Çekirdek yalıtım, Microsoft Windows'un önemli temel işlemlerini bellekte yalıtarak kötü amaçlı yazılımlardan koruyan bir güvenlik özelliğidir. Bunu, bu temel işlemleri sanallaştırılmış bir ortamda çalıştırarak yapar.
Not: Çekirdek yalıtım sayfasında gördükleriniz, çalıştırdığınız Windows sürümüne bağlı olarak biraz farklılık gösterebilir.
Bellek bütünlüğü
Hiper yönetici korumalı Kod Bütünlüğü (HVCI) olarak da bilinen bellek bütünlüğü, kötü amaçlı programların bilgisayarınızı ele geçirmesi için düşük düzeyli sürücüleri kullanmasını zorlaştıran bir Windows güvenlik özelliğidir.
Sürücü, işletim sisteminin (bu örnekte Windows) ve bir cihazın (iki örnek için klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır.
İpucu: Sürücüler hakkında daha fazla bilgi edinmek ister misiniz? Bkz. Sürücü nedir?
Bellek bütünlüğü, donanım sanallaştırmasını kullanarak yalıtılmış bir ortam oluşturarak çalışır.
Kilitli bir kabinin içindeki güvenlik görevlisi gibi düşün. Bu yalıtılmış ortam (benzetmemizdeki kilitli kabin), bellek bütünlüğü özelliğinin bir saldırgan tarafından kurcalanmasını önler. Tehlikeli olabilecek bir kod parçası çalıştırmak isteyen bir program, kodun doğrulanabilmesi için kodu bu sanal standın içindeki bellek bütünlüğüne geçirmesi gerekir. Bellek bütünlüğü, kodun güvenli olduğundan emin olduğunda kodu çalıştırmak için Windows'a geri getirir. Genellikle, bu çok hızlı bir şekilde gerçekleşir.
Bellek bütünlüğü çalıştırılmadan, "güvenlik görevlisi" açık alanda öne çıkar ve bir saldırganın korumayı engellemesi veya sabote etmesinde çok daha kolay olur ve kötü amaçlı kodun gizlice geçmesi ve sorunlara neden olması daha kolay olur.
Bellek bütünlüğünü nasıl yönetebilirim?
Çoğu durumda windows 11'de bellek bütünlüğü varsayılan olarak açıktır ve Windows 10 için açılabilir.
Açmak veya kapatmak için:
-
Başlangıç düğmesini seçin ve "Çekirdek yalıtımı" yazın.
-
Windows güvenlik uygulamasını açmak için arama sonuçlarından Çekirdek Yalıtım sistemi ayarlarını seçin.
Çekirdek yalıtım sayfasında, açmak veya kapatmak için iki durumlu düğmeyle birlikte Bellek bütünlüğünü de bulursunuz.
Önemli: Güvenlik için bellek bütünlüğünün açık olmasını öneririz.
Bellek bütünlüğünü kullanmak için sisteminizin UEFI veya BIOS'unda donanım sanallaştırmasını etkinleştirmiş olmanız gerekir.
Uyumsuz bir sürücüm olduğunu söylerse ne olur?
Bellek bütünlüğü açılamazsa, uyumlu olmayan bir cihaz sürücüsünün zaten yüklü olduğunu söyleyebilir. Güncelleştirilmiş bir sürücü olup olmadığını görmek için cihazın üreticisine başvurun. Uyumlu sürücü yoksa, uyumlu olmayan sürücüyü kullanan cihazı veya uygulamayı kaldırabilirsiniz.
Not: Bellek bütünlüğünü açtıktan sonra uyumsuz bir sürücüye sahip bir cihaz yüklemeye çalışırsanız, aynı iletiyi görebilirsiniz. Bu durumda, aynı öneri geçerli olur. İndirebileceğiniz güncelleştirilmiş bir sürücüye sahip olup olmadığını öğrenmek için cihaz üreticisine başvurun veya uyumlu bir sürücü kullanılabilir olana kadar ilgili cihazı yüklemeyin.
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması, kötü amaçlı programların bilgisayarınızı ele geçirmesi için düşük düzeyli sürücüleri kullanmasını zorlaştıran donanım tabanlı bir Windows güvenlik özelliğidir.
Sürücü, işletim sisteminin (bu örnekte Windows) ve klavye veya web kamerası gibi bir cihazın birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır.
İpucu: Sürücüler hakkında daha fazla bilgi edinmek ister misiniz? Bkz. Sürücü nedir?
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması, kötü amaçlı kodu başlatmak için çekirdek modu belleğindeki dönüş adreslerini değiştiren saldırıları önleyerek çalışır. Bu güvenlik özelliği, çalışan kodun dönüş adreslerini doğrulama özelliğini içeren bir CPU gerektirir.
Çekirdek modunda kod yürütürken, normal kod yürütmeyi kötü amaçlı koda yeniden yönlendirmek için çekirdek modu yığınındaki dönüş adresleri kötü amaçlı programlar veya sürücüler tarafından bozulabilir. Desteklenen CPU'larda CPU, sürücülerin değiştiremediği salt okunur bir gölge yığında geçerli dönüş adreslerinin ikinci bir kopyasını tutar. Normal yığındaki bir dönüş adresi değiştirildiyse CPU, gölge yığındaki dönüş adresinin kopyasını denetleyerek bu tutarsızlığı algılayabilir. Bu tutarsızlık oluştuğunda, kötü amaçlı kodun yürütülmesini önlemek için bilgisayar bazen mavi ekran olarak da bilinen bir durdurma hatası ister.
Az sayıda meşru sürücü kötü amaçlı olmayan amaçlarla iade adresi değişikliğine girişdiğinden, tüm sürücüler bu güvenlik özelliğiyle uyumlu değildir. Microsoft, en son sürücülerinin Çekirdek modu Donanım tarafından zorlanan Stack Protection ile uyumlu olduğundan emin olmak için çok sayıda sürücü yayımcısıyla çalışmaktadır.
Çekirdek modu Donanım tarafından zorlanan Stack Protection'ı nasıl yönetebilirim?
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması varsayılan olarak kapalıdır.
Açmak veya kapatmak için:
-
Başlangıç düğmesini seçin ve "Çekirdek yalıtımı" yazın.
-
Windows güvenlik uygulamasını açmak için arama sonuçlarından Çekirdek Yalıtım sistemi ayarlarını seçin.
Çekirdek yalıtımı sayfasında Çekirdek modu Donanım tarafından zorlanan Yığın Koruması'nı ve bunu açmak veya kapatmak için iki durumlu düğmeyi bulacaksınız.
Çekirdek modu Donanım tarafından zorlanan Stack Protection'ı kullanmak için Bellek Bütünlüğü'nü etkinleştirmiş olmanız ve Intel Control-Flow Zorlama Teknolojisi'ni veya AMD Gölge Yığınını destekleyen bir CPU çalıştırıyor olmanız gerekir.
Uyumsuz bir sürücüm veya hizmetim olduğunu söylerse ne olur?
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması açılamıyorsa, uyumlu olmayan bir cihaz sürücüsü veya hizmeti zaten yüklü olduğunu söyleyebilir. Güncelleştirilmiş bir sürücü olup olmadığını görmek için cihazın üreticisine veya uygulama yayımcısına başvurun. Uyumlu bir sürücü yoksa, bu uyumsuz sürücüyü kullanan cihazı veya uygulamayı kaldırabilirsiniz.
Bazı uygulamalar, uygulamanın yüklenmesi sırasında sürücü yerine bir hizmet yükleyebilir ve sürücüyü yalnızca uygulama başlatıldığında yükleyebilir. Uyumsuz sürücülerin daha doğru algılanması için, uyumsuz sürücülerle ilişkili olduğu bilinen hizmetler de numaralandırılır.
Not: Çekirdek modu Donanım tarafından zorlanan Stack Protection'ı açtıktan sonra uyumsuz bir sürücüye sahip bir cihaz veya uygulama yüklemeye çalışırsanız, aynı iletiyi görebilirsiniz. Bu durumda, aynı öneri geçerlidir. Cihaz üreticisine veya uygulama yayımcısına başvurarak indirebileceğiniz güncelleştirilmiş bir sürücü olup olmadığını denetleyin veya uyumlu bir sürücü kullanılabilir olana kadar ilgili cihazı veya uygulamayı yüklemeyin.
Bellek erişim koruması
"Çekirdek DMA koruması" olarak da bilinen bu koruma, kötü amaçlı bir cihaz Thunderbolt bağlantı noktası gibi bir PCI (Çevre Birimi Bileşeni Ara Bağlantısı) bağlantı noktasına takılı olduğunda oluşabilecek saldırılara karşı cihazınızı korur.
Bu saldırılardan birine basit bir örnek olarak, birisi hızlı bir kahve molası için bilgisayarından ayrılırsa ve dışarıdayken, bir saldırgan içeri adım atar, USB benzeri bir cihazı takar ve makineden hassas verilerle uzaklaşır veya bilgisayarı uzaktan denetlemesine olanak tanıyan kötü amaçlı yazılım ekler.
Bellek erişim koruması, özellikle bilgisayar kilitlendiğinde veya kullanıcının oturumu kapatıldığında özel koşullar dışında bu cihazlara doğrudan erişimi reddederek bu tür saldırıları önler.
Bellek erişim korumasının açık olmasını öneririz.
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Çekirdek DMA Koruması.
Üretici yazılımı koruması
Her cihazda, cihazın salt okunur belleğine yazılmış bazı yazılımlar (temel olarak sistem kartındaki bir yongaya yazılır), cihazın kullanmaya alışkın olduğumuz tüm uygulamaları çalıştıran işletim sistemini yükleme gibi temel işlevleri için kullanılır. Bu yazılımın değiştirilmesi zor olduğundan (ancak imkansız olmadığından) üretici yazılımı olarak adlandırıyoruz.
Üretici yazılımı önce yüklenip işletim sistemi altında çalıştığından, işletim sisteminde çalışan güvenlik araçları ve özellikleri bunu algılamak veya buna karşı savunmak zor olur. Güvenli olması için iyi bir temele bağımlı bir ev gibi, bir bilgisayarın işletim sisteminin, uygulamaların ve müşteri verilerinin güvenli olduğundan emin olmak için üretici yazılımının güvenli olması gerekir.
Windows Defender System Guard, saldırganların cihazınızın güvenilmeyen veya kötü amaçlı üretici yazılımıyla başlamasını sağlayamamalarına yardımcı olan bir özellik kümesidir.
Cihazınız destekliyorsa açık olması önerilir.
Üretici yazılımı koruması sunan platformlar genellikle yüksek ayrıcalıklı bir işletim modu olan Sistem Yönetim Modu'nu (SMM) çeşitli derecelerde korur. Üç değerden birini bekleyebilirsiniz ve daha yüksek bir sayı daha yüksek bir SMM koruması derecesini gösterir:
-
Cihazınız üretici yazılımı koruma sürüm 1'i karşılar: Bu, SMM'nin kötü amaçlı yazılımlardan yararlanmaya karşı koymasına yardımcı olmak için temel güvenlik azaltmaları sunar ve işletim sisteminden gizli dizilerin sızdırmasını önler (VBS dahil)
-
Cihazınız üretici yazılımı koruma sürüm 2'yi karşılar: Üretici yazılımı koruma sürüm 1'e ek olarak, ikinci sürüm SMM'nin Sanallaştırma Tabanlı Güvenlik (VBS) ve çekirdek DMA korumalarını devre dışı bırakamasını sağlar
-
Cihazınız üretici yazılımı koruması sürüm 3'ü karşılar: üretici yazılımı koruma sürümü ikiye ek olarak, işletim sisteminin güvenliğini tehlikeye atabilecek belirli yazmaçlara (VBS dahil) erişimi engelleyerek SMM'yi daha da güçlendiriyor
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Windows Defender System Guard: Donanım tabanlı bir güven kökü Windows'un korunmasına nasıl yardımcı olur?
Yerel Güvenlik Yetkilisi koruması
Yerel Güvenlik Yetkilisi (LSA) koruması, Windows'ta oturum açmak için kullanılan kimlik bilgilerinin çalınmasını önlemeye yardımcı olan bir Windows güvenlik özelliğidir.
Yerel Güvenlik Yetkilisi (LSA), Windows'ta kullanıcı kimlik doğrulamasına dahil olan önemli bir işlemdir. Oturum açma işlemi sırasında kimlik bilgilerini doğrulamak ve hizmetler için çoklu oturum açmayı etkinleştirmek için kullanılan kimlik doğrulama belirteçlerini ve biletlerini yönetmek sorumludur. LSA koruması, güvenilmeyen yazılımların LSA içinde çalışmasını veya LSA belleğine erişmesini önlemeye yardımcı olur.
Yerel Güvenlik Yetkilisi korumasını nasıl yönetebilirim?
LSA koruması, kuruluş tarafından yönetilen cihazlara Windows 11 sürüm 22H2 ve 23H2'nin yeni yüklemelerinde varsayılan olarak açıktır. Windows 11 sürüm 24H2 ve sonraki tüm yeni yüklemelerde varsayılan olarak açıktır.
Windows 11 24H2'ye yükseltiyorsanız ve LSA koruması zaten etkin değilse, LSA koruması yükseltmeden sonra etkinleştirmeyi dener. LSA koruması yükseltmeden sonra bir değerlendirme moduna girer ve 5 günlük bir süre boyunca uyumluluk sorunlarını denetler. Hiçbir sorun algılanmadıysa değerlendirme penceresi sona erdikten sonra bir sonraki yeniden başlatmanızda LSA koruması otomatik olarak açılır.
Açmak veya kapatmak için:
-
Görev çubuğunda Başlat'ı seçin ve "Çekirdek yalıtımı" yazın.
-
Windows güvenlik uygulamasını açmak için arama sonuçlarından Çekirdek Yalıtım sistemi ayarlarını seçin.
Çekirdek yalıtım sayfasında Yerel Güvenlik Yetkilisi korumasını ve bunu açmak veya kapatmak için iki durumlu düğmeyi bulacaksınız. Ayarı değiştirdikten sonra, etkin olması için yeniden başlatmanız gerekir.
Uyumlu olmayan bir yazılımım varsa ne olur?
LSA koruması etkinse ve yazılımın LSA hizmetine yüklenmesini engelliyorsa, engellenen dosyayı belirten bir bildirim gösterilir. Dosyayı yükleyen yazılımı kaldırabilir veya LSA'ya yüklenmesi engellendiğinde bu dosya için gelecek uyarıları devre dışı bırakabilirsiniz.
Microsoft Defender Credential Guard
Not: Microsoft Defender Credential Guard yalnızca Windows 10 veya 11'in Enterprise sürümlerini çalıştıran cihazlarda görünür.
İş veya okul bilgisayarınızı kullanırken sessizce oturum açar ve kuruluşunuzdaki dosyalar, yazıcılar, uygulamalar ve diğer kaynaklar gibi çeşitli şeylere erişim elde eder. Bu işlemin kullanıcı için güvenli olmasına rağmen kolay hale getirilmesi, bilgisayarınızda belirli bir zamanda bir dizi kimlik doğrulama belirteci ("gizli dizi" olarak adlandırılır) olduğu anlamına gelir.
Bir saldırgan bu gizli dizilerden birine veya daha fazlasına erişim elde edebilirse, gizli dizinin ait olduğu kuruluş kaynağına (hassas dosyalar vb.) erişim elde etmek için bu gizli dizileri kullanabilir. Microsoft Defender Credential Guard, bu gizli dizileri yalnızca belirli hizmetlerin gerektiğinde erişebileceği korumalı, sanallaştırılmış bir ortama yerleştirerek korumaya yardımcı olur.
Cihazınız destekliyorsa açık olması önerilir.
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Defender Credential Guard nasıl çalışır?
Microsoft Güvenlik Açığı Olan Sürücü Engelleme Listesi
Sürücü, işletim sisteminin (bu örnekte Windows) ve bir cihazın (iki örnek için klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır. Bu nedenle sürücüler sisteminizde çok fazla hassas erişime sahiptir.
Windows 11 2022 güncelleştirmesiyle başlayarak bilinen güvenlik açıklarına sahip, kötü amaçlı yazılımları imzalamak için kullanılan sertifikalarla imzalanmış veya Windows Güvenlik Modeli'ni atlatan sürücülerin bir blok listesine sahibiz.
Bellek bütünlüğü, Akıllı Uygulama Denetimi veya Windows S modunuz açıksa, güvenlik açığı bulunan sürücü blok listesi de açık olur.