik Oluşturucu Exploit Guard İlkesi'ni seçin.

  3. Bir ad ve açıklama belirtin, Açıklardan yararlanma koruması öğesini ve İleri öğesini seçin.

  4. Açıklardan yararlanma koruması XML dosyasının konumuna göz atın ve İleri'yi seçin.

  5. Ayarları gözden geçirin ve ilkeyi oluşturmak için İleri'yi seçin.

  6. İlke oluşturulduktan sonra Kapat'ı seçin.

Grup İlkesi

  1. Grup İlkesi yönetim cihazınızda, Grup İlkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz Grup İlkesi Nesnesine sağ tıklayın ve Düzenle'ye tıklayın.

  2. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.

  3. Ağacı Windows bileşenlerine> genişletin Windows Defender Exploit Guard>Exploit Protection>Yaygın bir güvenlik açığı koruma ayarları kümesi kullanın.

  4. Etkin'i seçin, XML dosyasının konumunu yazın ve Tamam'ı seçin.

PowerShell

PowerShell fiili Get veya Set, cmdlet ProcessMitigation ile kullanılabilir. Get kullanmak, cihazda etkinleştirilen tüm risk azaltmalarının geçerli yapılandırma durumunu listeler - yalnızca bu uygulama için risk azaltmaları görmek için -Name cmdlet'ini ve uygulama exe'sini ekleyin:

Get-ProcessMitigation -Name processName.exe

Önemli

Yapılandırılmamış sistem düzeyindeki risk azaltmaları NOTSET durumunu gösterecektir.

  • Sistem düzeyindeki ayarlar için NOTSET, bu risk azaltmanın uygulandığı varsayılan ayarı belirtir.
  • Uygulama düzeyindeki ayarlar için NOTSET, risk azaltma için sistem düzeyindeki ayarın uygulanacağını belirtir. Her sistem düzeyinde risk azaltma için varsayılan ayar, Windows Güvenliği'nde görülebilir.

Her bir risk azaltmayı aşağıdaki biçimde yapılandırmak için Set kullanın:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Konum:

  • <Kapsam>:
    • Risk azaltmaların belirli bir uygulamaya uygulanması gerektiğini belirtmek için -Name. Bu bayraktan sonra uygulamanın yürütülebilir dosyasını belirtin.
      • Risk azaltmanın sistem düzeyinde uygulanması gerektiğini belirtmek için -System
  • <Eylem>:
    • Risk azaltmayı etkinleştirmek için -Enable
    • Risk azaltmayı devre dışı bırakmak için -Disable
  • <>Azaltma:
    • Tüm alt seçeneklerle birlikte risk azaltma cmdlet'i (boşluklarla çevrili). Her risk azaltma bir virgülle ayrılır.

Örneğin, ATL thunk öykünmesi ile Veri Yürütme Engellemesi (DEP) risk azaltmayı etkinleştirmek ve C:\Apps\LOB\tests klasöründeki testing.exe adlı yürütülebilir dosya için ve bu yürütülebilir dosyanın alt işlemler oluşturmasını önlemek için aşağıdaki komutu kullanırsınız:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Önemli

Her risk azaltma seçeneğini virgülle ayırın.

DEP'yi sistem düzeyinde uygulamak istiyorsanız, aşağıdaki komutu kullanırsınız:

Set-Processmitigation -System -Enable DEP

Risk azaltmalarını devre dışı bırakmak için -Enable yerine -Disable koyabilirsiniz. Ancak, uygulama düzeyindeki risk azaltmalar için bu eylem, risk azaltmayı yalnızca bu uygulama için devre dışı bırakılmaya zorlar.

Risk azaltmayı sistem varsayılanı olarak geri yüklemeniz gerekiyorsa, aşağıdaki örnekte olduğu gibi -Remove cmdlet'ini de eklemeniz gerekir:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Aşağıdaki tabloda, -Enable veya -Disable cmdlet parametreleriyle kullanılacak bağımsız Risk azaltmaları (ve varsa Denetimler) listelenmektedir.

Risk azaltma türü Uygulandığı öğe Risk azaltma cmdlet parametresi anahtar sözcüğü Denetim modu cmdlet parametresi
Denetim akış koruması (CFG) Sistem ve uygulama düzeyi CFG, StrictCFG, SuppressExports Denetim kullanılamıyor
Veri Yürütme Engellemesi (DEP) Sistem ve uygulama düzeyi DEP, EmulateAtlThunks Denetim kullanılamıyor
Görüntüleri rastgele seçmeye zorla (Zorunlu ASLR) Sistem ve uygulama düzeyi ForceRelocateImages Denetim kullanılamıyor
Bellek ayırmalarını rastgele seç (Aşağıdan Yukarı ASLR) Sistem ve uygulama düzeyi BottomUp, HighEntropy Denetim kullanılamıyor
Özel durum zincirlerini doğrula (SEHOP) Sistem ve uygulama düzeyi SEHOP, SEHOPTelemetry Denetim kullanılamıyor
Yığın bütünlüğünü doğrula Sistem ve uygulama düzeyi TerminateOnError Denetim kullanılamıyor
İsteğe bağlı kod koruması (ACG) Yalnızca uygulama düzeyi DynamicCode AuditDynamicCode
Bütünlük düzeyi düşük görüntüleri engelle Yalnızca uygulama düzeyi BlockLowLabel AuditImageLoad
Uzak görüntüleri engelle Yalnızca uygulama düzeyi BlockRemoteImages Denetim kullanılamıyor
Güvenilmeyen yazı tiplerini engelle Yalnızca uygulama düzeyi DisableNonSystemFonts AuditFont, FontAuditOnly
Kod bütünlüğü koruması Yalnızca uygulama düzeyi BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Uzantı noktalarını devre dışı bırak Yalnızca uygulama düzeyi ExtensionPoint Denetim kullanılamıyor
Win32k sistem çağrılarını devre dışı bırak Yalnızca uygulama düzeyi DisableWin32kSystemCalls AuditSystemCall
Alt işlemlere izin verme Yalnızca uygulama düzeyi DisallowChildProcessCreation AuditChildProcess
Dışarı aktarma adresi filtrelemesi (EAF) Yalnızca uygulama düzeyi EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Denetim kullanılamıyor [2]
İçeri aktarma adresi filtrelemesi (IAF) Yalnızca uygulama düzeyi EnableImportAddressFilter Denetim kullanılamıyor [2]
Yürütme simülasyonu (SimExec) Yalnızca uygulama düzeyi EnableRopSimExec Denetim kullanılamıyor [2]
API çağrısını doğrula (CallerCheck) Yalnızca uygulama düzeyi EnableRopCallerCheck Denetim kullanılamıyor [2]
Tutamaç kullanımını doğrula Yalnızca uygulama düzeyi StrictHandle Denetim kullanılamıyor
Görüntü bağımlılığı bütünlüğünü doğrula Yalnızca uygulama düzeyi EnforceModuleDepencySigning Denetim kullanılamıyor
Yığın bütünlüğünü doğrula (StackPivot) Yalnızca uygulama düzeyi EnableRopStackPivot Denetim kullanılamıyor [2]

[1]: Bir işlem için DLL'ler için EAF modüllerini etkinleştirmek için aşağıdaki biçimi kullanın:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Bu risk azaltma denetimi PowerShell cmdlet'leri aracılığıyla kullanılamaz.

Bildirimi özelleştirme

Kural tetiklendiğinde ve bir uygulama veya dosya engellendiğinde bildirimi özelleştirme hakkında bilgi için bkz. Windows Güvenliği.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.