Microsoft, idari ayrıcalıkların nasıl yönetildiğini yeniden tanımlayarak ve ayrıcalık artış saldırıları riskini azaltarak Windows işletim sistemi güvenliğini yükseltmeyi amaçlayan sofistike bir güvenlik özelliği olan “Yönetici Koruması” (AP) tanıttı.
En son teknik blog yazısında ayrıntılı olarak açıklanan bu özellik, kullanıcı korumasını ilerletme ve eski tasarımlara dayanan güvenlik açıklarını azaltmada çok önemli bir adımdır.
Yöneticinin korunmasının temel ilkeleri
Yönetici koruması, kullanılabilirliği korurken güvenlik sınırlarını sıkılaştırmak için tasarlanmış beş temel ilke üzerine kurulmuştur.
En az ayrıcalık ilkesini uygular, idari ayrıcalıkların sadece aktif görevler için devam etmesini sağlar ve yükseltilmiş ve elevensiz kullanıcı bağlamları arasında sıkı bir ayrım oluşturur.
Ek olarak, yükseklik eylemleri kasıtlı olmalıdır ve uygulamalar artık kullanıcı hesabı kontrolünde (UAC) yaygın olan geniş, ön yükseklik modellerine güvenmek yerine daha ayrıntılı, göreve özgü yüksek ayrıcalıklar elde edebilir.
Dönüştürücü değişiklikler arasında Sistem Yönetici Yönetici Hesapları (SMAA) merkezi bir rol oynar.
Bu yerel yönetici hesapları, idari ayrıcalıklara güvenli bir şekilde erişilmesini sağlayarak standart kullanıcı hesaplarıyla dinamik olarak bağlantılıdır.
SMAA’lar, katı oturum açma kısıtlamaları ile şifresiz hesaplar olarak oluşturulur, sağlam süreç doğrulamalarından yararlanır ve yetkisiz erişimi önlemek için verimler.
Eski güvenlik açıklarını ele almak
Microsoft’un yaklaşımı, uzun süredir devam eden güvenlik açıklarını bir önceki bölünmüş eğik yönetici modeliyle doğrudan ele alıyor.
Tarihsel olarak, kayıt defteri ve dosya sistemi sömürüsü gibi konular saldırganların UAC mekanizmalarını atlayarak ayrıcalıkları yükseltmesini sağladı.
Etkinlik görüntüleyicisinin kayıt defteri anahtarlarından yararlanmak veya görev zamanlayıcısının ortam değişkenlerini kullanmak gibi klasik saldırılar, kullanıcı profillerinin ayrılması ve paylaşılan kayıt defteri kovanlarının standart ve yükseltilmiş bağlamlar arasında kaldırılması nedeniyle etkisiz hale getirilmektedir.
Ayrıca, yönetici koruması, Windows 7’de tanıtılan ve saldırı yüzeyini yanlışlıkla genişletmiş olan otomatik elevlemeyi durdurur.
Otomatik elevation’ın kaldırılması 92 otomatik elevatçı COM arayüzünü, 11 DLL kaçırma riski ve 23 otomatik elevat uygulamasını azaltır.
Kullanıcı kolaylık sağlamak için değişime rağmen, bu değişim, Windows Hello veya yükseklik için diğer kimlik bilgisi tabanlı mekanizmalar aracılığıyla açık onay gerektirerek ayrıcalık artış riskini önemli ölçüde azaltır.
AP, güvenliğin ötesinde, daha önce standart kullanıcılara erişilemez hale getiren çıkmaz yolları ortadan kaldırarak kullanıcı deneyimini geliştirmeyi amaçlamaktadır.
Örneğin, standart kullanıcılar tarafından başlatıldığında kullanılamayan grup politika düzenleyicisi (gpedit.exe) gibi araçlar artık AP’nin kesintisiz işlevsellik için yapılandırılmış yükseklik yollarından yararlanabilir.
Ancak zorluklar devam ediyor. Microsoft, Jeton Manipülasyonu ve Güvensiz Yollarda DLL kaçırma da dahil olmak üzere belirli saldırı vektörlerinin hala dikkat gerektirdiğini kabul ediyor.
Önemli bir şekilde azaltılmış olsa da, bu güvenlik açıkları ortaya çıkan boşlukları kapatmak için sürekli güncellemeler ihtiyacını vurgulamaktadır.
Yönetici koruması, Windows güvenlik mimarisinde çığır açan bir ilerlemeyi temsil eder.
Özellik, otomatik elevatasyon iş akışlarına alışkın kullanıcılardan ayarlanmasını gerektirse de, ayrıcalık artış saldırılarını azaltmada faydaları, geçici rahatsızlıktan ağır basar.
Microsoft, geliştiricileri AP ile uyumluluk uygulamalarını güncellemeye çağırdı ve bu özelliği gelecekteki sürümlerde varsayılan hale getirme niyetini işaret etti.
Güvenlik bilincine sahip kullanıcılar için, yönetici koruması, Windows’ta güvenli hesaplamayı yeniden tanımlamaya hazırlanıyor ve daha fazla arıtma için geri bildirimleri teşvik ederken sofistike tehditlere karşı koruma sağlamak için sağlam bir çerçeve sunuyor.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene