Çekirdek yalıtım, Microsoft Windows'un önemli temel işlemlerini bellekte yalıtarak kötü amaçlı yazılımlardan koruyan bir güvenlik özelliğidir. Bunu, bu temel işlemleri sanallaştırılmış bir ortamda çalıştırarak yapar.
Not: Çekirdek yalıtım sayfasında gördükleriniz, çalıştırdığınız Windows sürümüne bağlı olarak biraz farklılık gösterebilir.
Bellek bütünlüğü
Hiper yönetici korumalı Kod Bütünlüğü (HVCI) olarak da bilinen bellek bütünlüğü, kötü amaçlı programların bilgisayarınızı ele geçirmesi için düşük düzeyli sürücüleri kullanmasını zorlaştıran bir Windows güvenlik özelliğidir.
Sürücü, işletim sisteminin (bu örnekte Windows) ve bir cihazın (iki örnek için klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır.
İpucu: Sürücüler hakkında daha fazla bilgi edinmek ister misiniz? Bkz. Sürücü nedir?
Bellek bütünlüğü, donanım sanallaştırmasını kullanarak yalıtılmış bir ortam oluşturarak çalışır.
Kilitli bir kabinin içindeki güvenlik görevlisi gibi düşün. Bu yalıtılmış ortam (benzetmemizdeki kilitli kabin), bellek bütünlüğü özelliğinin bir saldırgan tarafından kurcalanmasını önler. Tehlikeli olabilecek bir kod parçası çalıştırmak isteyen bir program, kodun doğrulanabilmesi için kodu bu sanal standın içindeki bellek bütünlüğüne geçirmesi gerekir. Bellek bütünlüğü, kodun güvenli olduğundan emin olduğunda kodu çalıştırmak için Windows'a geri getirir. Genellikle, bu çok hızlı bir şekilde gerçekleşir.
Bellek bütünlüğü çalıştırılmadan, "güvenlik görevlisi" açık alanda öne çıkar ve bir saldırganın korumayı engellemesi veya sabote etmesinde çok daha kolay olur ve kötü amaçlı kodun gizlice geçmesi ve sorunlara neden olması daha kolay olur.
Bellek bütünlüğünü Nasıl yaparım? yönetebilirsiniz?
Çoğu durumda bellek bütünlüğü Windows 11 varsayılan olarak açıktır ve Windows 10 için açılabilir.
Açmak veya kapatmak için:
-
Başlangıç düğmesini seçin ve "Çekirdek yalıtımı" yazın.
-
Windows güvenlik uygulamasını açmak için arama sonuçlarından Çekirdek Yalıtım sistemi ayarlarını seçin.
Çekirdek yalıtım sayfasında, açmak veya kapatmak için iki durumlu düğmeyle birlikte Bellek bütünlüğünü de bulursunuz.
Önemli: Güvenlik için bellek bütünlüğünün açık olmasını öneririz.
Bellek bütünlüğünü kullanmak için sisteminizin UEFI veya BIOS'unda donanım sanallaştırmasını etkinleştirmiş olmanız gerekir.
Uyumsuz bir sürücüm olduğunu söylerse ne olur?
Bellek bütünlüğü açılamazsa, uyumlu olmayan bir cihaz sürücüsünün zaten yüklü olduğunu söyleyebilir. Güncelleştirilmiş bir sürücü olup olmadığını görmek için cihazın üreticisine başvurun. Uyumlu sürücü yoksa, uyumlu olmayan sürücüyü kullanan cihazı veya uygulamayı kaldırabilirsiniz.
Not: Bellek bütünlüğünü açtıktan sonra uyumsuz bir sürücüye sahip bir cihaz yüklemeye çalışırsanız, aynı iletiyi görebilirsiniz. Bu durumda, aynı öneri geçerli olur. İndirebileceğiniz güncelleştirilmiş bir sürücüye sahip olup olmadığını öğrenmek için cihaz üreticisine başvurun veya uyumlu bir sürücü kullanılabilir olana kadar ilgili cihazı yüklemeyin.
Bellek erişim koruması
"Çekirdek DMA koruması" olarak da bilinen bu koruma, kötü amaçlı bir cihaz Thunderbolt bağlantı noktası gibi bir PCI (Çevre Birimi Bileşeni Ara Bağlantısı) bağlantı noktasına takılı olduğunda oluşabilecek saldırılara karşı cihazınızı korur.
Bu saldırılardan birine basit bir örnek olarak, birisi hızlı bir kahve molası için bilgisayarından ayrılırsa ve dışarıdayken, bir saldırgan içeri adım atar, USB benzeri bir cihazı takar ve makineden hassas verilerle uzaklaşır veya bilgisayarı uzaktan denetlemesine olanak tanıyan kötü amaçlı yazılım ekler.
Bellek erişim koruması, özellikle bilgisayar kilitlendiğinde veya kullanıcının oturumu kapatıldığında özel koşullar dışında bu cihazlara doğrudan erişimi reddederek bu tür saldırıları önler.
Bellek erişim korumasının açık olmasını öneririz.
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Çekirdek DMA Koruması.
Üretici yazılımı koruması
Her cihazda, cihazın salt okunur belleğine yazılmış bazı yazılımlar (temel olarak sistem kartındaki bir yongaya yazılır), cihazın kullanmaya alışkın olduğumuz tüm uygulamaları çalıştıran işletim sistemini yükleme gibi temel işlevleri için kullanılır. Bu yazılımın değiştirilmesi zor olduğundan (ancak imkansız olmadığından) üretici yazılımı olarak adlandırıyoruz.
Üretici yazılımı önce yüklenip işletim sistemi altında çalıştığından, işletim sisteminde çalışan güvenlik araçları ve özellikleri bunu algılamak veya buna karşı savunmak zor olur. Güvenli olması için iyi bir temele bağımlı bir ev gibi, bir bilgisayarın işletim sisteminin, uygulamaların ve müşteri verilerinin güvenli olduğundan emin olmak için üretici yazılımının güvenli olması gerekir.
Windows Defender System Guard, saldırganların cihazınızın güvenilmeyen veya kötü amaçlı üretici yazılımıyla başlamasını sağlayamamalarına yardımcı olan bir özellik kümesidir.
Cihazınız destekliyorsa açık olması önerilir.
Üretici yazılımı koruması sunan platformlar genellikle yüksek ayrıcalıklı bir işletim modu olan Sistem Yönetim Modu'nu (SMM) çeşitli derecelerde korur. Üç değerden birini bekleyebilirsiniz ve daha yüksek bir sayı daha yüksek bir SMM koruması derecesini gösterir:
-
Cihazınız üretici yazılımı koruma sürüm 1'i karşılar: Bu, SMM'nin kötü amaçlı yazılımlardan yararlanmaya karşı koymasına yardımcı olmak için temel güvenlik azaltmaları sunar ve işletim sisteminden gizli dizilerin sızdırmasını önler (VBS dahil)
-
Cihazınız üretici yazılımı koruma sürüm 2'yi karşılar: Üretici yazılımı koruma sürüm 1'e ek olarak, ikinci sürüm SMM'nin Sanallaştırma Tabanlı Güvenlik (VBS) ve çekirdek DMA korumalarını devre dışı bırakamasını sağlar
-
Cihazınız üretici yazılımı koruması sürüm 3'ü karşılar: üretici yazılımı koruma sürümü ikiye ek olarak, işletim sisteminin güvenliğini tehlikeye atabilecek belirli yazmaçlara (VBS dahil) erişimi engelleyerek SMM'yi daha da güçlendiriyor
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Windows Defender System Guard: Donanım tabanlı bir güven kökü Windows'un korunmasına nasıl yardımcı olur?
Microsoft Defender Credential Guard
Not: Microsoft Defender Credential Guard yalnızca Windows 10 veya 11'in Kurumsal sürümlerini çalıştıran cihazlarda görünür.
İş veya okul bilgisayarınızı kullanırken sessizce oturum açar ve kuruluşunuzdaki dosyalar, yazıcılar, uygulamalar ve diğer kaynaklar gibi çeşitli şeylere erişim elde eder. Bu işlemin kullanıcı için güvenli olmasına rağmen kolay hale getirilmesi, bilgisayarınızda belirli bir zamanda bir dizi kimlik doğrulama belirteci ("gizli dizi" olarak adlandırılır) olduğu anlamına gelir.
Bir saldırgan bu gizli dizilerden birine veya daha fazlasına erişim elde edebilirse, gizli dizinin ait olduğu kuruluş kaynağına (hassas dosyalar vb.) erişim elde etmek için bu gizli dizileri kullanabilir. Microsoft Defender Credential Guard, bu gizli dizileri gerektiğinde yalnızca belirli hizmetlerin erişebileceği korumalı, sanallaştırılmış bir ortama yerleştirerek korumaya yardımcı olur.
Cihazınız destekliyorsa açık olması önerilir.
İpucu: Bu konuda daha fazla teknik ayrıntı istiyorsanız bkz. Defender Credential Guard nasıl çalışır?
Microsoft Güvenlik Açığı Olan Sürücü Engelleme Listesi
Sürücü, işletim sisteminin (bu örnekte Windows) ve bir cihazın (iki örnek için klavye veya web kamerası gibi) birbiriyle konuşmasına olanak tanıyan bir yazılımdır. Cihaz Windows'un bir şey gerçekleştirmesini istediğinde, bu isteği göndermek için sürücüyü kullanır. Bu nedenle sürücüler sisteminizde çok fazla hassas erişime sahiptir.
Windows 11 2022 güncelleştirmesi ile başlayarak bilinen güvenlik açıklarına sahip, kötü amaçlı yazılımları imzalamak için kullanılan sertifikalarla imzalanmış veya Windows Güvenliği Modeli'ni atlatan sürücülerin bir blok listesine sahibiz.
Bellek bütünlüğü, Akıllı Uygulama Denetimi veya Windows S modunuz açıksa, güvenlik açığı bulunan sürücü blok listesi de açık olur.
