Windows güvenliği bir dönüm noktasında: Kötü amaçlı yazılımlar sürekli olarak gelişiyor ve saldırganlar tekniklerini ince ayarlıyor.Bilgisayarlarımız her yerden ve her ağa bağlanabildiğinden, iyi haber şu ki Windows 11 ve Windows 10, doğru şekilde etkinleştirilip yapılandırıldığında performanstan ödün vermeden birinci sınıf koruma sağlayan çok ciddi koruma katmanları içeriyor.
Bu pratik kılavuz, bilgisayarınızı gerçekten güvence altına almak için bilmeniz gereken her şeyi tek bir yerde topluyor ve yeniden yazıyor. donanım, sistem, ağ, uygulama, kimlik ve veri korumalarını bir araya getiriyorMicrosoft Defender'ı nasıl kullanacağınızı, BitLocker ile şifrelemeyi, Windows Hello ve Credential Guard ile kimlik bilgilerini korumayı, VBS ve HVCI ile işlemleri izole etmeyi, tarayıcınızı nasıl güçlendireceğinizi, kimlik avı ve fidye yazılımlarına karşı nasıl korunacağınızı ve Microsoft Intune ve Oturum Açma Kimliği ile her şeyi buluttan nasıl yöneteceğinizi öğreneceksiniz.
Modern Güvenlik Mimarisi: Çipten Sisteme
Windows 11'deki başlangıç noktası tasarım ve varsayılan olarak güvenliktir ve mimari sorunlar: TPM 2.0, UEFI Güvenli Önyükleme ve Önyükleme Bütünlüğü Ölçümleri Donanım güven temeli oluşturan bu temel, önyüklemeden önce aygıt yazılımının, yükleyicinin ve çekirdeğin değiştirilmediğini doğrular.
Bu temelde, aşağıdaki gibi teknolojiler: Sanallaştırma Tabanlı Güvenlik (VBS) y Hipervizör Korumalı Kod Bütünlüğü (HVCI)Hassas belleği izole eden ve çekirdek modu kodunun imzalanıp doğrulanmasını zorunlu kılan bu özellik, kök araç setlerine, sürücü enjeksiyonlarına ve bellek hedefleme saldırılarına karşı önemli bir adımdır.
Gelişmiş senaryolar için Windows 11 şunları ekler: DMA'ya karşı koruma Yüksek hızlı harici portlar ve önyükleme sırasında bir şey içeri sızmaya çalışsa bile zinciri güçlendiren Dinamik Önyükleme Güveni (DRTM) teknikleri.
Eğer ekipmanınız bunu içeriyorsa, güvenlik işlemcisi Microsoft Plüton Güven kökünü CPU'nun kendisine entegre eder ve Windows Update aracılığıyla güncellenen güvenlik yazılımını kolaylaştırır, fiziksel saldırı yüzeylerini ve güncelleme sorunlarını azaltır.
Microsoft Defender: Kötü amaçlı yazılımlara ve kimlik avına karşı ilk savunma hattı
Microsoft Defender Antivirus yerleşik olarak gelir ve kutudan çıktığı anda çalışmaya hazırdır: Gerçek zamanlı analiz, bulut imzaları, sezgisel yöntemler ve makine öğrenimiBaşka bir antivirüs programı kurduğunuzda Defender kendini devre dışı bırakır ve kaldırdığınızda tekrar aktif hale gelir.
Savunmacı ile koordineli çalışır Koruma kontra değişiklikleri Böylece kötü amaçlı yazılımlar korumayı devre dışı bırakamaz, güncellemeleri silemez veya izinsiz olarak istisnaları değiştiremez. Bu katman, bir tehdit savunmanızı zayıflatmaya çalıştığında sürprizlerle karşılaşmanızı önler.
ile Akıllı ekran ve kimliğe bürünmeye karşı gelişmiş korumaWindows, tarayıcı veya uygulamadan bağımsız olarak, şüpheli bir site veya dosya gördüğünüzde veya Microsoft kimlik bilgilerinizi riskli konumlara girdiğinizde sizi uyarır. Bu, gerçek kimlik avına karşı pratik bir engeldir.
La ağ koruması Bu savunmaları, Edge dışında bile tehlikeli etki alanlarına veya IP'lere olan bağlantıları engelleyecek şekilde genişletir ve yönetilen ortamlarda kategori tabanlı filtreler ve belirli engellemeler uygulamak için Microsoft Defender for Endpoint ile birleştirilebilir ve ayrıca yardımcı olur Wi-Fi ağınızdaki cihazları keşfedin.
Saldırı yüzeyini azaltın ve tehlikeli davranışları engelleyin
W Saldırı yüzeyi azaltma kuralları Bunlar, kötü amaçlı yazılımlar tarafından genellikle kötüye kullanılan eylemleri sınırlar: gizlenmiş betikler, hassas API'leri çağıran makrolar, kötü amaçlı yükleri indiren veya başlatan yürütülebilir dosyalar, vb. Bunları hemen etkinleştirmek, sessiz bir saldırının olasılığını azaltır.
La Güvenlik açıklarına karşı koruma Sistem süreçlerine ve uygulamalarına, etkilerini uygulamadan önce değerlendirmek için denetim moduyla azaltma önlemleri uygular. Kör olmadan güvenlik ve uyumluluğu dengelemek için kullanışlıdır.
Kritik veriler için, Kontrollü klasör erişimi Yalnızca güvenilir uygulamaların korumalı konumlara yazmasına izin verir. Bu, kullanıcı kitaplıklarını gelişigüzel şifrelemeye çalışan fidye yazılımlarına karşı doğrudan bir engeldir.
Defender'da belirli görevler için belirli hariç tutmalara mı ihtiyacınız var? Motor, dosyaları, klasörleri, dosya türlerini veya işlemleri hariç tutmanıza olanak tanır, ancak bunu akıllıca yapın: Gerekli olan asgari istisnayı uygulayın ve daha sonra gözden geçirin kalıcı deliklerin oluşmaması için.
Defender'da hata yapmadan hariç tutmalar ve jokerler
Kritik bir görev analiz tarafından engellendiğinde, çok dar istisnalar oluşturabilirsiniz. Seçenekler: belirli dosya, tüm klasör, uzantı veya işlem. Hariç tutmanın gerçek zamanlı uygulamalar için geçerli olduğunu ve diğer çözümlerden gelen istek üzerine taramaları etkilemeyebileceğini unutmayın.
Joker karakterlerle, desene göre hariç tutabilirsiniz: örneğin kanıt.* farklı bir uzantıya sahip ve dosya türlerinde olan aynı ada sahip herhangi bir yürütülebilir dosyayı etkileyecektir *st st ile biten uzantıları hariç tutar. Bunu yalnızca daha kesin bir alternatif yoksa kullanın.
Çevre değişkenleri mutlak yollara bağımlı olmamaya yardımcı olur ve izin verir daha taşınabilir politikalar Ekipler arasında. Her bir dışlamayı nedenini ve tarihini belirterek belgelendirin ve artık gerekli olmadığında kaldırmak için periyodik bir inceleme planlayın.
İzole bir şekilde göz atma, indirme ve çalıştırma
Bilinmeyene erişimde riskleri azaltmak için Windows üst düzey izolasyon sunuyor. Windows Sandbox Güvenilmeyen yazılımları ana bilgisayara dokunmadan çalıştırmak için geçici, temiz bir masaüstü oluşturur; kapattığınızda her şey kaybolur.
Riskli navigasyon görevlerinde, Microsoft Defender Uygulama Koruması Edge oturumlarını korumalı bir kapsayıcıda izole eder, böylece tarayıcı tehditleri sistemden kaçamaz.
Neyin çalışıp neyin çalışmayacağı konusunda tam kontrole ihtiyacınız varsa, İşletmeler için AppLocker ve Uygulama Kontrolü İzin listelerini yayıncıya, ayak izine, yola veya paket türüne göre uygulamanıza olanak tanır. Ayrıca, AppLocker'ı gelişmiş kurallarla yapılandırın yönetilen ortamlarda kontrolü en üst düzeye çıkarmak.
Windows 11'da, Akıllı Uygulama Kontrolü İmzalanmamış veya düşük itibara sahip uygulamaların öngörülü olarak engellenmesini sağlar.
El Win32 uygulama izolasyonu Modeli AppContainer sınırları ve bildirimsel yeteneklerle güçlendirir, böylece klasik uygulamalar bile minimum ayrıcalıklar ve kapsamla çalışır.
Kimlikler ve kimlik bilgileri: PIN'lerden geçiş anahtarlarına
Şifreler en çok istismar edilen zayıf noktadır. Windows Hello ve İş İçin Windows Hello Şifreleri, FIDO2 ile uyumlu TPM'ye bağlı biyometri veya yerel bir PIN ve kimlik avına karşı dayanıklı kimlik doğrulama için geçiş anahtarları ile değiştirirler.
La Yerel güvenlik otoritesinin korunması yalnızca güvenilir kodun kimlik doğrulama süreçlerine yüklenmesini sağlar ve Kimlik Bilgisi Muhafızı Son derece ayrıcalıklı kötü amaçlı yazılımlardan bile kimlik bilgisi hırsızlığını önlemek için gizli bilgileri bir VBS kabında izole eder.
Uzak ortamlar için, Uzaktan Kimlik Bilgisi Muhafızı Uzak Masaüstü oturumları sırasında kimlik bilgilerinin hedef bilgisayarlara kopyalanmasını engeller. Daha az güvenilir makinelere geçiş yapıyorsanız bu önemlidir.
Windows 11 ayrıca şunları da içerir: hesap kilitleme politikaları varsayılan olarak kaba kuvvete karşı token koruması Jetonları belirli bir cihaza bağlayarak yetkili ekipman dışında yeniden kullanılmalarını önlemek.
Veri Şifreleme ve Koruma: BitLocker ve Daha Fazlası
BitLocker Sistem sürücüsünü ve verilerini AES ile şifreler ve TPM, PIN, akıllı kart ve kurtarmayı destekler. Desteklenen cihazlarda, cihaz şifrelemesi ilk başlatma sırasında otomatik olarak etkinleştirilebilir.
Çıkarılabilir medya için, BitLocker To Go USB ve harici sürücüleri parola veya akıllı kartla koruyun. Windows, kendi kendini şifreleyen donanımlarda performansı ve güç tüketimini iyileştirmek için sürücü hızlandırmalı şifrelemeden yararlanabilir.
Windows 11 içerir Kişisel verilerin şifrelenmesi Windows Hello'ya bağlı içerikleri korumak için uygulamalara yönelik koruma, Belgeler, Resimler veya Masaüstü gibi bilinen kullanıcı klasörlerine genişletilir.
Fidye yazılımları ve felaketler: 3-2-1 stratejisiyle üstesinden gelin: en az üç kopya, iki farklı medyada ve bir tanesi de ekip dışında. Hidosya geçmişi, sistem yedeklemeleri ve OneDrive, sürümleri geri yüklemeyi ve saldırılardan kurtarmayı kolaylaştırır.
Ağ, aktarım sırasında şifreleme ve hizmetler
Windows modern ve güvenli protokollere öncelik verir: Varsayılan olarak TLS 1.3 ve UDP için DTLS 1.2, güçlü paketler ve daha az el sıkışma ile. Bu, şifreli bağlantılarda gizlilik ve daha düşük gecikme süresi sağlar.
Sistem destekliyor Şifreli DNS DoH ve DoT aracılığıyla, güvenilir bir çözümleyici ile güvenli çözümler zorlamak için politikaya göre yapılandırılabilir, çevreye artık güvenilmediği Sıfır Güven modellerine uygundur.
Wi-Fi'da, WPA3 Sunucu doğrulaması ile 192-bit Enterprise Suite ve EAP TLS'nin yanı sıra açık ağlarda fırsatçı şifreleme için OWE de dahil olmak üzere tam olarak desteklenmektedir.
El Güvenlik Duvarı Windows Program, port, adres veya profile göre kurallarla gelen ve giden trafiği filtreler, kimliği doğrulanmış iletişimler için IPSec'i entegre eder ve denetim ve hata ayıklama için ayrıntılı izler sağlar.
KOBİ, baskı ve çevre birimleri: daha az risk, daha fazla kontrol
Windows 11'deki SMB, güvenlik çıtasını yükseltti Varsayılan olarak zorunlu imza, güçlü şifreleme ve kötüye kullanım önleme önlemleriAyrıca, QUIC üzerinden SMB, geleneksel portları açığa çıkarmadan güvenilmeyen ağlar arasında güvenli dosya paylaşımını mümkün kılar.
Basılı olarak, Windows Güvenli Yazdırma ve evrensel baskı Yığını modernize ederler, istemcideki eski sürücüleri kaldırırlar ve geçmiş sürücü istismarlarının yüzey alanını azaltırlar.
Bluetooth ve diğer kablosuz protokoller sıkma direktifleri kabul edilen profilleri sınırlamak, şifrelemeyi zorunlu kılmak ve son derece hassas ortamlarda radyoları devre dışı bırakmak.
Gelişmiş aygıtlarda Windows şunları içerir: fiziksel DMA saldırıları Bellek izolasyonu ve SMM gibi ayrıcalıklı yazılım modlarını izleme özelliği sayesinde işletim sisteminin altında hile yapmak zorlaşıyor.
Buluttan işletme yönetimi ve güçlendirme
ile Microsoft Giriş Kimliği y Microsoft Intune Koşullu erişim, MFA, güvenlik temel çizgileri ve politika odaklı yapılandırma ile cihazlara katılabilir, kaydolabilir ve onları yönetebilirsiniz.
La Uzaktan tasdik Azure Attestation ile cihazın önyükleme durumunu ve güvenlik özelliklerini doğrulayabilir ve kaynak erişimini cihaz uyumluluğuna göre koşullandırabilir, bunu Intune'daki uyumluluğa bağlayabilirsiniz.
Windows Otomatik Pilot ve Autopatch, provizyon ve güncellemeleri otomatikleştirir ve İşletmeler için Windows Update sürprizlerle karşılaşmadan yamaları tanıtmak için halkalar ve ertelemelerle dağıtımları düzenler.
Yerel ayrıcalıklar için, TURLAR Her bilgisayar için yönetici parolasını otomatik olarak döndürür, güvenli bir şekilde saklar ve karma işlemiyle yatay hareketi azaltır.
Kötü amaçlı yazılımlara ve bilgisayar korsanlığına karşı temel iyi uygulamalar
- her zaman güncelleme Sistem, sürücüler, donanım yazılımları ve uygulamalar. Yamalar, saldırganların istismar ettiği gerçek güvenlik açıklarını haftalar değil, saatler içinde düzeltir.
- Microsoft Defender'ı açın ve açık tutunGerçek zamanlı koruma, bulut depolama, numune teslimi ve kurcalamaya karşı koruma özellikleriyle. Analiz planlayın ve etkinlikleri inceleyin.
- Güçlendirir Kullanıcı Hesap Denetimi ve kesinlikle gerekli olmadıkça bir yöneticiyle çalışmaktan kaçının. Daha az ayrıcalık, daha az etki. Bunu şu şekilde iyileştirebilirsiniz: Yerel güvenliği secpol.msc ile yönetin.
- Amerika Birleşik Devletleri güçlü parolalar veya daha iyisi, geçiş anahtarları. Tekrar kullanılamaz, kişisel veri yok. Parola kullanmaya devam ederseniz, mümkün olduğunca bir parola yöneticisi ve çok faktörlü kimlik doğrulama (MFA) kullanın.
- Gezinirken ve alışveriş yaparken sağduyunuzu kullanın: Alan adlarını kontrol edin, şüpheli bağlantılardan ve beklenmedik eklerden kaçının. HTTPS yolu şifreler; hedefi meşrulaştırmaz; adrese büyüteçle bakın.
Günlük sanal alan ve uygulama kontrolü
Yardımcı programları test etmek veya nadir ekleri açmak için şunu çekin: Windows SandboxEğer bu uygulama profilinize veya gerçek sisteme dokunmuyorsa risk önemli ölçüde azalır.
Bir ekipman filosunu yönetiyorsanız, İşletmeler için Uygulama Denetimi ile izin verilenler listelerive yalnızca şirketinizin ihtiyaç duyduğu ve işaretlediği şeylerin yaşamasına izin verin. Daha az şans, daha fazla yönetim.
Bu stratejiyi şu şekilde destekleyin: Akıllı Uygulama Kontrolü Windows 11'de günlük yaşama sızan düşük itibarlı yürütülebilir dosyaları engellemek için.
Tarayıcılarda oturumları izole edin Uygulama Görevlisi böylece web'de sıfırıncı günün tüm ekibi tehlikeye atmaması sağlanır.
Yedeklemeler, geri yüklemeler ve fidye yazılımına karşı dayanıklılık
Gününüz kötü giderse, yedek planınız fark yaratır. Dosya Geçmişi ve OneDrive saldırıdan sonraki tam günleri kurtarmanıza ve önceki sürümlere dönmenize olanak tanır.
yapılandırır çevrimdışı kopyalar, artımlı kopyalar ve bant dışı kopyalar böylece fidye yazılımı tüm yedeklerinize ulaşmaz; artımlı kopyalar alanı ve kurtarma pencerelerini azaltın.
Windows 11'de, fidye yazılımı veri kurtarma OneDrive'da senkronize edilen klasörlerin önceki durumlarına geri yüklenmesine yardımcı olarak bozulmayı ve kesinti süresini azaltır.
Uygulama testi restorasyonları. Test edilmemiş bir yedekleme bir plan değil, bir umutturAnlık doğaçlama yapmamak için prova yapın.
Kod, tedarik zinciri ve sistem kalitesi
Windows, kontrolleri entegre eder kod imzalama ve bütünlük Önyüklemede, çekirdekte ve sürücülerde. Yalnızca imzalı ve onaylı bileşenler çalıştırılmalıdır ve bilinen güvenlik açığı bulunan sürücüler için engelleme listeleri mevcuttur.
Platform daha fazlasına doğru ilerliyor Rust ile güvenli kod çekirdeğin kritik alanlarında, saldırganların sıkça kullandığı ve gözlemlenen klasik bellek arızalarını azaltarak Uygulamaların izinsiz çalışmasına izin veren hatalar.
Tedarik zinciri şu şekilde güçlendiriliyor: SBOM imzalandı ve önemli modüllerde güvenli mühendislik süreçleri, denetim, hata ödülü ve FIPS ve Ortak Kriterler doğrulamaları iyileştirildi.
Kullanıcılar için bu, şu anlama gelir: Güncellemeler bir heves değildir: Güvenlik çıtasını yükseltiyorlar ve dün olmayan ama bugün var olan vektörleri düzeltiyorlar.
Hala Windows 10 kullanan bilgisayarlarınız için lütfen duyurulan destek sonu bilgisini dikkate alın. Windows 11'e geçişinizi planlayın veya genişletilmiş destek çözümleri gibi Genişletilmiş Güvenlik Güncelleştirmeleri (ESU)Özellikle hassas veriler veya düzenlenmiş ortamlarla ilgileniyorsanız.
Her şeyin ince ayarı yapıldığından Windows 11 ve Windows 10, sorunsuz bir şekilde çalışmanız ve eğlenmeniz için oldukça sağlam bir platform sunuyor. Anahtar, katmanları birleştirmektir: güvenilir donanım, güçlendirilmiş sistem, şifresiz kimlik, kontrollü uygulamalar, şifrelenmiş ağ ve hazır kopyalarBu tarifle korkular uyarılara, olaylar ise kontrollü anekdotlara dönüşüyor.
