Açıklardan yararlanma korumasını değerlendirme

Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Açıklardan yararlanma koruması, diğer aygıtları yaymak ve bu cihazlara bulaşmak için açıklardan yararlanan kötü amaçlı yazılımlardan cihazların korunmasına yardımcı olur. Risk azaltma, işletim sistemine veya tek bir uygulamaya uygulanabilir. Gelişmiş Risk Azaltma Deneyimi Araç Seti'nin (EMET) parçası olan özelliklerin çoğu, açıklardan yararlanma korumasına dahildir. (EMET destek sonuna ulaştı.)

Denetimde, bir test ortamındaki belirli uygulamalar için risk azaltmanın nasıl çalıştığını görebilirsiniz. Bu, üretim ortamınızda güvenlik açığından yararlanma korumasını etkinleştirirseniz ne olacağını gösterir. Bu şekilde, açıklardan yararlanma korumasının iş kolu uygulamalarınızı olumsuz etkilemediğini doğrulayabilir ve hangi şüpheli veya kötü amaçlı olayların gerçekleştiğini görebilirsiniz.

Genel yönergeler

Exploit protection risk azaltmaları işletim sisteminde düşük düzeyde çalışır ve benzer düşük düzeyli işlemler gerçekleştiren bazı yazılım türleri, kötüye kullanım koruması kullanılarak korunacak şekilde yapılandırıldığında uyumluluk sorunları yaşayabilir.

Hangi tür yazılımların yararlanma koruması ile korunmaması gerekir?

Kötü amaçlı yazılımdan koruma ve izinsiz girişi önleme veya algılama yazılımı
Hata ayıklayıcı
Dijital hak yönetimi (DRM) teknolojilerini (video oyunları) işleyen yazılım
Hata ayıklama, gizleme veya kancalama teknolojilerini kullanan yazılım

Açıklardan yararlanma korumasını etkinleştirmeyi hangi tür uygulamalar dikkate almanız gerekir?

Güvenilmeyen verileri alan veya işleyen uygulamalar.

Sömürü koruması için hangi tür işlemler kapsam dışındadır?

Hizmetler

Sistem hizmetleri
Ağ hizmetleri

Varsayılan olarak etkinleştirilen açıktan yararlanma koruması risk azaltmaları

Risk azaltma	Varsayılan olarak etkin
Veri Yürütme Engellemesi (DEP)	64 bit ve 32 bit uygulamalar
Özel durum zincirlerini doğrula (SEHOP)	64 bit uygulamalar
Yığın bütünlüğünü doğrula	64 bit ve 32 bit uygulamalar

Kullanım dışı bırakılan "Program ayarları" risk azaltmaları

"Program ayarları" azaltmaları	Neden
Dışarı aktarma adresi filtrelemesi (EAF)	Uygulama uyumluluğu sorunları
İçeri aktarma adresi filtrelemesi (IAF)	Uygulama uyumluluğu sorunları
Yürütme simülasyonu (SimExec)	Yerine Rastgele Code Guard (ACG) eklendi
API çağrısını doğrula (CallerCheck)	Yerine Rastgele Code Guard (ACG) eklendi
Yığın bütünlüğünü doğrula (StackPivot)	Yerine Rastgele Code Guard (ACG) eklendi

Office uygulaması en iyi yöntemleri

Outlook, Word, Excel, PowerPoint ve OneNote gibi Office uygulamaları için Exploit Protection kullanmak yerine, kötüye kullanımlarını önlemek için daha modern bir yaklaşım kullanmayı göz önünde bulundurun: Saldırı Yüzeyi Azaltma kuralları (ASR kuralları):

Adobe Reader için aşağıdaki ASR kuralını kullanın:

Adobe Reader'ın alt işlemler oluşturmalarını engelleme

Google Chrome artık exploit Protection'ın (EMET) etkinleştirilmesini önermemektedir çünkü yedeklidir veya yerleşik saldırı risk azaltmaları ile değiştirilir.

Uygulama uyumluluk listesi

Aşağıdaki tabloda, açıklardan yararlanma korumasına dahil edilen risk azaltmalarla ilgili uyumluluk sorunları olan belirli ürünler listelenmiştir. Ürünü kötüye kullanım koruması kullanarak korumak istiyorsanız, belirli uyumsuz azaltmaları devre dışı bırakmanız gerekir. Bu listenin, ürünün en son sürümleri için varsayılan ayarları dikkate aldığını unutmayın. Standart yazılıma belirli eklentileri veya diğer bileşenleri uyguladığınızda uyumluluk sorunları ortaya çıkar.

Ürün	Exploit protection risk azaltma
.NET 2.0/3.5	EAF/IAF
Konsol/GUI/Dosya Yöneticisi'ne 7-Zip	EAO
AMD 62xx işlemciler	EAO
Avecto (GüvenIn Ötesinde) Güç Aracısı	EAF, EAF+, Stack Pivot
Belirli AMD (ATI) video sürücüleri	Sistem ASLR=AlwaysOn
Dropbox	EAO
Excel Power Query, Power View, Power Map ve PowerPivot	EAO
Google Chrome (artık önerilmez)	EAF+
Immidio Flex+	EAO
Microsoft Office Web Bileşenleri (OWC)	Sistem DEP=AlwaysOn
Microsoft PowerPoint	EAO
Microsoft Teams	EAF+
Oracle Javaǂ	Heapspray
Pitney Bowes Baskı Denetimi 6	SimExecFlow
Siebel CRM sürümü 8.1.1.9	SEHOP
Skype	EAO
SolarWinds Syslogd Manager	EAO
Windows Medya Oynatıcı	MandatoryASLR, EAF

ǂ EMET risk azaltmaları, sanal makine için büyük bir bellek öbeği ayıran ayarlar (yani -Xms seçeneğini kullanarak) kullanılarak çalıştırıldığında Oracle Java ile uyumsuz olabilir.

Test için yararlanma koruma sistemi ayarlarını etkinleştirme

Bu Exploit Protection sistem ayarları, Windows 10 ve sonraki sürümlerde, Windows Server 2019 ve sonraki sürümlerde ve Windows Server sürüm 1803 core ve sonraki sürümlerde Zorunlu Adres Alanı Düzeni Rastgele Seçme (ASLR) dışında varsayılan olarak etkindir.

Sistem ayarları	Ayar
Denetim akış koruması (CFG)	Varsayılanı kullan (Açık)
Veri Yürütme Engellemesi (DEP)	Varsayılanı kullan (Açık)
Görüntüler için rastgeleye zorlama (Zorunlu ASRL)	Varsayılanı kullan (Kapalı)
Bellek ayırmalarını rastgele ayırma (Aşağıdan yukarı ASRL)	Varsayılanı kullan (Açık)
Yüksek entropi ASRL	Varsayılanı kullan (Açık)
Özel durum zincirlerini doğrula (SEHOP)	Varsayılanı kullan (Açık)

Xml örneği aşağıda verilmiştir

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

Test için exploit protection program ayarlarını etkinleştirme

İpucu

Saldırı Yüzeyi Azaltma kurallarını (ASR kuralları) kullanmak olan güvenlik açığı azaltmaları için modern yaklaşımı gözden geçirmenizi kesinlikle öneririz.

Windows Güvenliği uygulamasını veya Windows PowerShell'i kullanarak belirli programlar için bir test modunda risk azaltıcı etkenleri ayarlayabilirsiniz.

Windows Güvenliği uygulaması

Windows Güvenliği uygulamasını açın. Görev çubuğundaki kalkan simgesini seçin veya Windows Güvenliği için başlat menüsünde arama yapın.
Uygulama ve tarayıcı denetimi kutucuğunu (veya sol menü çubuğundaki uygulama simgesini) seçin ve ardından Açıklardan yararlanma koruması öğesini seçin.
Program ayarları’na gidin ve koruma uygulamak istediğiniz uygulamayı seçin:
1. Yapılandırmak istediğiniz uygulama zaten listelenmişse, uygulamayı seçin ve ardından Düzenle'yi seçin.
2. Uygulama listenin en üstünde listelenmiyorsa Özelleştirmek için program ekle'yi seçin. Ardından, uygulamayı nasıl eklemek istediğinizi seçin.
  - Risk azaltmanın bu adla çalışan herhangi bir işleme uygulanması için Program adına göre ekle'yi kullanın. Uzantısı olan bir dosya belirtin. Risk azaltmayı yalnızca bu konumdaki bu ada sahip uygulamayla sınırlamak için tam bir yol girebilirsiniz.
  - İstediğiniz dosyayı bulmak ve seçmek için standart bir Windows Gezgini dosya seçici penceresi kullanmak üzere Tam dosya yolunu seçin'i kullanın.
Uygulamayı seçtikten sonra, uygulanabilecek tüm risk azaltmalarının bir listesini göreceksiniz. Denetim seçildiğinde azaltma yalnızca test modunda uygulanır. İşlemi, uygulamayı veya Windows'ı yeniden başlatmanız gerekiyorsa size bildirilir.
Yapılandırmak istediğiniz tüm uygulamalar ve risk azaltmaları için bu yordamı tekrarlayın. Yapılandırmanızı ayarlamayı tamamladığınızda Uygula'yı seçin.

PowerShell

Uygulama düzeyi azaltmaları test moduna ayarlamak için Denetim modu cmdlet'ini kullanınSet-ProcessMitigation.

Her risk azaltmayı aşağıdaki biçimde yapılandırın:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Konum:

<Kapsam>:
- Risk azaltmaların belirli bir uygulamaya uygulanması gerektiğini belirtmek için -Name. Bu bayraktan sonra uygulamanın yürütülebilir dosyasını belirtin.
<Eylem>:
- Risk azaltmayı etkinleştirmek için -Enable
  - Risk azaltmayı devre dışı bırakmak için -Disable
< >Azaltma:
- Aşağıdaki tabloda tanımlandığı gibi risk azaltmanın cmdlet'i. Her risk azaltma bir virgülle ayrılır.

Risk azaltma	Test modu cmdlet'i
İsteğe Bağlı Kod Koruması (ACG)	`AuditDynamicCode`
Bütünlük düzeyi düşük görüntüleri engelle	`AuditImageLoad`
Güvenilmeyen yazı tiplerini engelle	`AuditFont`, `FontAuditOnly`
Kod bütünlüğü koruması	`AuditMicrosoftSigned`, `AuditStoreSigned`
Win32k sistem çağrılarını devre dışı bırak	`AuditSystemCall`
Alt işlemlere izin verme	`AuditChildProcess`

Örneğin,testing.exeadlı bir uygulama için test modunda Rastgele Code Guard'ı (ACG) etkinleştirmek için aşağıdaki komutu çalıştırın:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

-Enable öğesini -Disable ile değiştirerek denetim modunu devre dışı bırakabilirsiniz.

Açıklardan yararlanma koruması denetim olaylarını gözden geçirme

Engellenecek uygulamaları gözden geçirmek için Olay Görüntüleyicisi açın ve Security-Mitigations günlüğünde aşağıdaki olayları filtreleyin.

Özellik	Sağlayıcı/kaynak	Olay Kimliği	Açıklama
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	1	ACG denetimi
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	3	Alt işlemlerin denetimine izin verme
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	5	Düşük bütünlük görüntülerin denetimini engelle
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	7	Uzak görüntülerin denetimini engelle
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	9	win32k sistem çağrıları denetimini devre dışı bırak
Exploit Protection	Güvenlik-Risk Azaltmaları (Çekirdek Modu/Kullanıcı Modu)	11	Kod bütünlüğü koruyucusu denetimi

Ayrıca bkz.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2026-01-15