Korumalı alanda Microsoft Defender Virüsten Koruma'ı çalıştırma
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender Planı 2
- İş için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Microsoft Defender Virüsten Koruma
Platform:
- Windows
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu makalede, Microsoft Defender Virüsten Koruma'nın kurcalamaya karşı gelişmiş koruma için korumalı alan ortamında nasıl çalıştırıldığı açıklanmaktadır.
yerleşik virüsten koruma özelliklerine sahip Microsoft Defender Virüsten Koruma, 26 Ekim 2018 itibarıyla Windows'taki bir korumalı alanda çalıştırılabilir. Bu özelliğe sahip olan ilk tam virüsten koruma çözümü oldu ve güvenlik çıtasını artırma konusunda sektöre liderlik etmeye devam ediyor.
Başlamadan önce aşağıdaki gereksinimleri karşılamanız gerekir:
- Microsoft Defender Virüsten Koruma (etkin mod)
- Windows 11 veya Windows 10 sürüm 1703 veya üzeri
- Windows Server 2022 veya Windows Server 2019 ya da Windows Server 2016 veya daha yenisi
Microsoft'un hem içindeki hem de dışındaki güvenlik araştırmacıları, daha önce bir saldırganın Microsoft Defender Virüsten Koruma'nın içerik ayrıştırıcılarındaki rastgele kod yürütmeyi etkinleştirebilecek güvenlik açıklarından yararlanma yollarını belirlemişti. Sistemin tamamında kötü amaçlı içerik ve yapıtları incelemek için virüsten koruma yüksek ayrıcalıklarla (Local System, NT Authority\SYSTEM) çalışır ve bu da saldırılar için bir hedef haline getirir.
Korumalı alandan ayrıcalıkların yükseltilmesi, Windows 10 veya daha yeni sürümlerin son sürümlerinde çok zor olsa da, korumalı alanda Microsoft Defender Virüsten Koruma'yı çalıştırmak olası bir risk durumunda kötü amaçlı eylemlerin yalıtılmış ortamla sınırlandırılmasını ve sistemin geri kalanının zarardan korunmasını sağlar. Bu, Microsoft'un güvenlik yenilikleri aracılığıyla saldırganların önüne geçmek için sürdüren yatırımının bir parçasıdır.
Modern kötü amaçlı yazılımdan koruma ürünleri diskteki dosyalar, bellekteki veri akışları ve davranışsal olaylar gibi birçok girişi gerçek zamanlı olarak inceler. Bu özelliklerin çoğu söz konusu kaynaklara tam erişim gerektirir. İlk önemli korumalı alan çalışması, virüsten koruma Microsoft Defender denetim özelliklerini kesinlikle tam ayrıcalıklarla çalışması gereken bileşenlere katmanlama ve korumalı alan yapabilen bileşenlerle ilgiliydi. Korumalı bileşenlerin amacı, güvenilmeyen girişleri tarama, kapsayıcıları genişletme vb. gibi en yüksek riskli işlevleri kapsadığından emin olmaktı. Aynı zamanda, önemli bir performans maliyetinden kaçınmak için iki katman arasındaki etkileşim sayısını en aza indirmemiz gerekiyordu.
Kaynak kullanımı ayrıca önemli yatırımlar gerektiren bir diğer sorundur. Hem ayrıcalıklı işlemin hem de korumalı alan işleminin Güvenlik Bilgileri güncelleştirmelerine, diğer algılamalara ve düzeltme meta verilerine erişmesi gerekir. Durum paylaşmanın güvenli olmayan yollarından kaçınmak veya işlemler arasında veri/içerik geçirmenin önemli çalışma zamanı maliyetini getirmek amacıyla yinelenenleri önlemek ve güçlü güvenlik garantilerini korumak için, koruma verilerinin çoğunun çalışma zamanında salt okunur olan bellek eşlemeli dosyalarda barındırıldığı bir model kullanırız. Bu, koruma verilerinin ek yük olmadan birden çok işlemde barındırılabilmesi anlamına gelir.
Makine genelinde bir ortam değişkeni ayarlayarak korumalı alanı etkinleştirmek için şu adımları izleyebilirsiniz:
Aşağıdaki komutu PowerShell veya CMD'de yönetici olarak çalıştırın:
setx /M MP_FORCE_USE_SANDBOX 1
Cihazı yeniden başlatın. Yeniden başlattıktan sonra, aşağıdaki klasörlerdeki MsMpEng.exe
MsMpEngCP.exe
dışında yeni bir işlem görürsünüz:Yol Işlem Açıklama C:\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe Kötü Amaçlı Yazılımdan Koruma Hizmeti Yürütülebilir İçerik İşlemi C:\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe Kötü Amaçlı Yazılımdan Koruma Hizmeti Yürütülebilir İçerik İşlemi Not
MsMpEngCP.exe
içindeki CP, içerik işlemidir.
Microsoft Defender Virüsten Koruma için korumalı alanı devre dışı bırakmak için PowerShell veya CMD'de yönetici olarak aşağıdaki komutu çalıştırın:
setx /M MP_FORCE_USE_SANDBOX 0
Microsoft Defender Virüsten Koruma, koruma sağlamak için ayrıcalıklı/üst işlemde içerik taramayı barındıran bir proc geri dönüş gerçekleştirir.
Düşük ayrıcalıklarla çalışan içerik işlemleri, yüzey saldırısını azaltmak için tüm kullanılabilir risk azaltma ilkelerini de agresif bir şekilde kullanır. Veri Yürütme Engellemesi (DEP), Adres alanı düzeni rastgele seçme (ASLR) ve Denetim Akış Koruyucusu (CFG) gibi modern açıklardan yararlanma azaltma teknikleri için çalışma zamanı değişikliklerini etkinleştirir ve önler. Ayrıca Win32K sistem çağrılarını ve tüm genişletilebilirlik noktalarını devre dışı bırakmanın yanı sıra yalnızca imzalı ve güvenilir kodun yüklenmesini zorunlu kılır.
Korumalı alan etkinleştirilmiş MDAV performansı
Performans genellikle, özellikle kötü amaçlı yazılımdan koruma ürünlerinin dosya işlemlerini zaman uyumlu bir şekilde inceleme ve işleme ve çok sayıda çalışma zamanı olayını toplama veya eşleştirme gibi birçok kritik yolda olması dikkate alındığında, korumalı alan oluşturma ile ilgili olarak ortaya atılan temel sorundur. Performansın azalmamasını sağlamak için korumalı alan ile ayrıcalıklı işlem arasındaki etkileşim sayısını en aza indirmemiz gerekiyordu. Aynı zamanda, bu etkileşimleri yalnızca maliyetlerinin önemli olmayacağı önemli anlarda (örneğin G/Ç gerçekleştirilirken) gerçekleştirin.
Microsoft Defender Virüsten Koruma gereksiz G/Ç'yi önlemek için yoğun bir çaba sarf eder. Örneğin, incelenen her dosya için okunan veri miktarını en aza indirmek, özellikle eski donanımlarda (dönme diski, uzak kaynaklar) iyi performans sağlamak açısından çok önemlidir. Bu nedenle, korumalı alanın içeriğin tamamını geçirmek yerine gerektiğinde inceleme için veri isteyebileceği bir modelin korunması çok önemliydi.
Korumalı alan etkinleştirilmiş MDAV'nin güvenilirliği
Not
Korumalı alana tanıtıcıları geçirme (gerçek içeriği geçirme maliyetini önlemek için) bir seçenek değildir çünkü gerçek zamanlı inceleme, AMSI vb. gibi birçok senaryo vardır ve burada önemli ayrıcalıklar vermeden korumalı alan tarafından kullanılabilecek 'paylaşılabilir' tanıtıcı yoktur ve bu da güvenliği azaltır.
Korumalı alan oluşturma ile ilgili bir diğer önemli sorun da kilitlenmeler ve öncelik ters çevirmeleri gibi olası sorunları önlemek için işlemler arası iletişim mekanizmasıyla ilgilidir. İletişim, çağıranı azaltarak veya işlenebilen eşzamanlı istek sayısını sınırlayarak olası performans sorunlarına neden olmamalıdır. Ayrıca korumalı alan işlemi, inceleme işlemlerini tek başına tetiklememelidir. Tüm denetimler daha fazla tarama tetiklemeden gerçekleşmelidir. Bu, korumalı alanın özelliklerini tam olarak denetlemeyi ve beklenmeyen işlemlerin tetiklenemiyorsa emin olmayı gerektirir. Düşük ayrıcalıklı AppContainers, güçlü garantiler uygulamanın mükemmel bir yoludur çünkü yetenek tabanlı model, korumalı alan işleminin neler yapabileceğini belirtme konusunda ayrıntılı denetime olanak sağlar.
Korumalı alan etkinken MDAV'nin düzeltilmesi
Son olarak, güvenlik açısından önemli bir zorluk içerik düzeltme veya dezenfeksiyon ile ilgilidir. Eylemin hassas doğası göz önünde bulundurulduğunda (bir ikiliyi özgün preinfeksiyon içeriğine geri yükleme girişimleri), içerik işleminin (korumalı alan) tehlikeye atıldığı ve algılanan ikiliyi beklenmedik şekillerde değiştirmek için dezenfeksiyon kullanılabileceğini azaltmak için bunun yüksek ayrıcalıklarla gerçekleştiğinden emin olmamız gerekiyordu.
İşlem durduğunda ilişkili Windows Hata Bildirimi (WER) olayları varsa destek tanılama günlüklerini ve ilgili dökümleri/kilitlenme bilgilerini toplayın.