Saldırı Yüzeyi Azaltma Kurallarının Endpoint Manager İle Uygulanması

Attack Surface Reduction Rules (ASR) — Saldırı Yüzeyi Azaltma Kurallarını Endpoint Manager İle Nasıl Uygularız?

Daha önce Group Policy ortamında Attack Surface Reduction (bundan sonra ASR olarak kısaltacağım) kuralları ile saldırı yüzeyinin nasıl minimuma indirilebileceğini yazmıştım, detaylı anlatımını nedir ve değildirini paragrafın altına link olarak okumak isteyenler için ekledim.

Attack Surface Reduction Nedir? Nasıl Kullanılır?

Attack Surface Reduction (ASR) Kuralları Nedir?

Linki açmayanlar için kısaca Attack Surface Reduction (ASR) kuralları, Microsoft tarafından Windows platformlarda bazı gelişmiş tehditlerin bertaraf edilmesi için geliştirilmiş olan yerleşik (built-in) kurallar dizisidir. Bu kurallar belli tehditlerin sisteme erişebilme ihtimalini azaltmak için eylemin yada davranışın doğrudan engellenmesi mantığına dayanır. ASR kuralları özellikle kimlik hırsızlığı ve ransomware türevi fidye virüsleri için yüksek etkide engelleme sağlar. Sırf bu sebeplerden dolayı mümkün olan her kuralının canlı ortamda kullanılması kişisel tavsiyemdir.

Yukarıdaki akış şemasında gördüğünüz üzere sık kullanılan atak vektörlerinin kimlik hırsızlığı ile doğrudan bağlantısı var. Neticede kimliğe sahip olan herşeye sahip olur.

ASR kuralları birden fazla kuralı içerdiğinden ister tamamını isterseniz sizin için önemli kısımlarını aktifleştirebilir bazı kurallar için istisnalar tanımlayabilirsiniz. Bazı kurallar örnek olarak eski versiyonda derlenmiş EXE’lerin veya Excel için kullanılan makroların çalışmasını engelleyebileceğinden her kural herkes için uygun olmayabilir.

ASR Kurallarını Aktifleştirmek İçin Sistem Gereksinimleri Nelerdir?

• Windows 10, versiyon 1709 ve üzeri, Windows Server versiyon 1803 ve Windows Server 2019
• Windows 10 Pro/Enterprise/Education sürümlerinden en az birisi
• Microsoft Defender Antivirüs aktif olmalıdır. Pasif modda çalışmaz
• Bazı ASR kuralları için bulut temelli koruma özelliği açık olmalıdır.

Microsoft Enpoint Manager ile ASR Kurallarının Dağıtımı

ASR kuralları Endpoint Manager (Intune) ile iki farlı yolla aktifleştirilebiliyor. İlk olarak Endpoint Security > Create Policy

Yeni profili oluşturarak ASR Kuralları olarak isimlendiriyorum.

Kuralları tek tek isteğimize göre ayarlıyoruz.

Off: Kapalı

Block: Engelle

Warn: Uyar

Audit: Denetle

Not Configured: Değişiklik yok — Ayar yapılmadı

Etkilenmesini istediğim cihazları ekleyerek “Next” diyip daha sonra “Revieve + create” diyerek politikanın dağıtılmasını tamamlamış oluyoruz. Buraya kadar işlemler tamam. Ancak lsass dosyasından döküm almanızı engelleyen kuralın eksik olduğunu fark ettim. Bu kural kimlik hırsızlığı için çok önemli çünkü lsass’dan döküm alınır ise mimikatz tarzı araçlarla hesap bilgilerini okunabiliyor. Bu kuralın aktifleştirilmesini anlatarak aynı zamanda ikinci yöntemde değinelim.

İkinci Metod

Bu motedda Group Policy ile yaptığımız gibi GUID tablosunu kullanıyoruz. Device > Windows > Configuration Profiles + Create profile

Settings catalog seçip ilerliyoruz.

Profile bir isim veriyoruz.

GUID tablosu aşağıdaki gibi hangi kuralı hangi guid tetikliyor ise tablodan görebilirsiniz. Ek olarak daha fazla detayı buraya tıklayarak Microsoft doküman sayfasından inceleyebilirsiniz.

Attack Surface Reduction — Atak yüzeyi azaltma kuralları ve GUID tablosu

Name kısmına GUID eklendikten sonra value 0 ise kapalı, 1 ise engelle 2 ise denetleme modundadır. Tablodan ve Microsoft döküman sayfasını kullanarak daha fazla kural ekleyebilir yada diğer ayarlar için ilk metodu kullanabilirsiniz.

9e6c4e1f-7d60–472f-ba1a-a39ef669e4b2

Value kısmına 1 yazarak onaylıyorum. Daha sonra bu kuralı kaydedip makinelere dağıtmam yeterli olacak.