Fidye yazılımı saldırıları 2010’ların ortalarında hız kazandıkça, Microsoft, Windows kullanıcılarına ve yöneticilere bilgisayarlarını bu tür saldırılardan korumak için araçlar sağlamaya çalıştı. Ekim 2017 özellik güncellemesi ile şirket, Windows 10’a Kontrollü Klasör Erişimi adlı bir özellik ekledi.
Kağıtta, Kontrollü Klasör Erişimi tüketiciler, ev kullanıcıları ve sınırlı kaynaklara sahip küçük işletmeler için harika bir koruma gibi görünüyor. Microsoft tarafından tanımlandığı gibi, “Kontrollü klasör erişimi, değerli verilerinizi kötü amaçlı uygulamalardan ve fidye yazılımı gibi tehditlerden korumaya yardımcı olur. Kontrollü klasör erişimi, uygulamaları bilinen, güvenilir uygulamalar listesine göre kontrol ederek verilerinizi korur. Windows Server 2019, Windows Server 2022, Windows 10 ve Windows 11 istemcilerinde desteklenen kontrollü klasör erişimi, Windows Security App, Microsoft Endpoint Configuration Manager veya Intune (yönetilen cihazlar için) kullanılarak açılabilir.”
Microsoft, “Kontrollü klasör erişimi, yalnızca güvenilir uygulamaların korumalı klasörlere erişmesine izin vererek çalışır. Korumalı klasörler, kontrollü klasör erişimi yapılandırıldığında belirtilir. Genellikle, belgeler, resimler, indirmeler vb. için kullanılanlar gibi yaygın olarak kullanılan klasörler, denetlenen klasörler listesine dahil edilir.
Özel olarak korunan klasörler şunları içerir:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
İstenmeyen sonuçlar
O halde hepsini dağıtalım, değil mi? O kadar hızlı değil. Askwoody forum kullanıcısı Astro46 yakın zamanda Kontrollü Klasör Erişimi’ni kullanmaya çalıştığını ve kullanımında bunun yan etkilere neden olduğunu kaydetti. İlgili olduğu gibi:
Yakında çeşitli erişim bildirimlerini gözden geçireceğimi ve her şeyin düzeleceğini varsaymıştım. Hiç yaşanmadı. Kendimi sık sık, bir programın düzgün çalışmaması ve sonunda reddedilen bir klasör erişiminin izini sürmesiyle ilgili anlaşılmaz bir sorunla uğraşırken buldum. Bu gerçekleştiğinde bir bildirim görmüş olsaydım, bu o kadar da kötü olmayabilirdi. Ama bazen evet, bazen hayır.
Ve daha önce erişim onayı verdiğim programlar yine sorun çıkarıyor gibiydi. Program güncellendiğinden ve Kontrollü Klasör Erişimi bunu anlayamadığından mı? Hayal kırıklığı ve kaybedilen zaman, sözde güvenliğe galip geldi.
olarak PDQ blogu uzaktan yönetim araçlarını ve diğer teknolojileri engelleyebilecek yan etkilerin olabileceğine dikkat çekiyor. Kontrollü Klasör Erişimini etkinleştirdiğinizde, yazılımı yüklediğinizde, yükleyici belirli klasörlere erişmeye çalışırken koruma ve yükleyici işlemi arasındaki etkileşimi göreceksiniz. “Yetkisiz değişiklikler engellendi” veya “yazılımadı.exe değişiklik yapması engellendi. Ayarları görmek için tıklayın.”
Kontrollü Klasör Erişimini kullanırken, işlemi tamamen etkinleştirmek yerine denetim modunda kullanmanız gerekebilir. Tam zorlama modunda Kontrollü Klasör Erişimini etkinleştirmek, çok fazla zaman harcamanıza ve istisnalar eklemenize neden olabilir. Erişimi takip etmek ve istisnalar eklemek için saatler harcamak zorunda kalan bilgisayar kullanıcıları hakkında birçok anekdot gönderisi var. Böyle bir afiş (birkaç yıl önce) dışlama işlemine Notepad ve Paint gibi normal Microsoft uygulamalarını eklemek zorunda olduğunu keşfetti.
Sorunları takip etme
Ne yazık ki, kullanıcı arabirimi minimal olduğundan, bağımsız iş istasyonlarında kontrollü klasör çakışmalarının keşfedilmesinin ana yolu, bir klasör korunduğunda ve bir uygulama konuma erişmeye çalışırken sistem tepsisinde görünen uyarılardır. Alternatif olarak, olay günlüklerine erişebilirsiniz, ancak ayrıntıları gözden geçirmeden önce bir olay xml dosyasını içe aktarmanız gerekir.
Belirtildiği gibi Microsoft’un Teknoloji Topluluğu bloguyapmalısın indirmek değerlendirme paketi dosyasını açın ve cfa-events.xml dosyasını indirme klasörünüze çıkarın. Veya aşağıdaki satırları bir Not Defteri dosyasına kopyalayıp yapıştırabilir ve farklı kaydedebilirsiniz. cfa-events.xml:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
Şimdi bu xml dosyasını olay görüntüleyicinize aktarın, böylece Kontrollü Klasör Erişimi olaylarını daha kolay görüntüleyebilir ve sıralayabilirsiniz. Tip Olay görüntüleyicisi Windows Olay Görüntüleyicisi’ni açmak için Başlat menüsünde. Sol panelde, Eylemler altında Özel görünümü içe aktar. cfa-events.xml dosyasını çıkardığınız yere gidin ve onu seçin. Alternatif olarak, XML’i doğrudan kopyalayın. Seçme TAMAM.
Ardından, aşağıdaki olaylar için olay günlüğüne bakın:
5007 Event when settings are changed
1124 Audited controlled folder access event
1123 Blocked controlled folder access event
Denetim modundaysanız 1124’e veya Kontrollü Klasör Erişimini test için tamamen etkinleştirdiyseniz 1123’e odaklanmak isteyeceksiniz. Olay günlüklerini gözden geçirdikten sonra, uygulamalarınızın tam olarak çalışması için ayarlamanız gereken ek klasörleri göstermelidir.
Bazı yazılımların beklemediğiniz ek dosyalara erişmesi gerektiğini görebilirsiniz. Aletle ilgili sorun burada yatıyor. Microsoft’un halihazırda onaylanmış birçok uygulaması olmasına ve bu nedenle Kontrollü Klasör Erişimi etkinken gayet iyi çalışacaklarına rağmen, diğer veya daha eski uygulamalar iyi çalışmayabilir. Hangi dosya ve klasörlerin ayar gerektirmediği ve hangilerinin ayar gerektirdiği benim için genellikle şaşırtıcı olmuştur.
Saldırı Yüzeyi Azaltma Kurallarına benzer şekilde, bu, bireysel iş istasyonları için daha iyi bağımsız bir arayüze sahip olmasını dilediğim teknolojilerden biridir. Defender for Endpoint’e sahip işletmeler sorunları oldukça kolay bir şekilde gözden geçirebilirken, bağımsız iş istasyonlarının sistem tepsisinde açılan mesajlara güvenmeleri gerekir.
Sonuç olarak
Antivirüs ihtiyaçlarınız için Defender’a güveniyorsanız, ek fidye yazılımı koruması için Kontrollü Klasör Erişimini değerlendirmeyi düşünün. Ancak benim tavsiyem, sadece dağıtmak değil, gerçekten değerlendirmektir. Denetim modunda etkinleştirmek ve etkisini gözden geçirmek için zaman ayırmak isteyeceksiniz. Uygulamalarınıza bağlı olarak, düşündüğünüzden daha etkili bulabilirsiniz.
Defender for Endpoint’e sahip olanlar için, Kontrollü Klasör Erişimini aşağıdaki gibi etkinleştirebilirsiniz: Microsoft Endpoint Configuration Manager’da şuraya gidin: Varlıklar ve Uyumluluk > Uç Nokta Koruması > Windows Defender Exploit Guard. Seçme Ev ve daha sonra Exploit Koruma Politikası Oluştur. Bir ad ve açıklama girin, seçin Kontrollü klasör erişimive seçin Sonraki. Değişiklikleri engellemeyi veya denetlemeyi, diğer uygulamalara izin vermeyi veya başka klasörler eklemeyi seçin ve Sonraki.
Alternatif olarak, bunu PowerShell, Grup İlkesi ve hatta kayıt defteri anahtarları. Bir ağ senaryosunda, güvenilenler listesine eklediğiniz uygulamaları Configuration Manager veya Intune kullanarak yönetebilirsiniz. Microsoft 365 Defender portalından ek yapılandırmalar gerçekleştirilebilir.
Çoğu zaman, saldırı riskleri ile güvenlik sistemlerinin bilgisayarlar üzerindeki etkisi arasında bir denge vardır. Bakiyeyi ve bunun ihtiyaçlarınız için kabul edilebilir bir ek yükü olup olmadığını değerlendirmek için zaman ayırın.
Telif Hakkı © 2022 IDG Communications, Inc.