Açıklardan yararlanma korumasını değerlendirme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Açıklardan yararlanma koruması, diğer aygıtları yaymak ve bu cihazlara bulaşmak için açıklardan yararlanan kötü amaçlı yazılımlardan cihazların korunmasına yardımcı olur. Risk azaltma, işletim sistemine veya tek bir uygulamaya uygulanabilir. Gelişmiş Risk Azaltma Deneyimi Araç Seti'nin (EMET) parçası olan özelliklerin çoğu, açıklardan yararlanma korumasına dahildir. (EMET destek sonuna ulaştı.)
Denetimde, bir test ortamındaki belirli uygulamalar için risk azaltmanın nasıl çalıştığını görebilirsiniz. Bu, üretim ortamınızda açıklardan yararlanma korumasını etkinleştirmiş olsaydınız ne olacağını gösterir. Bu şekilde, açıklardan yararlanma korumasının iş kolu uygulamalarınızı olumsuz etkilemediğini doğrulayabilir ve hangi şüpheli veya kötü amaçlı olayların gerçekleştiğini görebilirsiniz.
Test için açıklardan yararlanma korumasını etkinleştirin
Windows Güvenliği uygulamasını veya Windows PowerShell'i kullanarak belirli programlar için bir test modunda risk azaltıcı etkenleri ayarlayabilirsiniz.
Windows Güvenliği uygulaması
Windows Güvenliği uygulamasını açın. Görev çubuğundaki kalkan simgesini seçin veya Windows Güvenliği için başlat menüsünde arama yapın.
Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması öğesini seçin.
Program ayarları’na gidin ve koruma uygulamak istediğiniz uygulamayı seçin:
- Yapılandırmak istediğiniz uygulama zaten listelenmişse uygulamayı seçin ve Düzenle'yi seçin.
- Uygulama listenin en üstünde listelenmiyorsa Özelleştirmek için program ekle'yi seçin. Ardından, uygulamayı nasıl eklemek istediğinizi seçin.
- Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısı olan bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
- İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.
Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim'i seçtiğinizde azaltma yalnızca test modunda uygulanır. İşlemi, uygulamayı veya Windows'u yeniden başlatmanız gerekirse bilgilendirileceksiniz.
Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için bu yordamı tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.
PowerShell
Uygulama düzeyi azaltmaları test moduna ayarlamak için Denetim modu cmdlet'ini kullanınSet-ProcessMitigation.
Her risk azaltmayı aşağıdaki biçimde yapılandırın:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Konum:
-
<Kapsam>:
- Risk azaltmaların belirli bir uygulamaya uygulanması gerektiğini belirtmek için
-Name. Bu bayraktan sonra uygulamanın yürütülebilir dosyasını belirtin.
- Risk azaltmaların belirli bir uygulamaya uygulanması gerektiğini belirtmek için
-
<Eylem>:
- Risk azaltmayı etkinleştirmek için
-Enable- Risk azaltmayı devre dışı bırakmak için
-Disable
- Risk azaltmayı devre dışı bırakmak için
- Risk azaltmayı etkinleştirmek için
-
<
>Azaltma:
- Aşağıdaki tabloda tanımlandığı gibi risk azaltmanın cmdlet'i. Her risk azaltma bir virgülle ayrılır.
| Risk azaltma | Test modu cmdlet'i |
|---|---|
| İsteğe Bağlı Kod Koruması (ACG) | AuditDynamicCode |
| Bütünlük düzeyi düşük görüntüleri engelle | AuditImageLoad |
| Güvenilmeyen yazı tiplerini engelle |
AuditFont, FontAuditOnly |
| Kod bütünlüğü koruması |
AuditMicrosoftSigned, AuditStoreSigned |
| Win32k sistem çağrılarını devre dışı bırak | AuditSystemCall |
| Alt işlemlere izin verme | AuditChildProcess |
Örneğin,testing.exeadlı bir uygulama için test modunda Rastgele Code Guard'ı (ACG) etkinleştirmek için aşağıdaki komutu çalıştırın:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
-Enable öğesini -Disable ile değiştirerek denetim modunu devre dışı bırakabilirsiniz.
Açıklardan yararlanma koruması denetim olaylarını gözden geçirme
Hangi uygulamaların engelleneceğini gözden geçirmek için Olay Görüntüleyicisi'ni açın ve Güvenlik-Risk Azaltmaları günlüğünde aşağıdaki olaylar için filtre uygulayın.
| Özellik | Sağlayıcı/kaynak | Olay Kimliği | Açıklama |
|---|---|---|---|
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 1 | ACG denetimi |
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 3 | Alt işlemlerin denetimine izin verme |
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 5 | Düşük bütünlük görüntülerin denetimini engelle |
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 7 | Uzak görüntülerin denetimini engelle |
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 9 | win32k sistem çağrıları denetimini devre dışı bırak |
| Exploit Protection | Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu) | 11 | Kod bütünlüğü koruyucusu denetimi |
Ayrıca bkz.
- Exploit Protection'i etkinleştirin
- Açıklardan yararlanma koruması risk azaltmalarını yapılandırma ve denetleme
- Exploit Protection yapılandırmalarını içeri aktarma, dışarı aktarma ve dağıtma
- Açıklardan yararlanma koruması sorunlarını giderme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.