Aracılığıyla paylaş

Intune'de uç nokta güvenliği için saldırı yüzeyi azaltma ilkesi ayarları

  • Makale

Bir Uç nokta güvenlik ilkesinin parçası olarak Intune uç nokta güvenlik düğümünde Saldırı yüzeyi azaltma ilkesi için profillerde yapılandırabileceğiniz ayarları görüntüleyin.

Şunlar için geçerlidir:

  • Windows 11
  • Windows 10

Desteklenen platformlar ve profiller:

  • Windows 10 ve üzeri - Intune ile yönetilen cihazlara dağıttığınız ilke için bu platformu kullanın.

    • Profil: Uygulama ve tarayıcı yalıtımı
    • Profil: Uygulama denetimi
    • Profil: Saldırı yüzeyi azaltma kuralları
    • Profil: Cihaz denetimi
    • Profil: Yararlanma koruması
    • Profil: Web koruması (Microsoft Edge'in eski sürümü)

  • Windows 10 ve üzeri (ConfigMgr): Configuration Manager tarafından yönetilen cihazlara dağıttığınız ilke için bu platformu kullanın.

    • Profil: Exploit Protection(ConfigMgr)(önizleme)
    • Profil: Web Koruması (ConfigMgr)(önizleme)

  • Windows 10, Windows 11 ve Windows Server: Uç Nokta için Microsoft Defender için Güvenlik Yönetimi aracılığıyla yönetilen cihazlara dağıttığınız ilke için bu platformu kullanın.

    • Profil: Saldırı Yüzeyi Azaltma Kuralları

Saldırı yüzeyini azaltma (MDM)

Uygulama ve tarayıcı yalıtım profili

Not

Bu bölümde, 18 Nisan 2023'te oluşturulan Uygulama ve tarayıcı yalıtım profillerindeki ayarlar ayrıntılı olarak açıklanmaktadır. Bu tarihten sonra oluşturulan profiller, Ayarlar Kataloğu'nda bulunan yeni bir ayarlar biçimini kullanır. Bu değişiklikle artık eski profilin yeni sürümlerini oluşturamıyabilirsiniz ve bunlar artık geliştirilmeyecektir. Artık eski profilin yeni örneklerini oluşturamasanız da, daha önce oluşturduğunuz örneklerini düzenlemeye ve kullanmaya devam edebilirsiniz.

Yeni ayarlar biçimini kullanan profiller için Intune artık her ayarın bir listesini ada göre tutmaz. Bunun yerine, her ayarın adı, yapılandırma seçenekleri ve Microsoft Intune yönetim merkezinde gördüğünüz açıklayıcı metin doğrudan ayarların yetkili içeriğinden alınır. Bu içerik, ayarın uygun bağlamında kullanımı hakkında daha fazla bilgi sağlayabilir. Bir ayarlar bilgi metnini görüntülerken, bu içeriği açmak için Daha fazla bilgi edinin bağlantısını kullanabilirsiniz.

Uygulama ve tarayıcı yalıtımı

  • Application Guard açma
    CSP: AllowWindowsDefenderApplicationGuard

    • Yapılandırılmadı (varsayılan) - Microsoft Defender Application Guard Microsoft Edge veya yalıtılmış Windows ortamları için yapılandırılmamış.
    • Edge için etkinleştirildi - Application Guard, onaylanmamış siteleri Hyper-V sanallaştırılmış gözatma kapsayıcısında açar.
    • Yalıtılmış Windows ortamları için etkinleştirildi - Application Guard, Windows içindeki App Guard için etkinleştirilen tüm uygulamalar için açıktır.
    • Edge VE yalıtılmış Windows ortamları için etkinleştirildi - Application Guard her iki senaryo için de yapılandırılır.

    Not

    Intune aracılığıyla Microsoft Edge için Application Guard dağıtıyorsanız, Windows ağ yalıtımı ilkesinin önkoşul olarak yapılandırılması gerekir. Ağ yalıtımı, Windows ağ yalıtımı ayarı altında Uygulama ve broswer yalıtımı da dahil olmak üzere çeşitli profiller aracılığıyla yapılandırılabilir.

    Edge için Etkin veya Edge VE yalıtılmış Windows ortamları için Etkin olarak ayarlandığında, Edge için geçerli olan aşağıdaki ayarlar kullanılabilir:

    • Pano davranışı
      CSP: PanoAyarlar

      Yerel bilgisayardan ve Application Guard sanal tarayıcıdan hangi kopyalama ve yapıştırma eylemlerine izin verileceğini seçin.

      • Yapılandırılmadı (varsayılan)
      • Bilgisayar ve tarayıcı arasında kopyalama ve yapıştırmayı engelleme
      • Yalnızca tarayıcıdan bilgisayara kopyalama ve yapıştırmaya izin ver
      • Yalnızca bilgisayardan tarayıcıya kopyalama ve yapıştırmaya izin ver
      • Bilgisayar ve tarayıcı arasında kopyalama ve yapıştırmaya izin ver

    • Kurumsal olmayan onaylı sitelerden dış içeriği engelleme
      CSP: BlockNonEnterpriseContent

      • Yapılandırılmadı (varsayılan)
      • Evet - Onaylanmamış web sitelerinin içeriğinin yüklenmesini engelleyin.

    • Application Guard gözatma oturumunda gerçekleşen olaylar için günlükleri toplama
      CSP: AuditApplicationGuard

      • Yapılandırılmadı (varsayılan)
      • Evet - Application Guard sanal gözatma oturumunda gerçekleşen olaylar için günlükleri toplayın.

    • Kullanıcı tarafından oluşturulan tarayıcı verilerinin kaydedilmesine izin ver
      CSP: AllowPersistence

      • Yapılandırılmadı (varsayılan)
      • Evet - Application Guard sanal gözatma oturumu sırasında oluşturulan kullanıcı verilerinin kaydedilmesine izin verin. Kullanıcı verilerine örnek olarak parolalar, sık kullanılanlar ve tanımlama bilgileri verilebilir.

    • Donanım grafik hızlandırmasını etkinleştirme
      CSP: AllowVirtualGPU

      • Yapılandırılmadı (varsayılan)
      • Evet - Application Guard sanal gözatma oturumunda, yoğun grafik kullanan web sitelerini daha hızlı yüklemek için bir sanal grafik işleme birimi kullanın.

    • Kullanıcıların konakta dosya indirmesine izin ver
      CSP: SaveFilesToHost

      • Yapılandırılmadı (varsayılan)
      • Evet - Kullanıcıların sanallaştırılmış tarayıcıdan konak işletim sistemine dosya indirmesine izin verin.

    • kamera ve mikrofon erişimine izin Application Guard
      CSP: AllowCameraMicrophoneRedirection

      • Yapılandırılmadı (varsayılan) - Microsoft Defender Application Guard içindeki uygulamalar kullanıcının cihazındaki kamera ve mikrofona erişemez.
      • Evet - Microsoft Defender Application Guard içindeki uygulamalar kullanıcının cihazındaki kamera ve mikrofona erişebilir.
      • Hayır - Microsoft Defender Application Guard içindeki uygulamalar kullanıcının cihazındaki kamera ve mikrofona erişemez. Bu, Yapılandırılmadı ile aynı davranıştır.

  • Application guard yerel yazıcılarda yazdırmaya izin verir

    • Yapılandırılmadı (varsayılan)
    • Evet - Yerel yazıcılarda yazdırmaya izin verir.

  • Application guard ağ yazıcılarında yazdırmaya izin verir

    • Yapılandırılmadı (varsayılan)
    • Evet - Ağ yazıcılarında yazdırmaya izin ver.

  • Application Guard PDF'ye yazdırmaya izin verir

    • Yapılandırılmadı (varsayılan)
    • Evet- PDF'ye yazdırmaya izin ver.

  • Application Guard XPS'de yazdırmaya izin verir

    • Yapılandırılmadı (varsayılan)
    • Evet - - XPS'de yazdırmaya izin ver.

  • Application Guard kullanıcının cihazından Kök Sertifika Yetkilileri'nin kullanılmasına izin verme
    CSP: CertificateThumbprints

    Eşleşen kök sertifikayı otomatik olarak Microsoft Defender Application Guard kapsayıcısına aktarmak için sertifika parmak izlerini yapılandırın.

    Parmak izlerini birer birer eklemek için Ekle'yi seçin. İçeri Aktar'ı kullanarak, hepsi aynı anda profile eklenen birden çok parmak izi girdisi içeren bir .CSV dosyası belirtebilirsiniz. bir .CSV dosyası kullandığınızda, her parmak izi virgülle ayrılmalıdır. Örneğin: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Profilde listelenen tüm girdiler etkindir. Parmak izi girdisini etkin hale getirmek için onay kutusu seçmeniz gerekmez. Bunun yerine, profile eklenen girdileri yönetmenize yardımcı olması için onay kutularını kullanın. Örneğin, bir veya daha fazla sertifika parmak izi girdisinin onay kutusunu seçebilir ve ardından bu girdileri tek bir eylemle profilden silebilirsiniz .

  • Windows ağ yalıtımı ilkesi

    • Yapılandırılmadı (varsayılan)
    • Evet - Windows ağ yalıtım ilkesini yapılandırın.

    Evet olarak ayarlandığında, aşağıdaki ayarları yapılandırabilirsiniz:

    • IP aralıkları
      Açılan listeyi genişletin, Ekle'yi seçin ve ardından daha düşük bir adres ve ardından bir üst adres belirtin.

    • Bulut kaynakları
      Açılan listeyi genişletin, Ekle'yi seçin ve ardından bir IP adresi veya FQDN ve ara sunucu belirtin.

    • Ağ etki alanları
      Açılan listeyi genişletin, Ekle'yi seçin ve ardından Ağ etki alanları'nı belirtin.

    • Proxy sunucuları
      Açılan listeyi genişletin, Ekle'yi seçin ve proxy sunucuları belirtin.

    • İç proxy sunucuları
      Açılan listeyi genişletin, Ekle'yi seçin ve ardından İç proxy sunucuları belirtin.

    • Nötr kaynaklar
      Açılan listeyi genişletin, Ekle'yi seçin ve ardından Nötr kaynaklar'ı belirtin.

    • Diğer kurumsal proxy sunucularının otomatik algılamasını devre dışı bırakma

      • Yapılandırılmadı (varsayılan)
      • Evet - Diğer kurumsal proxy sunucularının otomatik algılamasını devre dışı bırakın.

    • Diğer kurumsal IP aralıklarının otomatik algılamasını devre dışı bırakma

      • Yapılandırılmadı (varsayılan)
      • Evet - Diğer kurumsal IP aralıklarının Otomatik algılamasını devre dışı bırakın.

    Not

    Profil oluşturulduktan sonra, ilkenin uygulanması gereken tüm cihazlar Microsoft Defender Application Guard etkin olur. Korumanın geçerli olması için kullanıcıların cihazlarını yeniden başlatması gerekebilir.

Uygulama denetimi profili

Uygulama Denetimini Microsoft Defender

  • Uygulama dolabı uygulama denetimi
    CSP: AppLocker

    • Yapılandırılmadı (varsayılan)
    • Bileşenleri Zorlama ve Uygulamaları Depolama
    • Bileşenleri Denetleme ve Uygulamaları Depolama
    • Bileşenleri Zorlama, Uygulamaları Depolama ve Smartlocker
    • Bileşenleri Denetleme, Uygulamaları Depolama ve Smartlocker

  • Kullanıcıların SmartScreen uyarılarını yoksaymalarını engelleme
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Yapılandırılmadı (varsayılan) - Kullanıcılar dosyalar ve kötü amaçlı uygulamalar için SmartScreen uyarılarını yoksayabilir.
    • Evet - SmartScreen etkindir ve kullanıcılar dosyalar veya kötü amaçlı uygulamalar için uyarıları atlayamaz.

  • Windows SmartScreen'i açma
    CSP: SmartScreen/EnableSmartScreenInShell

    • Yapılandırılmadı (varsayılan) - Ayarı Windows varsayılan ayarına döndürerek SmartScreen'i etkinleştirin, ancak kullanıcılar bu ayarı değiştirebilir. SmartScreen'i devre dışı bırakmak için özel bir URI kullanın.
    • Evet - Tüm kullanıcılar için SmartScreen kullanımını zorunlu kılma.

Saldırı yüzeyi azaltma kuralları profili

Saldırı Yüzeyini Azaltma Kuralları

Saldırı yüzeyi azaltma kuralları hakkında daha fazla bilgi edinmek için Microsoft 365 belgelerindeki Saldırı yüzeyi azaltma kuralları başvurusuna bakın.

Not

Bu bölümde, 5 Nisan 2022'de oluşturulan Saldırı Yüzeyi Azaltma Kuralları profillerindeki ayarlar ayrıntılı olarak açıklanmaktadır. Bu tarihten sonra oluşturulan profiller, Ayarlar Kataloğu'nda bulunan yeni bir ayarlar biçimini kullanır. Bu değişiklikle artık eski profilin yeni sürümlerini oluşturamıyabilirsiniz ve bunlar artık geliştirilmeyecektir. Artık eski profilin yeni örneklerini oluşturamasanız da, daha önce oluşturduğunuz örneklerini düzenlemeye ve kullanmaya devam edebilirsiniz.

Yeni ayarlar biçimini kullanan profiller için Intune artık her ayarın bir listesini ada göre tutmaz. Bunun yerine, her ayarın adı, yapılandırma seçenekleri ve Microsoft Intune yönetim merkezinde gördüğünüz açıklayıcı metin doğrudan ayarların yetkili içeriğinden alınır. Bu içerik, ayarın uygun bağlamında kullanımı hakkında daha fazla bilgi sağlayabilir. Bir ayarlar bilgi metnini görüntülerken, bu içeriği açmak için Daha fazla bilgi edinin bağlantısını kullanabilirsiniz.

  • WMI olay aboneliği aracılığıyla kalıcılığı engelleme
    Saldırı yüzeyini azaltma kurallarıyla saldırı yüzeylerini azaltma

    Bu saldırı yüzeyi azaltma (ASR) kuralı şu GUID aracılığıyla denetlendi: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Bu kural, kötü amaçlı yazılımların cihazda kalıcılık elde etmek için WMI'yi kötüye çalışmasını önler. Dosyasız tehditler, gizli kalmak, dosya sisteminde görülmemek ve düzenli yürütme denetimi elde etmek için çeşitli taktikler uygular. Bazı tehditler gizli kalmak için WMI deposunu ve olay modelini kötüye kullanabilir.

    • Yapılandırılmadı (varsayılan) – Ayar Windows varsayılan ayarına döner; bu kapalıdır ve kalıcılık engellenmez.
    • Engelle – WMI aracılığıyla kalıcılık engellendi.
    • Denetim – Etkinse bu kuralın kuruluşunuzu nasıl etkilediğini değerlendirin (Engelle olarak ayarlayın).
    • Devre Dışı Bırak - Bu kuralı kapatın. Kalıcılık engellenmedi.

    Bu ayar hakkında daha fazla bilgi edinmek için bkz. WMI olay aboneliği aracılığıyla kalıcılığı engelleme.

  • Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme
    Cihazları açıklardan koruyun

    Bu saldırı yüzeyi azaltma (ASR) kuralı şu GUID aracılığıyla denetlenir: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Kullanıcı tanımlı
    • Etkinleştir - lsass.exe aracılığıyla kimlik bilgilerini çalma girişimleri engellenir.
    • Denetim modu - Kullanıcıların tehlikeli etki alanlarına erişimi engellenmez ve bunun yerine Windows olayları tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.

  • Adobe Reader'ın alt işlemler oluşturmalarını engelleme
    Saldırı yüzeyini azaltma kurallarıyla saldırı yüzeylerini azaltma

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Yapılandırılmadı (varsayılan) - Windows varsayılanı geri yüklenir, alt işlemlerin oluşturulmasını engellememektir.
    • Kullanıcı tanımlı
    • Etkinleştir - Adobe Reader'ın alt işlemler oluşturması engellendi.
    • Denetim modu - Windows olayları alt işlemleri engellemek yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.

  • Office uygulamalarının diğer işlemlere kod eklemesini engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Office uygulamalarının diğer işlemlere kod eklemesi engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 3B576869-A4EC-4529-8536-B80A7769E899

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Office uygulamalarının yürütülebilir içerik oluşturması engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Office uygulamalarının alt işlemler oluşturması engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Office makrosundan Win32 API çağrılarını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Office makrolarının Win32 API çağrılarını kullanmaları engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Office iletişim uygulamalarının alt işlemler oluşturmalarını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Yapılandırılmadı (varsayılan) - Windows varsayılanı geri yüklenir; bu, alt işlemlerin oluşturulmasını engellemez.
    • Kullanıcı tanımlı
    • Etkinleştir - Office iletişim uygulamalarının alt işlemler oluşturması engellenir.
    • Denetim modu - Windows olayları alt işlemleri engellemek yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.

  • Engellenmiş olabilecek betiklerin yürütülmesini engelleme (js/vbs/ps)
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlenir: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Defender, karartılmış betiklerin yürütülmesini engeller.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID ile denetlendi: D3E037E1-3EB8-44C8-A917-57927947596D

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - Defender, İnternet'ten indirilen JavaScript veya VBScript dosyalarının yürütülmesini engeller.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - PSExec veya WMI komutları tarafından işlem oluşturma engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - USB sürücüden çalıştırılan güvenilmeyen ve imzalanmamış işlemler engellenir.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Yaygınlık, yaş veya güvenilen liste ölçütlerini karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleme
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • E-posta ve web posta istemcilerinden yürütülebilir içerik indirmeyi engelleme
    Cihazları açıklardan koruyun

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Engelle - E-posta ve web posta istemcilerinden indirilen yürütülebilir içerik engellendi.
    • Denetim modu - Windows olayları engelleme yerine tetiklenir.
    • Uyar - Windows 10 sürüm 1809 veya üzeri ve Windows 11 için, cihaz kullanıcısı ayarın Engellemesini atlayabileceğinizi belirten bir ileti alır. Windows 10'nin önceki sürümlerini çalıştıran cihazlarda kural Etkinleştirme davranışını zorlar.
    • Devre dışı bırak - Bu ayar kapalıdır.

  • Fidye yazılımına karşı gelişmiş koruma kullanma
    Cihazları açıklardan koruyun

    Bu ASR kuralı şu GUID aracılığıyla denetlendi: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Yapılandırılmadı (varsayılan) - Ayar, kapalı olan Windows varsayılan ayarına döner.
    • Kullanıcı tanımlı
    • Etkinleştirmek
    • Denetim modu - - Windows olayları engelleme yerine tetiklenir.

  • Klasör korumasını etkinleştirme
    CSP: EnableControlledFolderAccess

    • Yapılandırılmadı (varsayılan) - Bu ayar varsayılan ayarına döner; okuma veya yazma engellenmez.
    • Etkinleştir - Güvenilmeyen uygulamalar için Defender, korumalı klasörlerdeki dosyaları değiştirme veya silme ya da disk kesimlerine yazma girişimlerini engeller. Defender hangi uygulamalara güvenilebileceğini otomatik olarak belirler. Alternatif olarak, kendi güvenilir uygulama listenizi tanımlayabilirsiniz.
    • Denetim modu - Güvenilmeyen uygulamalar denetimli klasörlere eriştiğinde Windows olayları tetiklenir, ancak hiçbir blok uygulanmaz.
    • Disk değişikliğini engelle - Yalnızca disk kesimlerine yazma girişimleri engellenir.
    • Disk değişikliğini denetleme - Disk kesimlerine yazma girişimlerini engellemek yerine Windows olayları tetiklenir.

  • Korunması gereken ek klasörlerin listesi
    CSP: ControlledFolderAccessProtectedFolders

    Güvenilmeyen uygulamalardan korunacak disk konumlarının listesini tanımlayın.

  • Korumalı klasörlere erişimi olan uygulamaların listesi
    CSP: ControlledFolderAccessAllowedApplications

    Denetimli konumlara okuma/yazma erişimi olan uygulamaların listesini tanımlayın.

  • Dosyaları ve yolları saldırı yüzeyi azaltma kurallarının dışında tutma
    CSP: AttackSurfaceReductionOnlyExclusions

    Açılan listeyi genişletin ve ekle'yi seçerek saldırı yüzeyi azaltma kurallarınızın dışında tutulacak bir dosya veya klasör yolu tanımlayın.

Cihaz denetimi profili

Cihaz Denetimi

Not

Bu bölümde, 23 Mayıs 2022'ye kadar oluşturulan Cihaz denetimi profillerinde bulunan ayarlar ayrıntılı olarak ele alınır. Bu tarihten sonra oluşturulan profiller, Ayarlar Kataloğu'nda bulunan yeni bir ayarlar biçimini kullanır. Artık özgün profilin yeni örneklerini oluşturamasanız da, mevcut profillerinizi düzenlemeye ve kullanmaya devam edebilirsiniz.

Yeni ayarlar biçimini kullanan profiller için Intune artık her ayarın bir listesini ada göre tutmaz. Bunun yerine, her ayarın adı, yapılandırma seçenekleri ve Microsoft Intune yönetim merkezinde gördüğünüz açıklayıcı metin doğrudan ayarların yetkili içeriğinden alınır. Bu içerik, ayarın uygun bağlamında kullanımı hakkında daha fazla bilgi sağlayabilir. Bir ayarlar bilgi metnini görüntülerken, bu içeriği açmak için Daha fazla bilgi edinin bağlantısını kullanabilirsiniz.

  • Cihaz tanımlayıcılarına göre donanım cihazı yüklemesine izin ver

    • Yapılandırılmadı(varsayılan)
    • Evet - Windows, başka bir ilke ayarı bu yüklemeyi özellikle engellemediği sürece oluşturduğunuz listede Tak ve Kullan donanım kimliği veya uyumlu kimliği görünen herhangi bir cihazı yükleyebilir veya güncelleştirebilir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • İzin verilenler listesi - Cihaz tanımlayıcılarının listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Cihaz tanımlayıcılarına göre donanım cihazı yüklemesini engelle
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Yapılandırılmadı(varsayılan)
    • Evet - Windows'un yüklenmesinin engellendiği cihazlar için Tak ve Kullan donanım kimliklerinin ve uyumlu kimliklerin listesini belirtin. Bu ilke, Windows'un bir cihaz yüklemesine izin veren diğer ilke ayarlarına göre önceliklidir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • Eşleşen donanım cihazlarını kaldırma

      • Evet
      • Yapılandırılmadı(varsayılan)

    • Blok listesi - Cihaz tanımlayıcıları listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Kurulum sınıfına göre donanım cihazı yüklemesine izin ver

    • Yapılandırılmadı(varsayılan)
    • Evet - Windows, başka bir ilke ayarı bu yüklemeyi özellikle engellemediği sürece, oluşturduğunuz listede cihaz kurulum sınıfı GUID'leri görünen cihaz sürücülerini yükleyebilir veya güncelleştirebilir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • İzin verilenler listesi - Cihaz tanımlayıcılarının listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Kurulum sınıflarının donanım cihazı yüklemesini engelleme
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Yapılandırılmadı(varsayılan)
    • Evet - Windows'un yüklenmesinin engellendiği cihaz sürücüleri için cihaz kurulum sınıfı genel benzersiz tanımlayıcılarının (GUID) listesini belirtin. Bu ilke ayarı, Windows'un cihaz yüklemesine izin veren diğer ilke ayarlarına göre önceliklidir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • Eşleşen donanım cihazlarını kaldırma

      • Evet
      • Yapılandırılmadı(varsayılan)

    • Blok listesi - Cihaz tanımlayıcıları listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Cihaz örneği tanımlayıcılarına göre donanım cihazı yüklemesine izin ver

    • Yapılandırılmadı(varsayılan)
    • Evet - Başka bir ilke ayarı bu yüklemeyi özellikle engellemediği sürece, Windows'un oluşturduğunuz listede Tak ve Kullan cihaz örneği kimliği görünen herhangi bir cihazı yüklemesine veya güncelleştirmesine izin verilir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • İzin verilenler listesi - Cihaz tanımlayıcılarının listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Cihaz örneği tanımlayıcılarına göre donanım cihazı yüklemesini engelle
    Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.

    • Yapılandırılmadı(varsayılan)
    • Evet - Windows'un yüklenmesinin engellendiği cihazlar için Tak ve Kullan donanım kimliklerinin ve uyumlu kimliklerin listesini belirtin. Bu ilke, Windows'un bir cihaz yüklemesine izin veren diğer ilke ayarlarına göre önceliklidir. Bu ilke ayarını bir uzak masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen cihazların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yeniden yönlendirilmesini etkiler.
    • Hayır

    Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırabilirsiniz:

    • Eşleşen donanım cihazlarını kaldırma

      • Evet
      • Yapılandırılmadı(varsayılan)

    • Blok listesi - Cihaz tanımlayıcıları listesini yönetmek için Ekle, İçeri ve Dışarı Aktar'ı kullanın.

  • Çıkarılabilir depolama birimine yazma erişimini engelleme
    CSP: RemovableDiskDenyWriteAccess

    • Yapılandırılmadı(varsayılan)
    • Evet - Çıkarılabilir depolama birimine yazma erişimi reddedildi.
    • Hayır - Yazma erişimine izin verilir.

  • Tam tarama sırasında çıkarılabilir sürücüleri tarama
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Yapılandırılmadı (varsayılan) - Ayar, çıkarılabilir sürücüleri tarayan istemci varsayılan ayarına döner, ancak kullanıcı bu taramayı devre dışı bırakabilir.
    • Evet - Tam tarama sırasında çıkarılabilir sürücüler (USB flash sürücüler gibi) taranır.

  • Doğrudan bellek erişimini engelleme
    CSP: DataProtection/AllowDirectMemoryAccess

    Bu ilke ayarı yalnızca BitLocker veya cihaz şifrelemesi etkinleştirildiğinde uygulanır.

    • Yapılandırılmadı (varsayılan)
    • Evet - Bir kullanıcı Windows'ta oturum açana kadar tüm çalışırken takılabilir PCI aşağı akış bağlantı noktaları için doğrudan bellek erişimini (DMA) engelleyin. Kullanıcı oturum açtığında, Windows ana bilgisayar fişi PCI bağlantı noktalarına bağlı PCI cihazlarını numaralandırır. Kullanıcı makineyi her kilitleyişinde DMA, kullanıcı yeniden oturum açana kadar alt cihaz içermeyen çalışırken tak PCI bağlantı noktalarında engellenir. Makinenin kilidi açıkken zaten numaralandırılmış cihazlar, fişi kaldırılana kadar çalışmaya devam eder.

  • Çekirdek DMA Koruması ile uyumlu olmayan dış cihazların numaralandırması
    CSP: DmaGuard/DeviceEnumerationPolicy

    Bu ilke, dış DMA özellikli cihazlara karşı ek güvenlik sağlayabilir. DMA Yeniden Eşleme/cihaz bellek yalıtımı ve korumalı alan ile uyumlu olmayan dış DMA özellikli cihazların sabit listesi üzerinde daha fazla denetim sağlar.

    Bu ilke yalnızca Çekirdek DMA Koruması sistem üretici yazılımı tarafından desteklendiğinde ve etkinleştirildiğinde geçerlilik kazanır. Çekirdek DMA Koruması, üretim sırasında sistem tarafından desteklenmesi gereken bir platform özelliğidir. Sistemin Çekirdek DMA Koruması'nı desteklenip desteklemediğini denetlemek için, MSINFO32.exe Özet sayfasındaki Çekirdek DMA Koruması alanını denetleyin.

    • Yapılandırılmadı - (varsayılan)
    • Tümünü engelle
    • Tümüne izin ver

  • Bluetooth bağlantılarını engelleme
    CSP: Bluetooth/AllowDiscoverableMode

    • Yapılandırılmadı (varsayılan)
    • Evet - Cihaza ve cihazdan bluetooth bağlantılarını engelleyin.

  • Bluetooth bulunabilirliğini engelleme
    CSP: Bluetooth/AllowDiscoverableMode

    • Yapılandırılmadı (varsayılan)
    • Evet - Cihazın Diğer Bluetooth özellikli cihazlar tarafından bulunmasını engeller.

  • Bluetooth ön eşleştirmesini engelleme
    CSP: Bluetooth/AllowPrepairing

    • Yapılandırılmadı (varsayılan)
    • Evet - Belirli Bluetooth cihazlarının konak cihazla otomatik olarak eşlenmesini engeller.

  • Bluetooth reklamlarını engelleme
    CSP: Bluetooth/AllowAdvertising

    • Yapılandırılmadı (varsayılan)
    • Evet - Cihazın Bluetooth reklamları göndermesini engeller.

  • Bluetooth proksimal bağlantılarını engelleme
    CSP: Bluetooth/AllowPromptedProximalConnections Kullanıcıların Swift Pair ve diğer yakınlık tabanlı senaryoları kullanmasını engelle

    • Yapılandırılmadı (varsayılan)
    • Evet - Cihaz kullanıcılarının Swift Pair ve diğer yakınlık tabanlı senaryoları kullanmasını engeller.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth'a izin verilen hizmetler
    CSP: Bluetooth/ServicesAllowedList.
    Hizmet listesi hakkında daha fazla bilgi için bkz . ServicesAllowedList kullanım kılavuzu

    • Ekle - İzin verilen Bluetooth hizmetlerini ve profillerini gibi onaltılık dizeler olarak {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}belirtin.
    • İçeri Aktarma - Bluetooth hizmetlerinin ve profillerinin listesini içeren bir .csv dosyasını onaltılık dizeler olarak içeri aktarma, örneğin {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Çıkarılabilir depolama birimi
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Engelle (varsayılan) - Kullanıcıların cihazla SD kartları gibi dış depolama cihazlarını kullanmasını engelleyin.
    • Yapılandırılmadı

  • USB bağlantıları (yalnızca HoloLens)
    CSP: Bağlantı/AllowUSBConnection

    • Engelle - Dosyaları eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasında USB bağlantısının kullanılmasını engelleyin. USB şarjı etkilenmez.
    • Yapılandırılmadı (varsayılan)

Yararlanma koruma profili

Exploit Protection

Not

Bu bölümde, 5 Nisan 2022'de oluşturulan Exploit protection profillerinde bulabileceğiniz ayarlar ayrıntılı olarak açıklanmaktadır. Bu tarihten sonra oluşturulan profiller, Ayarlar Kataloğu'nda bulunan yeni bir ayarlar biçimini kullanır. Bu değişiklikle artık eski profilin yeni sürümlerini oluşturamıyabilirsiniz ve bunlar artık geliştirilmeyecektir. Artık eski profilin yeni örneklerini oluşturamasanız da, daha önce oluşturduğunuz örneklerini düzenlemeye ve kullanmaya devam edebilirsiniz.

Yeni ayarlar biçimini kullanan profiller için Intune artık her ayarın bir listesini ada göre tutmaz. Bunun yerine, her ayarın adı, yapılandırma seçenekleri ve Microsoft Intune yönetim merkezinde gördüğünüz açıklayıcı metin doğrudan ayarların yetkili içeriğinden alınır. Bu içerik, ayarın uygun bağlamında kullanımı hakkında daha fazla bilgi sağlayabilir. Bir ayarlar bilgi metnini görüntülerken, bu içeriği açmak için Daha fazla bilgi edinin bağlantısını kullanabilirsiniz.

  • XML'yi karşıya yükleme
    CSP: ExploitProtectionSettings

    BT yöneticisinin kuruluştaki tüm cihazlara istenen sistem ve uygulama azaltma seçeneklerini temsil eden bir yapılandırma göndermesini sağlar. Yapılandırma bir XML dosyasıyla temsil edilir. Açıktan yararlanma koruması, cihazları yaymak ve bulaşmak için kötüye kullanılan kötü amaçlı yazılımlardan korumaya yardımcı olabilir. Bir dizi risk azaltıcı etken (yapılandırma olarak bilinir) oluşturmak için Windows Güvenliği uygulamasını veya PowerShell'i kullanırsınız. Daha sonra bu yapılandırmayı xml dosyası olarak dışarı aktarabilir ve ağınızdaki birden çok makineyle paylaşarak hepsinin aynı risk azaltma ayarlarına sahip olması sağlanır. Ayrıca mevcut bir EMET yapılandırma XML dosyasını bir açık koruması yapılandırma XML'sine dönüştürebilir ve içeri aktarabilirsiniz.

    XML Dosyası Seç'i seçin, XML dosya yüklemesini belirtin ve seç'e tıklayın.

    • Yapılandırılmadı (varsayılan)
    • Evet

  • Kullanıcıların Exploit Guard koruma arabirimini düzenlemesini engelleme
    CSP: DisallowExploitProtectionOverride

    • Yapılandırılmadı (varsayılan) - Yerel kullanıcılar, açıktan yararlanma koruması ayarları alanında değişiklik yapabilir.
    • Evet - Kullanıcıların Microsoft Defender Güvenlik Merkezi açıktan yararlanma koruma ayarları alanında değişiklik yapmasını engelleyin.

Web koruması (Microsoft Edge'in eski sürümü) profili

Web Koruması (Microsoft Edge'in eski sürümü)

  • Ağ korumasını etkinleştirme
    CSP: EnableNetworkProtection

    • Yapılandırılmadı (varsayılan) - Ayar, devre dışı bırakılan Windows varsayılan ayarına döner.
    • Kullanıcı tanımlı
    • Etkinleştir - Sistemdeki tüm kullanıcılar için ağ koruması etkinleştirilir.
    • Denetim modu - Kullanıcıların tehlikeli etki alanlarına erişimi engellenmez ve bunun yerine Windows olayları tetiklenir.

  • Microsoft Edge için SmartScreen gerektir
    CSP: Tarayıcı/AllowSmartScreen

    • Evet - Kullanıcıları olası kimlik avı dolandırıcılığına ve kötü amaçlı yazılımlara karşı korumak için SmartScreen kullanın.
    • Yapılandırılmadı (varsayılan)

  • Kötü amaçlı site erişimini engelleme
    CSP: Tarayıcı/PreventSmartScreenPromptOverride

    • Evet - Kullanıcıların Microsoft Defender SmartScreen Filtresi uyarılarını yoksaymalarını ve siteye gitmelerini engelleyin.
    • Yapılandırılmadı (varsayılan)

  • Onaylanmamış dosya indirmeyi engelle
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Evet - Kullanıcıların Microsoft Defender SmartScreen Filtresi uyarılarını yoksaymalarını ve doğrulanmamış dosyaları indirmelerini engelleyin.
    • Yapılandırılmadı (varsayılan)

Saldırı yüzeyini azaltma (ConfigMgr)

Exploit Protection (ConfigMgr)(Önizleme) profili

Exploit Protection

  • XML'yi karşıya yükleme
    CSP: ExploitProtectionSettings

    BT yöneticisinin kuruluştaki tüm cihazlara istenen sistem ve uygulama azaltma seçeneklerini temsil eden bir yapılandırma göndermesini sağlar. Yapılandırma bir XML dosyasıyla temsil edilir. Açıktan yararlanma koruması, cihazları yaymak ve bulaşmak için kötüye kullanılan kötü amaçlı yazılımlardan korumaya yardımcı olabilir. Bir dizi risk azaltıcı etken (yapılandırma olarak bilinir) oluşturmak için Windows Güvenliği uygulamasını veya PowerShell'i kullanırsınız. Daha sonra bu yapılandırmayı xml dosyası olarak dışarı aktarabilir ve ağınızdaki birden çok makineyle paylaşarak hepsinin aynı risk azaltma ayarlarına sahip olması sağlanır. Ayrıca mevcut bir EMET yapılandırma XML dosyasını bir açık koruması yapılandırma XML'sine dönüştürebilir ve içeri aktarabilirsiniz.

    XML Dosyası Seç'i seçin, XML dosya yüklemesini belirtin ve seç'e tıklayın.

  • Exploit Protection Geçersiz Kılmaya İzin Verme
    CSP: DisallowExploitProtectionOverride

    • Yapılandırılmadı (varsayılan)
    • (Devre dışı bırak) Yerel kullanıcıların yararlanma koruması ayarları alanında değişiklik yapmasına izin verilir.
    • (Etkinleştir) Yerel kullanıcılar, güvenlik açığından yararlanma koruması ayarları alanında değişiklik yapamaz

Web Koruması (ConfigMgr)(Önizleme) profili

Web Koruması

Sonraki adımlar

ASR için uç nokta güvenlik ilkesi