Microsoft, önizleme aşamasında sunulan ve kritik sistem kaynaklarına erişimi engellemek için Windows Hello kimlik doğrulama istemlerini kullanan yeni Windows 11 yönetici koruması güvenlik özelliği hakkında daha fazla ayrıntı paylaştı.
İlk olarak geçen ay Canary Channel’da Windows 11 Insider’lar için bir önizleme yapısında tanıtılan yönetici koruması, “yönetici kullanıcılar için serbest değişken yönetici haklarını korumak ve onlara tam zamanında yönetici ayrıcalıklarıyla tüm yönetici işlevlerini gerçekleştirmeye devam etmelerine olanak tanımak” üzere tasarlandı.
Daha da önemlisi, bir cihazda etkinleştirildiğinde bu özellik, sisteme giriş yapanların yalnızca standart kullanıcı izinlerine sahip olmasını sağlayacak ve kayıt defterini değiştirmeye veya yeni bir kayıt yüklemeye çalışırken bir PIN veya biyometrik yöntem kullanarak Windows Hello aracılığıyla kimlik doğrulaması yapmaları istenecektir. uygulamalar.
Bu ekstra kimlik doğrulama istemlerini atlatmak, Pencere Kullanıcı Hesabı Denetimi (UAC) güvenlik özelliğinden daha zor olmalıdır; böylece kötü amaçlı yazılımların ve saldırganların bu tür kritik kaynaklara erişmesini ve sistemi tehlikeye atmasını önleyebilirler.
Şirketin Kurumsal ve İşletim Sistemi Güvenliğinden Sorumlu Başkan Yardımcısı David Weston, “Windows, işin tamamlanması için geçici, yalıtılmış bir yönetici belirteci oluşturur. Bu geçici belirteç, görev tamamlandığında hemen yok edilir, böylece yönetici ayrıcalıklarının devam etmemesi sağlanır” dedi. Microsoft Ateşleme.
“Yönetici koruması, sistem kaynaklarını kötü amaçlı yazılımların değil kullanıcıların kontrol altında tutmasını sağlamaya yardımcı oluyor. Ayrıca, belirli bir Windows Hello yetkilendirmesi olmadan artık çekirdeğe veya diğer kritik sistem güvenliğine otomatik, doğrudan erişime sahip olmadıkları için saldırganlar için de rahatsız edici olacak.”
Windows Insider Ekibinin, özelliğin ilk kez tanıtıldığı Ekim ayında paylaştığı gibi, yönetici koruması varsayılan olarak kapalıdır ve grup ilkesi aracılığıyla etkinleştirilmesi gerekir.
Windows Hello ayrıca, Windows 11 22H2 ile sunulan ve cihaz yöneticisinin bile erişemeyeceği şekilde verileri şifreleyen bir özellik olan Kişisel Veri Şifreleme’nin yardımıyla Masaüstü, Belgeler ve Resimler klasörlerinde depolanan dosyalara erişimi engellemek için kimlik doğrulama için de kullanılır. Kimlik doğrulamadan önce bunu yapın.
Yöneticiler artık kullanıcıların kötü amaçlı uygulamaları ve sürücüleri indirmesini, yüklemesini ve çalıştırmasını önlemek için Akıllı Uygulama Denetimi ve İşletme için Uygulama Denetimi politikalarını da etkinleştirebilir.
Weston, “Pek çok saldırı, kullanıcıların güvenli olmayan veya imzasız uygulamalar ve sürücüler indirmesi nedeniyle meydana geliyor. Bu, kötü amaçlı ekler veya sosyal mühendislik ürünü kötü amaçlı yazılımlar gibi saldırıları ortadan kaldırıyor” diye ekledi.
“BT yöneticileri, uygulama kontrol sihirbazında ‘imzalı ve saygın politika’ şablonunu seçebilir. Bu, dağıtım konumundan bağımsız olarak milyonlarca doğrulanmış uygulamanın çalışmasına olanak tanır.”