Aracılığıyla paylaş

Microsoft Olay Yanıtı ekibi fidye yazılımı yaklaşımı ve en iyi yöntemler

  • Makale

İnsan tarafından çalıştırılan fidye yazılımı kötü amaçlı bir yazılım sorunu değildir - bu bir insan suç sorunudur. Emtia sorunlarını çözmek için kullanılan çözümler, aşağıdakilere benzer bir ulus-devlet tehdit aktörü olan bir tehdidi önlemek için yeterli değildir:

  • Dosyaları şifrelemeden önce virüsten koruma yazılımınızı devre dışı bırakır veya kaldırır
  • Algılamayı önlemek için güvenlik hizmetlerini ve günlüğe kaydetmeyi devre dışı bırakır
  • Fidye talebi göndermeden önce yedekleri bulur ve bozar veya siler

Bu eylemler genellikle, mayıs 2024'teki Hızlı Yardım gibi yönetim amacıyla ortamınızda zaten mevcut olabilecek yasal programlar kullanılarak gerçekleştirilir. Cezai ellerde, bu araçlar saldırıları gerçekleştirmek için kullanılır.

Artan fidye yazılımı tehdidine yanıt vermek için modern kurumsal yapılandırmanın, up-togüncel güvenlik ürünlerinin ve eğitilmiş güvenlik personelinin veriler kaybolmadan önce tehditleri algılaması ve yanıtlaması gerekir.

Microsoft Olay Yanıtı ekibi (eski adıyla DART/CRSP), müşterilerin siber dayanıklı olmasına yardımcı olmak için güvenlik risklerine yanıt verir. Microsoft Olay Yanıtı, yerinde reaktif olay yanıtı ve uzaktan proaktif araştırmalar sağlar. Microsoft Olay Yanıtı, mümkün olan en kapsamlı ve kapsamlı araştırmayı sağlamak için Microsoft'un dünyanın dört bir yanındaki güvenlik kuruluşları ve iç Microsoft ürün gruplarıyla stratejik ortaklıklarını kullanır. Olay yanıtı uzmanlarımız, her müşteri ortamındaki tehditlerin kapsamını belirleme amacıyla günlük sinyalleri ve tehdit bilgileri kullanarak proaktiviteyi önceliklendirir. Microsoft, müşterilerinin şirket içindeki en yüksek perimetre izlemesi için kendi olay müdahale ekiplerini kurmalarını da teşvik eder.

Bu makalede, Microsoft Olay Yanıtı'nın, Microsoft müşterilerine kendi güvenlik operasyonları playbook'unuz için en iyi yöntemler konusunda yol göstermesine yardımcı olmak için fidye yazılımı saldırılarını nasıl işlediği açıklanmaktadır. Microsoft'un fidye yazılımı azaltma için en son yapay zekayı nasıl kullandığı hakkında bilgi için fidye yazılımı saldırılarına karşı Microsoft Güvenlik Copilot savunması makalemizi okuyun.

Microsoft Olay Yanıtı, Microsoft güvenlik hizmetlerini nasıl kullanır?

Microsoft Olay Yanıtı, tüm araştırmalardaki verilere büyük ölçüde dayanır ve Office 365 için Microsoft Defender , Uç Nokta için Microsoft Defender, Kimlikiçin Microsoft Defender ve Cloud Apps için Microsoft Defendergibi Microsoft güvenlik hizmetlerini kullanır.

Microsoft Olay Yanıtı ekibinin en son güvenlik önlemi güncelleştirmeleri için Ninja Hubgöz atın.

Microsoft Defender for Endpoint

Uç Nokta için Defender, Microsoft'un kurumsal ağ güvenlik analistlerinin gelişmiş tehditleri önlemesine, algılamasına, araştırmasına ve yanıtlamasına yardımcı olmak için tasarlanmış kurumsal uç nokta güvenlik platformudur. Uç Nokta için Defender, gelişmiş davranış analizi ve makine öğrenmesi kullanarak saldırıları algılayabilir. Analistleriniz tehdit aktörü davranış analizini değerlendirmek için Uç Nokta için Defender'ı kullanabilir.

Analistleriniz ayrıca risk göstergelerini (ICS) belirlemek veya bilinen tehdit aktörü davranışını aramak için gelişmiş tehdit avcılığı sorguları da gerçekleştirebilir.

Uç Nokta için Defender, devam eden şüpheli aktör etkinliği için Microsoft Defender Uzmanları tarafından sağlanan gerçek zamanlı uzman izleme ve analize erişim sunar. Ayrıca uyarılar ve olaylar hakkında daha fazla içgörü elde etmeniz için uzmanlarla isteğe bağlı olarak işbirliği yapabilirsiniz.

Kimlik için Microsoft Defender

Microsoft Defender for Identity, bilinen güvenliği aşılmış hesapları araştırarak kuruluşunuzda güvenliği aşılmış olabilecek diğer hesapları belirler. Defender for Identity, DCSync saldırıları, uzaktan kod yürütme girişimleri ve hash geçirme saldırıları gibi bilinen kötü amaçlı etkinlikler için uyarılar gönderir.

Microsoft Defender for Cloud Apps

Bulut Uygulamaları için Defender (eski adıyla Microsoft Cloud App Security), analistinizin fidye yazılımlarını, güvenliği aşılmış kullanıcıları veya sahte uygulamaları belirlemek için bulut uygulamaları genelinde olağan dışı davranışları algılamasına olanak tanır. Cloud Apps için Defender, Bulut hizmetlerindeki kullanıcılar tarafından erişilen bulut hizmetlerinin ve verilerin izlenmesine olanak tanıyan Microsoft'un bulut erişim güvenlik aracısı (CASB) çözümüdür.

Microsoft Güvenlik Puanı

Microsoft Defender XDR hizmetleri, saldırı yüzeyini azaltmak için canlı düzeltme önerileri sağlar. Microsoft Secure Score, bir kuruluşun güvenlik duruşunun ölçümüdür ve daha fazla sayıda iyileştirme eylemi yapıldığını gösterir. Güvenli Puan belgelerini okuyarak kuruluşunuzun ortamına yönelik düzeltme eylemlerini önceliklendirmek için bu özelliği nasıl kullanabileceğiniz hakkında daha fazla bilgi edinebilirsiniz.

Fidye yazılımı olay araştırmalarını yürütmek için Microsoft Olay Yanıtı yaklaşımı

Bir tehdit aktörün ortamınıza nasıl erişim sağladığını belirlemek, güvenlik açıklarını belirlemek, saldırıyı azaltma ve gelecekteki saldırıları önlemek için çok önemlidir. Bazı durumlarda, tehdit aktörü izlerini örtmek ve kanıtları yok etmek için adımlar atar, bu nedenle tüm olay zincirinin belirgin olmayabileceği mümkündür.

Aşağıda, Microsoft Olay Yanıtı fidye yazılımı araştırmalarında üç temel adım yer alır:

Adım Hedef İlk sorular
1. Mevcut durumu değerlendirme Kapsamı anlama Başlangıçta bir fidye yazılımı saldırısının farkında olmanıza neden olan şey nedir?

Olayı ilk olarak hangi saatte/tarihte öğrendiniz?

Hangi günlükler kullanılabilir ve aktörün şu anda sistemlere eriştiğine dair herhangi bir gösterge var mı?
2. Etkilenen iş kolu (LOB) uygulamalarını belirleme Sistemleri yeniden çevrimiçine alma Uygulama için kimlik gerekiyor mu?

Uygulamanın, yapılandırmanın ve verilerin yedekleri kullanılabilir mi?

Yedeklemelerin içeriği ve bütünlüğü, geri yükleme alıştırması kullanılarak düzenli olarak doğrulanıyor mu?
3. İhlal kurtarma (CR) işlemini belirleme Tehdit aktörü ortamdan kaldırma Yok

1. Adım: Halihazırdaki durumu değerlendirme

Mevcut durumun değerlendirilmesi, olayın kapsamını anlamak ve araştırma ile düzeltme görevlerini planlamak ve kapsamını belirlemek için en iyi kişilerin belirlenmesi açısından kritik öneme sahiptir. Aşağıdaki ilk soruların sorulmak, durumun kaynağını ve kapsamını belirlemeye yardımcı olmak açısından çok önemlidir.

Fidye yazılımı saldırısını nasıl tanımladınız?

BT personeliniz silinen yedeklemeler, virüsten koruma uyarıları, uç nokta algılama ve yanıt (EDR) uyarıları veya şüpheli sistem değişiklikleri gibi ilk tehdidi belirlediyse, saldırıyı önlemek için genellikle hızlı kararlı önlemler almak mümkündür. Bu ölçüler genellikle tüm gelen ve giden İnternet iletişimlerinin devre dışı bırakılmasını içerir. Bu önlem, kısa bir süreliğine iş operasyonlarını etkileyebilir, ancak bu etkiler, başarılı fidye yazılımı dağıtımının yol açabileceği kadar büyük olmayacaktır.

BT yardım masasına yapılan bir kullanıcı çağrısı tehdidi belirlediyse, saldırının etkilerini önlemek veya en aza indirmek için savunma önlemleri almak için yeterli gelişmiş uyarı olabilir. Kolluk kuvvetleri veya finans kurumu gibi bir dış varlık tehdidi tanımladıysa, büyük olasılıkla zarar zaten yapılmıştır. Bu noktada, tehdit aktörü ağınız için yönetim denetimine sahip olabilir. Bu kanıt fidye yazılımı notlarından kilitli ekranlara ve fidye taleplerine kadar değişebilir.

Olayı ilk olarak hangi tarih/saatle öğrendiniz?

İlk etkinlik tarih ve saatinin oluşturulması, tehdit aktörü etkinliği için ilk önceliklendirmenin kapsamını daraltmaya yardımcı olmak için önemlidir. Ek sorular şunlar olabilir:

  • Bu tarihte hangi güncelleştirmeler eksikti? Yararlanılan güvenlik açıklarını belirlemek önemlidir.
  • Bu tarihte hangi hesaplar kullanıldı?
  • Bu tarihten bu yana hangi yeni hesaplar oluşturuldu?

Hangi günlükler kullanılabilir ve aktörün şu anda sistemlere eriştiğine dair bir gösterge var mı?

Virüsten koruma, EDR ve sanal özel ağ (VPN) gibi günlükler, güvenliğin aşıldığından şüphelenilenlerin kanıtlarını gösterebilir. takip soruları şunları içerebilir:

  • Günlükler, Microsoft Sentinel, Splunk, ArcSight ve benzeri Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümlerinde toplanıyor ve güncel mi? Bu verilerin saklama süresi nedir?
  • Olağan dışı etkinlik yaşayan şüpheli bir sistem var mı?
  • Etkin tehdit aktörü denetimi altında olduğu görünen şüpheli bir hesap var mı?
  • EDR, güvenlik duvarı, VPN, web ara sunucusu ve diğer günlüklerde etkin komut ve denetimlerin (C2) kanıtı var mı?

Durumu değerlendirmek için güvenliği aşılmayan bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicisine, bir etki alanı denetleyicisinin son yedeklemesine veya bakım veya yükseltmeler için çevrimdışına alınmış yeni bir etki alanı denetleyicisine ihtiyacınız olabilir. Ayrıca, şirketteki herkes için çok faktörlü kimlik doğrulamasının (MFA) gerekli olup olmadığını ve Microsoft Entra Kimliğinin kullanılıp kullanılmadığını belirleyin.

2. Adım: Olay nedeniyle kullanılamayan LOB uygulamalarını belirleme

Bu adım, gerekli kanıtı elde ederken sistemleri yeniden çevrimiçi hale getirmek için en hızlı yolu bulma açısından kritik öneme sahiptir.

Uygulama için kimlik gerekiyor mu?

  • Kimlik doğrulaması nasıl yapılır?
  • Sertifikalar veya gizliler gibi kimlik bilgileri nasıl depolanır ve yönetilir?

Uygulamanın, yapılandırmanın ve verilerin test edilmiş yedekleri kullanılabilir mi?

  • Yedeklemelerin içeriği ve bütünlüğü, geri yükleme alıştırması kullanılarak düzenli olarak doğrulanıyor mu? Bu denetim, yapılandırma yönetimi değişiklikleri veya sürüm yükseltmelerinden sonra önemlidir.

3. Adım: Güvenlik ihlali kurtarma sürecini belirleme

Genellikle AD DS olan denetim düzleminin güvenliği aşıldıysa bu adım gerekli olabilir.

Araştırmanız her zaman doğrudan CR işlemine akış sağlayan bir çıkış sağlamalıdır. CR, tehdit aktörü denetimini bir ortamdan kaldıran ve belirli bir süre içinde güvenlik duruşunu taktiksel olarak artıran işlemdir. CR, güvenlik ihlali sonrası gerçekleşir. CR hakkında daha fazla bilgi edinmek için Microsoft Compromise Recovery Security Practice ekibinin CRSP'sini okuyun: Müşterilerin yanı sıra siber saldırılarla mücadele eden acil durum ekibi blog makalesini okuyun.

1. ve 2. adımlardaki sorulara yanıt topladıktan sonra bir görev listesi oluşturabilir ve sahip atayabilirsiniz. Başarılı olay yanıtı katılımı, bulguları derlemek için her bir iş öğesinin ayrıntılı belgelerini (sahip, durum, bulgular, tarih ve saat gibi) gerektirir.

Microsoft Olay Yanıtı önerileri ve en iyi yöntemler

İşte Microsoft Olay Yanıtı'nın kapsama ve olay sonrası etkinliklere yönelik önerileri ve en iyi yöntemleri.

Sınırlama

Kapsama, yalnızca nelerin kapsanması gerektiğini belirlediğinizde gerçekleşebilir. Fidye yazılımı söz konusu olduğunda tehdit aktörü, yüksek oranda kullanılabilir bir sunucu üzerinde yönetim denetimi için kimlik bilgilerini almayı ve ardından fidye yazılımını dağıtmayı amaçlar. Bazı durumlarda, tehdit aktörü hassas verileri tanımlar ve denetledikleri bir konuma salar.

Taktik kurtarma, kuruluşunuzun ortamına, sektörüne ve BT uzmanlığı ve deneyimi düzeyine özgüdür. Kısa vadeli ve taktiksel sınırlama için aşağıda özetlenen adımlar önerilir. Uzun süreli yönergeler hakkında daha fazla bilgi edinmek için bkz. ayrıcalıklı erişimin güvenliğini sağlama. Fidye yazılımlarına ve haraçlara karşı savunmanın kapsamlı bir görünümü için bkz. İnsan tarafından işletilen fidye yazılımı.

Yeni tehdit vektörleri keşfedildikçe aşağıdaki kapsama adımları gerçekleştirilebilir.

1. Adım: Durumun kapsamını değerlendirme

  • Hangi kullanıcı hesaplarının güvenliği aşıldı?
  • Hangi cihazlar etkileniyor?
  • Hangi uygulamalar etkilenir?

2. Adım: Mevcut sistemleri koruma

  • AD DS altyapınızın bütünlüğünü sıfırlamaya yardımcı olmak için yöneticileriniz tarafından kullanılan az sayıda hesap dışında tüm ayrıcalıklı kullanıcı hesaplarını devre dışı bırakın. Bir kullanıcı hesabının gizliliğinin tehlikeye girdiğini düşünüyorsanız hesabı hemen devre dışı bırakın.
  • Güvenliği aşılmış sistemleri ağdan yalıtın, ancak kapatmayın.
  • Her etki alanında bilinen iyi durumda olan en az bir (tercihen iki) etki alanı denetleyicisini yalıtın. Fidye yazılımının kritik sistemlere yayılmasını önlemek için ağ bağlantısını kesin veya kapatın ve kimliği en savunmasız saldırı vektöru olarak öncelik sırasına alın. Tüm etki alanı denetleyicileriniz sanalsa, sanallaştırma platformu sisteminin ve veri sürücülerinin, ağa bağlı olmayan çevrimdışı harici medyaya yedeklendiğinden emin olun.
  • SAP, yapılandırma yönetimi veritabanı (CMDB), faturalama ve muhasebe sistemleri gibi bilinen kritik iyi uygulama sunucularını yalıtma.

Yeni tehdit vektörleri keşfedildikçe bu iki adım eşzamanlı olarak izlenebilir. Tehdidi ağdan yalıtmak için bu tehdit vektörlerini devre dışı bırakın ve ardından bilinen bir tehlikeye uğramamış sistem arayın.

Diğer taktiksel kapsama eylemleri şunlardır:

  • Krbtgt parolasını iki kez hızlı bir şekilde sıfırlayın. Betikli, yinelenebilir bir işlem kullanmayı göz önünde bulundurun. Bu betik, krbtgt hesabı parolasını ve ilgili anahtarları sıfırlarken Kerberos kimlik doğrulaması sorunlarının olasılığını en aza indirmenize olanak tanır. Sorunları en aza indirmek için, bu adımları hızlı bir şekilde tamamlamak için ilk parola sıfırlamadan önce krbtgt ömrü bir veya daha fazla kez azaltılabilir. Ortamınızda tutmayı planladığınız tüm etki alanı denetleyicileri çevrimiçi olmalıdır.

  • Etki alanı yöneticilerinin, etki alanı denetleyicileri ve ayrıcalıklı yalnızca yönetim amaçlı iş istasyonları (varsa) dışında herhangi bir yere oturum açmasını engelleyen bir Grup İlkesi'ni tüm etki alanlarına dağıtın.

  • İşletim sistemleri ve uygulamalar için tüm eksik güvenlik güncelleştirmelerini yükleyin. Her eksik güncelleştirme, fidye yazılımı aktörlerinin hızla belirleyebileceği ve kullanabileceği olası bir tehdit vektörüdür. Uç Nokta için Microsoft Defender'ın Tehdit ve Güvenlik Açığı Yönetimi, eksik güncelleştirmelerin etkisinin yanı sıra tam olarak neyin eksik olduğunu görmenin kolay bir yolunu sağlar.

    • Windows 10 (veya üzeri) cihazlarda, her cihazda geçerli sürümün (veya n-1) çalıştığını onaylayın.

    • Kötü amaçlı yazılım bulaşmasını önlemek için saldırı yüzeyini azaltma (ASR) kurallarını dağıtın.

    • Tüm Windows 10 güvenlik özelliklerini etkinleştirin.

  • VPN erişimi de dahil olmak üzere her dış kullanıma yönelik uygulamanın, tercihen güvenli bir cihazda çalışan bir kimlik doğrulama uygulaması kullanarak çok faktörlü kimlik doğrulaması (MFA) ile korunup korunmadığını denetleyin.

  • Uç Nokta için Defender'ı birincil virüsten koruma yazılımı olarak kullanmayan cihazlar için, bunları ağa yeniden bağlamadan önce yalıtılmış güvenli sistemlerde Microsoft Güvenlik Tarayıcısı tam tarama gerçekleştirin.

  • Tüm eski işletim sistemleri için desteklenen bir işletim sistemine (OS) yükseltin veya bu cihazları hizmetten çıkarın. Bu seçenekler kullanılamıyorsa, ağ/VLAN yalıtımı, İnternet Protokolü güvenliği (IPsec) kuralları ve oturum açma kısıtlamaları dahil olmak üzere bu cihazları yalıtmak için mümkün olan her önlemi alın. Bu adımlar, iş sürekliliği sağlamak için bu sistemlerin yalnızca kullanıcılar/cihazlar tarafından erişilebilir olmasını sağlamaya yardımcı olur.

En riskli yapılandırmalar, eski işletim sistemlerinde windows NT 4.0 ve uygulamalar gibi eski işletim sistemlerinde görev açısından kritik sistemlerin çalıştırılmasından ve bunların tümünün eski donanımlarda çalıştırılmasından oluşur. Bu işletim sistemleri ve uygulamalar yalnızca güvensiz ve savunmasız olmakla kalmaz, aynı zamanda bu donanım başarısız olursa yedeklemeler genellikle modern donanıma geri yüklenemez. Bu uygulamalar eski donanım olmadan çalışamaz. Bu uygulamaları geçerli işletim sistemi ve donanımlarda çalışacak şekilde dönüştürmeyi kesinlikle göz önünde bulundurun.

Olay sonrası etkinlikler

Microsoft Olay Yanıtı, her olaydan sonra aşağıdaki güvenlik önerilerini ve en iyi yöntemlerin uygulanmasını önerir.

  • e-posta ve işbirliği çözümleri için en iyi yöntemlerin iç kullanıcıların dış içeriğe kolayca ve güvenli bir şekilde erişmesine izin verirken tehdit aktörlerinin bunları kullanmasını önlemeye yardımcı olduğundan emin olun.

  • İç kuruluş kaynaklarına uzaktan erişim çözümleri için Sıfır Güven en iyi güvenlik yöntemlerini izleyin.

  • Kritik etki yöneticileriyle başlayarak, parolasız kimlik doğrulaması veya MFA kullanma dahil olmak üzere hesap güvenliği için en iyi yöntemleri izleyin.

  • Ayrıcalıklı erişim güvenliğini tehlikeye atma riskini azaltmak için kapsamlı bir strateji uygulayın.

  • Fidye yazılımı tekniklerini engellemek için veri koruma uygulayın ve bir saldırıdan hızlı ve güvenilir kurtarmayı onaylayın.

  • Kritik sistemlerinizi gözden geçirin. Tehdit aktörü kaldırma veya şifrelemeye karşı koruma ve yedeklemeleri denetleyin. Bu yedeklemeleri gözden geçirin ve düzenli aralıklarla test edin ve doğrulayın.

  • Uç nokta, e-posta ve kimliğe yönelik yaygın saldırıların hızlı algılanmasını ve düzeltilmesini sağlayın.

  • Ortamınızın güvenlik duruşunu etkin bir şekilde keşfedin ve sürekli geliştirin.

  • Büyük fidye yazılımı olaylarını yönetmek ve çakışmaları önlemek için dış kaynak oluşturmayı kolaylaştırmak için kuruluş süreçlerini güncelleştirin.

PAM

PAM'nin (eski adı katmanlı yönetim modeli) kullanılması, Microsoft Entra Id'nin güvenlik duruşunu geliştirir ve bu da şunları içerir:

  • Yönetim hesaplarını "planlı" bir ortamda bölmek, yani her düzey için bir hesap (genellikle dört düzey):

  • Denetim Düzlemi (eski adıyla Katman 0): Etki alanı denetleyicilerinin ve Active Directory Federasyon Hizmetleri (ADFS) veya Microsoft Entra Connect gibi diğer önemli kimlik hizmetlerinin yönetimi. Bunlar, Exchange Server gibi AD DS için yönetim izinleri gerektiren sunucu uygulamalarını da içerir.

  • Sonraki iki uçak daha önce Katman 1'deydi:

    • Yönetim Düzlemi: Varlık yönetimi, izleme ve güvenlik.

    • Veri/İş Yükü Düzlemi: Uygulamalar ve uygulama sunucuları.

  • İki sonraki uçak daha önce 2. Kademe'deydi:

    • Kullanıcı Erişimi: Kullanıcılar için erişim hakları (hesaplar gibi).

    • Uygulama Erişimi: Uygulamalar için erişim hakları.

  • Bu uçakların her biri, her düzlem için ayrı yönetim iş istasyonuna sahiptir ve yalnızca bu düzlemdeki sistemlere erişebilir. Diğer düzlemlerdeki hesapların, bu cihazlara ayarlanan kullanıcı hakları atamaları aracılığıyla farklı düzlemlerdeki iş istasyonlarına ve sunuculara erişimi reddedilir.

PAM aşağıdakileri sağlar:

  • Güvenliği aşılmış bir kullanıcı hesabının yalnızca kendi alanına erişimi vardır.

  • Daha hassas kullanıcı hesapları, daha düşük bir düzlemin güvenlik düzeyine sahip iş istasyonlarına ve sunuculara erişemez. Bu, tehdit aktörü yanal hareketini önlemeye yardımcı olur.

TUR

Varsayılan olarak, Microsoft Windows ve AD DS'de iş istasyonları ve üye sunucularda yerel yönetim hesaplarının merkezi bir yönetimi yoktur. Bu yönetim eksikliği, tüm bu yerel hesaplar için veya en azından cihaz grupları için ortak bir parolaya neden olabilir. Bu durum, tehdit aktörlerinin bir yerel yönetici hesabının güvenliğini tehlikeye atarak kuruluştaki diğer iş istasyonlarına veya sunuculara erişmesine olanak tanır.

Microsoft'un LAPS, ilke kümesine göre iş istasyonlarında ve sunucularda düzenli aralıklarla yerel yönetim parolasını değiştiren bir Grup İlkesi istemci tarafı uzantısı kullanarak bu tehdidi azaltır. Bu parolaların her biri farklıdır ve AD DS bilgisayar nesnesinde öznitelik olarak depolanır. Bu öznitelik, bu özniteliğe atanan izinlere bağlı olarak basit bir istemci uygulamasından alınabilir.

LAPS, ek özniteliğin, LAPS Grup İlkesi şablonlarının yüklenmesine ve istemci tarafı işlevselliği sağlamak için her iş istasyonuna ve üye sunucuya küçük bir istemci tarafı uzantısının yüklenmesine izin vermek için AD DS şemasının genişletilmesi gerekir.

LAPS'yiMicrosoft İndirme Merkezi'nden indirebilirsiniz.

Ek fidye yazılımı kaynakları

Aşağıdaki Microsoft kaynakları fidye yazılımı saldırılarını algılamaya ve kuruluş varlıklarını korumaya yardımcı olur:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Bulut için Microsoft Defender Uygulamaları: