Windows Güvenliği Uygulamasında Cihaz Güvenliği

Hiper yönetici korumalı Kod Bütünlüğü (HVCI) olarak da bilinen bellek bütünlüğü, kötü amaçlı programların bilgisayarınızı ele geçirmesi için düşük düzeyli sürücüleri kullanmasını zorlaştıran bir Windows güvenlik özelliğidir.

Sürücü, işletim sisteminin (bu durumda Windows) ve bir cihazın (klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır.

Bellek bütünlüğü , donanım sanallaştırmasını kullanarak yalıtılmış bir ortam oluşturarak çalışır.

Kilitli bir kabinin içindeki güvenlik görevlisi gibi düşün. Bu yalıtılmış ortam (benzetmemizdeki kilitli kabin), bellek bütünlüğü özelliğinin bir saldırgan tarafından kurcalanmasını önler. Tehlikeli olabilecek bir kod parçası çalıştırmak isteyen bir program, kodun doğrulanabilmesi için kodu bu sanal standın içindeki bellek bütünlüğüne geçirmesi gerekir. Bellek bütünlüğü, kodun güvenli olduğundan emin olduğunda kodu çalıştırmak için Windows'a geri getirir. Genellikle, bu çok hızlı bir şekilde gerçekleşir.

Bellek bütünlüğü çalışmadan , güvenlik görevlisi açık alanda öne çıkar ve bir saldırganın korumayı engellemesi veya sabote etmesinde çok daha kolay olur ve kötü amaçlı kodun gizlice geçip sorunlara neden olmasını kolaylaştırır.

İki durumlu düğmeyi kullanarak bellek bütünlüğünü Açık veya Kapalı duruma getirin.

Uyumsuz bir sürücüm olduğunu söylerse ne olur?

Bellek bütünlüğü açılamazsa, uyumlu olmayan bir cihaz sürücüsünün zaten yüklü olduğunu söyleyebilir. Güncelleştirilmiş bir sürücü olup olmadığını görmek için cihazın üreticisine başvurun. Uyumlu sürücü yoksa, uyumlu olmayan sürücüyü kullanan cihazı veya uygulamayı kaldırabilirsiniz.

Donanım tarafından zorlanan yığın koruması, kötü amaçlı programların bilgisayarınızı ele geçirmesi için düşük düzeyli sürücüleri kullanmasını zorlaştıran donanım tabanlı bir güvenlik özelliğidir.

Sürücü, işletim sisteminin (bu durumda Windows) ve bir cihazın (klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır.

Donanım tarafından zorlanan yığın koruması, kötü amaçlı kodu başlatmak için çekirdek modu belleğindeki dönüş adreslerini değiştiren saldırıları önleyerek çalışır. Bu güvenlik özelliği, çalışan kodun dönüş adreslerini doğrulama özelliğini içeren bir CPU gerektirir.

Çekirdek modunda kod yürütürken, normal kod yürütmeyi kötü amaçlı koda yeniden yönlendirmek için çekirdek modu yığınındaki dönüş adresleri kötü amaçlı programlar veya sürücüler tarafından bozulabilir. Desteklenen CPU'larda CPU, sürücülerin değiştiremediği salt okunur bir gölge yığında geçerli dönüş adreslerinin ikinci bir kopyasını tutar. Normal yığındaki bir dönüş adresi değiştirildiyse CPU, gölge yığındaki dönüş adresinin kopyasını denetleyerek bu tutarsızlığı algılayabilir. Bu tutarsızlık oluştuğunda, kötü amaçlı kodun yürütülmesini önlemek için bilgisayar bazen mavi ekran olarak da bilinen bir durdurma hatası ister.

Az sayıda meşru sürücü kötü amaçlı olmayan amaçlarla iade adresi değişikliğine girişdiğinden, tüm sürücüler bu güvenlik özelliğiyle uyumlu değildir. Microsoft, en son sürücülerinin donanım tarafından zorlanan yığın korumasıyla uyumlu olduğundan emin olmak için çok sayıda sürücü yayımcısıyla çalışmaktadır.

İki durumlu düğmeyi kullanarak donanım tarafından zorlanan yığın korumasını Açık veya Kapalı olarak ayarlayabilirsiniz.

Donanım tarafından zorlanan yığın korumasını kullanmak için bellek bütünlüğünü etkinleştirmiş olmanız ve Intel Control-Flow Zorlama Teknolojisi veya AMD Gölge Yığınını destekleyen bir CPU çalıştırıyor olmanız gerekir.

Uyumsuz bir sürücüm veya hizmetim olduğunu söylerse ne olur?

Donanım tarafından zorlanan yığın koruması açılamazsa, uyumlu olmayan bir cihaz sürücüsü veya hizmeti zaten yüklü olduğunu söyleyebilir. Güncelleştirilmiş bir sürücü olup olmadığını görmek için cihazın üreticisine veya uygulama yayımcısına başvurun. Uyumlu bir sürücü yoksa, bu uyumsuz sürücüyü kullanan cihazı veya uygulamayı kaldırabilirsiniz.

Bazı uygulamalar, uygulamanın yüklenmesi sırasında sürücü yerine bir hizmet yükleyebilir ve sürücüyü yalnızca uygulama başlatıldığında yükleyebilir. Uyumsuz sürücülerin daha doğru algılanması için, uyumsuz sürücülerle ilişkili olduğu bilinen hizmetler de numaralandırılır.

Çekirdek DMA koruması olarak da bilinen bu güvenlik özelliği, cihazınızı Thunderbolt bağlantı noktası gibi bir Çevre Birimi Bileşeni Ara Bağlantısı (PCI) bağlantı noktasına kötü amaçlı bir cihaz takılı olduğunda oluşabilecek saldırılara karşı korur.

Bu saldırılardan birine basit bir örnek olarak, birisi hızlı bir kahve molası için bilgisayarından ayrılırsa ve dışarıdayken, bir saldırgan içeri adım atar, USB benzeri bir cihazı takar ve makineden hassas verilerle uzaklaşır veya bilgisayarı uzaktan denetlemesine olanak tanıyan kötü amaçlı yazılım ekler. 

Bellek erişim koruması, özellikle bilgisayar kilitli olduğunda veya kullanıcının oturumu kapatıldığında özel koşullar dışında bu cihazlara doğrudan erişimi reddederek bu tür saldırıları önler.

Her cihazda, cihazın salt okunur belleğine yazılmış bazı yazılımlar (temel olarak sistem kartındaki bir yongaya yazılır), cihazın kullanmaya alışkın olduğumuz tüm uygulamaları çalıştıran işletim sistemini yükleme gibi temel işlevleri için kullanılır. Bu yazılımın değiştirilmesi zor olduğundan (ancak imkansız olmadığından) üretici yazılımı olarak adlandırıyoruz.

Üretici yazılımı önce yüklenip işletim sistemi altında çalıştığından, işletim sisteminde çalışan güvenlik araçları ve özellikleri bunu algılamak veya buna karşı savunmak zor olur. Güvenli olması için iyi bir temele bağımlı bir ev gibi, bilgisayarın işletim sisteminin, uygulamaların ve verilerin güvenli olduğundan emin olmak için üretici yazılımının güvenli olması gerekir.

System Guard, saldırganların cihazınızın güvenilmeyen veya kötü amaçlı üretici yazılımıyla başlamasını sağlayamamalarına yardımcı olan bir özellik kümesidir.

Üretici yazılımı koruması sunan platformlar genellikle yüksek ayrıcalıklı bir işletim modu olan Sistem Yönetim Modu'nu (SMM) çeşitli derecelerde korur. Üç değerden birini bekleyebilirsiniz ve daha yüksek bir sayı daha yüksek bir SMM koruması derecesini gösterir:

• Cihazınız üretici yazılımı koruma sürüm 1'i karşılar: Bu, SMM'nin kötü amaçlı yazılımlardan yararlanmaya karşı koymasına yardımcı olmak için temel güvenlik azaltmaları sunar ve işletim sisteminden gizli dizilerin sızdırmasını önler (VBS dahil)

• Cihazınız üretici yazılımı koruma sürüm 2'yi karşılar: Üretici yazılımı koruma sürüm 1'e ek olarak, ikinci sürüm SMM'nin Sanallaştırma Tabanlı Güvenlik (VBS) ve çekirdek DMA korumalarını devre dışı bırakamasını sağlar

• Cihazınız üretici yazılımı koruması sürüm 3'ü karşılar: üretici yazılımı koruma sürümü ikiye ek olarak, işletim sisteminin güvenliğini tehlikeye atabilecek belirli yazmaçlara (VBS dahil) erişimi engelleyerek SMM'yi daha da güçlendiriyor

Yerel Güvenlik Yetkilisi (LSA) koruması, Windows'ta oturum açmak için kullanılan kimlik bilgilerinin çalınmasını önlemeye yardımcı olan bir Windows güvenlik özelliğidir.   

Yerel Güvenlik Yetkilisi (LSA), Windows'ta kullanıcı kimlik doğrulamasına dahil olan önemli bir işlemdir. Oturum açma işlemi sırasında kimlik bilgilerini doğrulamak ve hizmetler için çoklu oturum açmayı etkinleştirmek için kullanılan kimlik doğrulama belirteçlerini ve biletlerini yönetmek sorumludur. LSA koruması, güvenilmeyen yazılımların LSA içinde çalışmasını veya LSA belleğine erişmesini önlemeye yardımcı olur.  

Yerel Güvenlik Yetkilisi korumasını Nasıl yaparım? yönetiyorsunuz?

İki durumlu düğmeyi kullanarak LSA korumasını Açık veya Kapalı olarak ayarlayabilirsiniz.

Ayarı değiştirdikten sonra, etkin olması için yeniden başlatmanız gerekir. 

Uyumlu olmayan bir yazılımım varsa ne olur? 

LSA koruması etkinse ve yazılımın LSA hizmetine yüklenmesini engelliyorsa, engellenen dosyayı belirten bir bildirim görüntülenir. Dosyayı yükleyen yazılımı kaldırabilir veya LSA'ya yüklenmesi engellendiğinde bu dosya için gelecek uyarıları devre dışı bırakabilirsiniz.  

İş veya okul cihazınızı kullanırken sessizce oturum açar ve kuruluşunuzdaki dosyalar, yazıcılar, uygulamalar ve diğer kaynaklar gibi çeşitli şeylere erişim elde eder. Bu işlemin kullanıcı için güvenli olmasına rağmen kolay hale getirilmesi, bilgisayarınızda herhangi bir zamanda bir dizi kimlik doğrulama belirteci olduğu anlamına gelir.

Bir saldırgan bu belirteçlerden birine veya birden fazlasına erişim elde edebilirse, bu belirteçleri kullanarak belirtecin ait olduğu kuruluş kaynağına (hassas dosyalar vb.) erişim sağlayabilir. Credential Guard, gerektiğinde yalnızca belirli hizmetlerin erişebileceği korumalı, sanallaştırılmış bir ortama yerleştirerek bu belirteçlerin korunmasına yardımcı olur.

Sürücü, işletim sisteminin (bu durumda Windows) ve bir cihazın (klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır. Bu nedenle sürücüler sisteminizde çok fazla hassas erişime sahiptir.

Windows 11 bilinen güvenlik açıklarına sahip, kötü amaçlı yazılımları imzalamak için kullanılan sertifikalarla imzalanmış veya Windows Güvenliği Modeli'ni atlatan sürücülerin bir blok listesini içerir.

Bellek bütünlüğü, Akıllı Uygulama Denetimi veya Windows S modunuz açıksa, güvenlik açığı bulunan sürücü blok listesi de açık olur.

Burada, güvenlik işlemcisi üreticisi ve sürüm numaraları hakkında bilgilerin yanı sıra güvenlik işlemcisinin durumu hakkında bilgiler bulabilirsiniz.

Bilgisayarınızdaki Windows Güvenliği uygulamasında, Cihaz güvenliği  > Güvenlik işlemcisi ayrıntıları'nı seçin veya aşağıdaki kısayolu kullanın:

Güvenlik işlemcisi ayrıntıları

Güvenlik işlemciniz düzgün çalışmıyorsa, hata iletilerini ve gelişmiş seçenekleri görmek için Güvenlik işlemcisi sorun giderme bağlantısını seçebilir veya aşağıdaki kısayolu kullanabilirsiniz:

Güvenlik işlemcisi sorunlarını giderme

Güvenlik işlemcisi sorun giderme sayfası, TPM ile ilgili tüm ilgili hata iletilerini sağlar. Hata iletilerinin ve ayrıntıların listesi aşağıdadır:

İleti	Ayrıntılar
Güvenlik işlemciniz (TPM) için bir üretici yazılımı güncelleştirmesi gerekiyor.	Cihazınızın ana kartı şu anda TPM'yi desteklemiyor gibi görünüyor, ancak bir üretici yazılımı güncelleştirmesi bu sorunu çözebilir. Bir üretici yazılımı güncelleştirmesinin kullanılabilir olup olmadığını ve nasıl yükleneceğini öğrenmek için cihazınızın üreticisine başvurun. Üretici yazılımı güncelleştirmeleri genellikle ücretsizdir.
TPM devre dışı bırakılmış ve ilgilenmeniz gerekiyor.	Güvenilen platform modülü büyük olasılıkla sistem BIOS'unda (Temel Giriş/Çıkış Sistemi) veya UEFI'de (Birleşik Genişletilebilir Üretici Yazılımı Arabirimi) kapalıdır. Cihaz üreticinizin destek belgelerine bakın veya nasıl açabilirsiniz yönergeleri için teknik destek birimine başvurun.
TPM depolaması kullanılamıyor. Lütfen TPM'nizi temizleyin.	Tpm'yi temizle düğmesi bu sayfadadır. Devam etmeden önce verilerinizin iyi bir yedeğine sahip olduğunuzdan emin olmak istersiniz.
Cihaz sistem durumu kanıtlama kullanılamıyor. Lütfen TPM'nizi temizleyin.	Tpm'yi temizle düğmesi bu sayfadadır. Devam etmeden önce verilerinizin iyi bir yedeğine sahip olduğunuzdan emin olmak istersiniz.
Cihaz sistem durumu kanıtlama bu cihazda desteklenmiyor.	Bu, cihazın tpm'nin cihazınızda neden düzgün çalışmadığını belirlemek için bize yeterli bilgi vermediği anlamına gelir.
TPM'niz üretici yazılımınızla uyumlu değil ve düzgün çalışmıyor olabilir.	Bir üretici yazılımı güncelleştirmesi olup olmadığını ve bunu nasıl edinip yükleyebilmek için cihazınızın üreticisine başvurun. Üretici yazılımı güncelleştirmeleri genellikle ücretsizdir.
TPM tarafından ölçülen önyükleme günlüğü eksik. Cihazınızı yeniden başlatmayı deneyin.
TPM'nizde bir sorun var. Cihazınızı yeniden başlatmayı deneyin.

Hata iletisi giderildikten sonra hala sorun yaşamaya devam ediyorsanız yardım için cihaz üreticinize başvurun.

Güvenlik işlemcinizi varsayılan ayarlarına sıfırlamak için TPM'yi Temizle'yi seçin.