Microsoft, Windows 11 için Sistemleri ayrıcalık yükseltme saldırılarına karşı korumak için tasarlanmış çığır açan bir güvenlik özelliği olan Yönetici Koruması’nı tanıttı.
Bu yeni yetenek, idari işlemler etrafında bir güvenlik sınırı oluşturur ve bilgisayar korsanlarının yükseltilmiş işlemleri hedeflerken kullandığı saldırı yüzeyini önemli ölçüde azaltır.
Microsoft’un Dijital Savunma Raporu 2024’e göre, jeton hırsızlığı olayları günde yaklaşık 39.000 olaya yükseldi ve gelişmiş ayrıcalık koruma mekanizmalarına yönelik kritik ihtiyacı vurguladı.
.png
)
Yönetici koruması, izole yönetici jetonları oluşturan gizli, sistem tarafından yönetilen, profil tarafından ayrılmış bir yerel kullanıcı hesabı uygulayarak Windows’un kullanıcı erişim kontrolü (UAC) mimarisini temelden yeniden tasarlar.
Bu mimari, kullanıcı düzeyinde kötü amaçlı yazılımların yüksek bağlamlarda çalışan koddan ödün vermesini ve bir güvenlik sınırı olarak etkin bir şekilde yükselmesini önler.
Teknik dokümantasyon, “Çalışan uygulamalar, yüksek ayrıcalıklarla çalışırken saldırılara karşı en savunmasızdır” diyor.
Risk, kötü amaçlı kod yükselirken yürütüldüğünde, potansiyel olarak jetonları yakaladığında ve organizasyonel ağlardaki yanal hareketi kolaylaştırdığında yoğunlaşır.
Yeni özellik, kötü amaçlı yazılımların kullanıcı izni olmadan sessizce idari ayrıcalıklar kazanabileceği UAC bypass saldırılarında daha önce sömürülen bir mekanizmayı ortadan kaldırarak en az ayrıcalık ilkesini uygulamaktadır.
Yönetici koruması etkinken, kullanıcıların ayrıcalıklı eylemler üzerinde tam kontrolü koruyarak her idari işlemi açıkça yetkilendirmelidir.
Operasyona izin vermek için yönetici koruması
Teknik uygulama, benzersiz bir güvenlik tanımlayıcısına (SID) sahip Sistem Yönetici Yönetici Hesabı (SMAA) etrafında döner.
Hem yükseltilmiş hem de EVVLEVED işlemlerin ortak kaynaklara erişim paylaştığı geleneksel bölünmüş eğimli modelin aksine, yönetici koruması, belirli yükseklik görevleri için tam zamanında üretilen saygın olmayan yönetici jetonları oluşturur.
Bu jetonlar, görevin tamamlanması üzerine hemen atılır ve ayrıcalıklı kimlik bilgilerinin yalnızca talep eden sürecin ömrü ile maruz kalmasını sınırlar.
Bu tasarım, kayıt defteri anahtar manipülasyonu ve ortam değişkeni aşırı yükleme saldırıları gibi klasik UAC bypass tekniklerini etkili bir şekilde azaltır.
Güvenlik mimarisi, SMAA için ayrı dosya sistemi dizinleri ve kayıt defteri kovanları oluşturur ve ayrıcalıklı ve bozuk işlemlerin paylaşılan kaynaklara erişmesini önler.
Windows Hello Entegrasyonu, idari ayrıcalıklar vermeden önce biyometrik veya pim doğrulaması gerektiren ek bir kimlik doğrulama katmanı sağlar.
Zaman çizelgesi ve uyumluluk hususları
Şu anda Canary Channel’daki Windows Insider’lar tarafından kullanılabilir (Build #27718 ve daha yüksek), yönetici koruması yakında 24H2 sürümünde daha geniş dağıtım planları ile geliştirici kanalına genişleyecektir.
Microsoft, bu özelliği varsayılan olarak desteklenen sürümlerde etkinleştirmeyi planlıyor: Windows 11 Home, Professional, Enterprise ve Eğitim.
Uygulama geliştiricileri, ön yükseltmek yerine ayrıntılı ayrıcalık yüksekliği uygulayarak bu yeni paradigmaya uyum sağlamalıdır.
Microsoft, uygulamaların mümkün olduğunca uygulanmamış bağlamlarda yüklenmesini ve bağlamlar arasında erişilebilirliği korumak için uygulama dosyalarını uygun dizinlerde saklamanızı önerir.
Özellikle karmaşık gelişim ortamlarında bazı uyumluluk zorlukları mevcuttur. Örneğin Visual Studio, kullanıcı başına konumlara yüklenen uzantılarla ilgili sorunlar ve kullanıcıya özgü dizinlerde depolanan ayarlar dahil olmak üzere yönetici koruması etkinleştirilmiş olarak yükseltilmiş çalışırken belirli uyumsuzluklar sergiler.
Microsoft, kullanıcıların “Windows cihazlarındaki değişikliklerin kontrolünde kalmasını” sağlarken, özelliğin “yönetici ayrıcalıklarının kullanımına yetki vermek için güvenli ve uygun bir yol sağlamayı” amaçladığını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!