Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uygulama hedefi: Yapılandırma Yöneticisi (güncel dalı)
Windows Defender Exploit Guard'ın dört bileşenini de yöneten Yapılandırma Yöneticisi ilkeleri yapılandırabilir ve dağıtabilirsiniz. Bu bileşenler şunlardır:
- Saldırı Yüzeyini Azaltma
- Denetimli klasör erişimi
- Exploit Protection
- Ağ koruması
Exploit Guard ilke dağıtımı için uyumluluk verileri Yapılandırma Yöneticisi konsolundan kullanılabilir.
Not
Yapılandırma Yöneticisi bu isteğe bağlı özelliği varsayılan olarak etkinleştirmez. Bu özelliği kullanmadan önce etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Güncelleştirmelerden isteğe bağlı özellikleri etkinleştirme.
Uyarı
Yerel liste birleştirmeyi devre dışı bırakmak için grup ilkesi kullanma bölümünde belgelenen yerel liste birleştirmeyi devre dışı bırakmaya yönelik Defender ilkesi, Yapılandırma Yöneticisi aracılığıyla Exploit Guard ilkelerinin yönetimiyle uyumlu değildir.
Önkoşullar
Yönetilen cihazların 1709 veya sonraki Windows 10 çalışması gerekir; en düşük Windows Server derlemesi yalnızca Server 2019'a kadar sürüm 1809 veya üzeridir. Yapılandırılan bileşenlere ve kurallara bağlı olarak aşağıdaki gereksinimler de karşılanmalıdır:
| Exploit Guard bileşeni | Ek önkoşullar |
|---|---|
| Saldırı Yüzeyini Azaltma | Cihazlarda Uç Nokta için Microsoft Defender her zaman açık koruma etkinleştirilmelidir. |
| Denetimli klasör erişimi | Cihazlarda Uç Nokta için Microsoft Defender her zaman açık koruma etkinleştirilmelidir. |
| Exploit Protection | Yok |
| Ağ koruması | Cihazlarda Uç Nokta için Microsoft Defender her zaman açık koruma etkinleştirilmelidir. |
Exploit Guard ilkesi oluşturma
Yapılandırma Yöneticisi konsolunda Varlıklar ve uyumluluk>Endpoint Protection'a gidin ve ardından Windows Defender Exploit Guard'a tıklayın.
Giriş sekmesinin Oluştur grubunda, Yararlanma İlkesi Oluştur'a tıklayın.
Yapılandırma Öğesi Oluşturma Sihirbazı'nınGenel sayfasında, yapılandırma öğesi için bir ad ve isteğe bağlı bir açıklama belirtin.
Ardından, bu ilkeyle yönetmek istediğiniz Exploit Guard bileşenlerini seçin. Seçtiğiniz her bileşen için ek ayrıntıları yapılandırabilirsiniz.
- Saldırı Yüzeyini Azaltma: Engellemek veya denetlemek istediğiniz Office tehdidini, betik oluşturma tehditlerini ve e-posta tehditlerini yapılandırın. Ayrıca, belirli dosyaları veya klasörleri bu kuralın dışında tutabilirsiniz.
- Denetimli klasör erişimi: Engelleme veya denetimi yapılandırın ve ardından bu ilkeyi atlayan uygulamalar ekleyin. Varsayılan olarak korunmayan ek klasörler de belirtebilirsiniz.
- Yararlanma koruması: Sistem işlemlerinin ve uygulamaların açıklarından yararlanmayı azaltmaya yönelik ayarları içeren bir XML dosyası belirtin. Bu ayarları Windows Defender Güvenlik Merkezi uygulamasından Windows 10 veya sonraki bir cihazda dışarı aktarabilirsiniz.
- Ağ koruması: Şüpheli etki alanlarına erişimi engellemek veya denetlemek için ağ korumasını ayarlayın.
Daha sonra cihazlara dağıtabileceğiniz ilkeyi oluşturmak için sihirbazı tamamlayın.
Uyarı
Yararlanma koruması için XML dosyası makineler arasında aktarılırken güvenli tutulmalıdır. Dosya içeri aktarıldıktan sonra silinmelidir veya güvenli bir konumda tutulmalıdır.
Exploit Guard ilkesi dağıtma
Exploit Guard ilkelerini oluşturduktan sonra, bunları dağıtmak için Exploit Guard İlkesi Dağıtma sihirbazını kullanın. Bunu yapmak için, Yapılandırma Yöneticisi konsolunu Varlıklar ve uyumluluk>Endpoint Protection'a açın ve ardından Exploit Guard İlkesiNi Dağıt'a tıklayın.
Önemli
Saldırı Yüzeyi Azaltma veya Denetimli klasör erişimi gibi bir Exploit Guard ilkesi dağıttığınızda, dağıtımı kaldırırsanız Exploit Guard ayarları istemcilerden kaldırılmaz.
Delete not supported , istemcinin Exploit Guard dağıtımını kaldırırsanız istemcinin ExploitGuardHandler.log kaydedilir.
Aşağıdaki PowerShell betiği, bu ayarları kaldırmak için SİSTEM bağlamı altında çalıştırılabilir:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender Exploit Guard ilke ayarları
Saldırı Yüzeyi Azaltma ilkeleri ve seçenekleri
Saldırı Yüzeyi Azaltma, Office, betik ve posta tabanlı kötü amaçlı yazılım tarafından kullanılan vektörleri durduran akıllı kurallarla uygulamalarınızın saldırı yüzeyini azaltabilir. Saldırı Yüzeyi Azaltma ve bunun için kullanılan Olay Kimlikleri hakkında daha fazla bilgi edinin.
Saldırı Yüzeyi Azaltma kurallarının dışında tutulacak Files ve Klasörler - Ayarla'ya tıklayın ve hariç tutulacak dosyaları veya klasörleri belirtin.
Email Tehditleri:
- E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleyin.
Office Tehditleri:
- Office uygulamasının alt işlemler oluşturmalarını engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Office uygulamalarının diğer işlemlere kod eklemesini engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Office makrolarından Win32 API çağrılarını engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Office uygulamasının alt işlemler oluşturmalarını engelleyin.
Betik Oluşturma Tehditleri:
- JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Karartılmış olabilecek betiklerin yürütülmesini engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleyin.
Fidye yazılımı tehditleri: (Yapılandırma Yöneticisi sürüm 1802'den başlayarak)
- Fidye yazılımlara karşı gelişmiş koruma kullanın.
- Yapılandırılmadı
- Engelle
- Denetim
- Fidye yazılımlara karşı gelişmiş koruma kullanın.
İşletim sistemi tehditleri: (Yapılandırma Yöneticisi sürüm 1802'den başlayarak)
- Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınma işlemini engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Yaygınlık, yaş veya güvenilir liste ölçütlerini karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınma işlemini engelleyin.
Dış cihaz tehditleri: (Yapılandırma Yöneticisi sürüm 1802'den başlayarak)
- USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleyin.
- Yapılandırılmadı
- Engelle
- Denetim
- USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleyin.
Denetimli klasör erişim ilkeleri ve seçenekleri
Dosya şifrelemeli fidye yazılımı kötü amaçlı yazılımları da dahil olmak üzere, önemli sistem klasörlerindeki dosyaların kötü amaçlı ve şüpheli uygulamalar tarafından yapılan değişikliklerden korunmasına yardımcı olur. Daha fazla bilgi için bkz . Denetimli klasör erişimi ve kullandığı Olay Kimlikleri.
-
Denetimli klasör erişimini yapılandırma:
- Engelle
- Yalnızca disk kesimlerini engelle (Yapılandırma Yöneticisi sürüm 1802'den başlayarak)
- Denetimli klasör erişiminin yalnızca önyükleme kesimleri için etkinleştirilmesine izin verir ve belirli klasörlerin veya varsayılan korumalı klasörlerin korunmasını etkinleştirmez.
- Denetim
- Yalnızca disk kesimlerini denetleme (Yapılandırma Yöneticisi sürüm 1802'den başlayarak)
- Denetimli klasör erişiminin yalnızca önyükleme kesimleri için etkinleştirilmesine izin verir ve belirli klasörlerin veya varsayılan korumalı klasörlerin korunmasını etkinleştirmez.
- Devre dışı
- Denetimli klasör erişimi aracılığıyla uygulamalara izin ver - Ayarla'ya tıklayın ve uygulamaları belirtin.
- Ek korumalı klasörler - Ayarla'ya tıklayın ve ek korumalı klasörler belirtin.
Güvenlik açığından yararlanma koruma ilkeleri
Kuruluşunuzun kullandığı işletim sistemi işlemlerine ve uygulamalarına açıklardan yararlanma azaltma tekniklerini uygular. Bu ayarlar Windows 10 veya sonraki cihazlarda Windows Defender Güvenlik Merkezi uygulamasından dışarı aktarılabilir. Daha fazla bilgi için bkz . Yararlanma koruması.
Yararlanma koruması XML'i: - Gözat'a tıklayın ve içeri aktarılacak XML dosyasını belirtin.
Uyarı
Yararlanma koruması için XML dosyası makineler arasında aktarılırken güvenli tutulmalıdır. Dosya içeri aktarıldıktan sonra silinmelidir veya güvenli bir konumda tutulmalıdır.
Ağ koruma ilkesi
İnternet tabanlı saldırılardan cihazlarda saldırı yüzeyini en aza indirmeye yardımcı olur. Hizmet, kimlik avı dolandırıcılığı, açıklardan yararlanma ve kötü amaçlı içerik barındırabilecek şüpheli etki alanlarına erişimi kısıtlar. Daha fazla bilgi için bkz . Ağ koruması.
-
Ağ korumasını yapılandırma:
- Engelle
- Denetim
- Devre dışı