Microsoft, Windows 11, sürüm 22H2, Microsoft Güvenlik Uyumluluk Araç Seti'ni kullanarak bugün indirilebilir Güvenlik Yapılandırması Baseline ayarlarının son sürümünü yayınladı.
Microsoft güvenlik danışmanı Rick Munck, "Bu sürüm, kurumsal müşterilerin güvenliğine daha fazla yardımcı olacak çok sayıda değişiklik içeriyor." Dedi.
"Donanım ve sürücü güvenliği, kimlik bilgisi hırsızlığı, yazıcılar, DNS ve hesap kilitleme ile ilgili ek korumalar için değişiklikler yapıldı."
Yeni taban çizgisi birden fazla alana odaklanan ekstra savunmalar eklerken, en son Windows 11 güvenlik taban çizgisinin en önemli özelliği, kötü amaçlı yazılım tehditlerine karşı çekirdek kodu için ek donanım seviyesi koruma sağlayan çekirdek modu donanımla güçlendirilmiş yığın korumasının eklenmesidir.
Intel'in Kontrol Akışı Uygulama Teknolojisi (CET) veya AMD Gölge Yığınları gibi donanım gölge yığınlarını destekleyen yonga setleri içeren sistemler üzerinde çalışır.
Çekirdeği, bir işlemin doğal akışının değiştirildiğini tespit ettiğinde istisnaları otomatik olarak tetikleyerek, dönüş odaklı programlama (ROP) ve atlama odaklı programlama (JOP) dahil olmak üzere ortak istismar tekniklerinden korur.
Saldırganlar, bir programın amaçlanan kontrol akışını ele geçirmek için bu tür sömürü taktiklerini düzenli olarak kullanırlar, örneğin, bir web tarayıcısının kum havuzundan kaçmak için kötü amaçlı kod yürütmeye veya kötü niyetli olarak hazırlanmış web sayfalarını ziyaret ederken kod kodunu uzaktan çalıştırırlar.
Munck, "System \ Cihaz Koruma \ 'da bulunan ayara yeni bir özellik eklendi.
"Bu yeni özellik için Intel Tiger Lake ve Beyond veya AMD ZEN3 ve ötesini gerektiren bir donanım bağımlılığı var.
"Bu ayar HVCI'ye (sanallaştırmaya dayalı kod bütünlüğünün korunmasına) bağımlılığa sahiptir. İşletmeler taban çizgileri takip ettiği sürece herhangi bir sorun olmamalıdır, ancak kuruluş HVCI'dan saparsa, o zaman çekirdek modu donanımı zorunlu yığın koruması olamaz etkinleştirilmiş."
Yeni taban çizgisi, Windows Defender SmartScreen geliştirilmiş kimlik avı koruması eklenerek kimlik avı saldırılarına karşı koruma ekliyor ve hala kullanıcı adı ve şifre windows kimlik doğrulamasına dayanıyor.
Munck, "Windows Bileşenleri \ Windows Defender SmartScreen \ Geliştirilmiş Kimlik Yardım Korumasında bulunan bu yeni özellikler, kurumsal kimlik bilgilerinin kötü niyetli veya istenmeyen amaçlar için kullanılamamasını sağlıyor."
"Bu bir son kullanıcı seçeneği olduğundan, güvenlik taban çizgisi, sistemde kullanılan işletme kimlik bilgilerinin uygun şekilde izlenmesini ve denetlenmesini sağlamak için hizmetin etkinleştirilmesini (Hizmet Etkin Ayarı) uygular."
İşletmeleri korumak için Yönetim Şablonları \ yazıcılar altında, 'TCP bağlantı noktası üzerinden RPC'yi yapılandır', 'yeniden yönlendirme muhafazası', 'RPC bağlantısını yapılandır' ve 'RPC dinleyici ayarlarını yapılandırır' dahil olmak üzere birkaç yeni ayar etkinleştirilir.
Windows 11 22H2 güvenlik taban çizgisi, 'özel SSP'lerin ve AP'lerin LSAS'a yüklenmesine izin ver', LSASS'ı korumalı bir işlem olarak çalıştırmasını 've' sistem için MPR bildirimlerini etkinleştir 'aracılığıyla kimlik bilgisi hırsızlığı korumasını da içerir. özel güvenlik paketleri ve sağlayıcılara şifre açıklaması.
İşletim sistemi taban çizgisi, uygulamaların savunmasız imzalı sürücüleri diske yazmasını önlemeye yardımcı olan yeni 'sömürülen savunmasız imzalı sürücüler' kuralının yeni 'blok kötüye kullanımı yoluyla saldırı yüzeyini azaltır ve yeni' Yönetici Hesabı Kilitleme İzin Ver 'Kuralıyla yeni' kimlik doğrulama saldırısı azaltımı ile .
Microsoft ayrıca Yönetici Şablonlar \ Network \ DNS istemcisi altında 'DNS'yi HTTPS (DOH) Name Çözümü üzerinden yapılandırmayı' etkinleştirmenizi önerir. Henüz başlangıçta olmasa da, şifreli DNS kullanmak isteyen işletmeler manuel olarak etkinleştirebilir.
Windows güvenlik taban çizgisi, kurumsal güvenlik yöneticilerinin saldırı yüzeyini azaltmak ve Windows kurumsal uç noktalarının güvenlik duruşunu iyileştirmek için Microsoft tarafından önerilen Grup Politika Nesnesi (GPO) taban çizgilerini kullanmasını sağlar.
Microsoft, "Güvenlik taban çizgisi, güvenlik etkilerini açıklayan bir grup Microsoft tarafından önerilen yapılandırma ayarlarıdır." "Bu ayarlar, Microsoft Güvenlik Mühendislik Ekipleri, Ürün Grupları, Ortaklar ve Müşterilerden gelen geri bildirimlere dayanmaktadır."
Windows 11 22H2 Güvenlik Taban çizgisi artık Microsoft Güvenlik Uyumluluk Araç Seti aracılığıyla kullanılabilir. Grup İlkesi Nesnesi (GPO) yedeklemeleri ve raporları, yerel GPO'ya ayarları uygulamak için komut dosyalarını ve Politika Analizörü kural dosyalarını içerir.
Munck, "Lütfen içeriği Microsoft Güvenlik Uyumluluk Araç Seti'nden indirin, önerilen yapılandırmaları test edin ve uygun şekilde özelleştirin / uygulamayı.
Bu sürümü açıklayan Microsoft Security Baselines blog yayınında yeni Windows 11'de uygulanan değişiklikler hakkında ek ayrıntılar bulabilirsiniz.
Windows 11 22H2 yayınlandı, işte yeni özellikler
Windows 11, SMB Brute-Force saldırılarına karşı daha iyi koruma sağlar
Microsoft, Windows 11 Home Insiders için varsayılan olarak SMB1'i devre dışı bırakır
Windows 11'in yeni görev yöneticisi ile eller
Windows 11 KB5017328 Güncelleme USB yazdırmasını düzeltiyor, ses kulaklık sorunları
Kaynak: Bleeping Computer