Microsoft Defender Application Guard’ın Hyper-V kötü amaçlı yazılım algılama özelliği, daha hızlı kurallara dayalı bir tasarımla terk ediliyor. Windows işletme yöneticilerine, Microsoft Defender Application Guard (MDAG) tarafından sunulan güvenlik koruması için alternatifler oluşturma olanağı sunuluyor. MDAG, müşterileri e-posta yoluyla gönderilen tuzaklı Office belgelerinin tehditlerinden korumayı amaçlıyor. Özellik, 2019’dan itibaren bazı Office abonelik seviyelerine eklendi, ancak Microsoft, özelliğin yolunun sonuna yaklaştığını 2023 Kasım’ında duyurduğundan beri müşteriler, bunun nasıl ve ne zaman gerçekleşeceğine ilişkin daha fazla ayrıntı bekliyor.
Microsoft’un müşteri portalındaki yeni zaman çizelgesine göre, kaldırma işlemi Şubat 2026’da Mevcut Yama Salı Kanalı için Office sürümü 2602 ile başlayacak, Aylık Kurumsal Kanal için Nisan 2026 ve Yarı Yıllık Kurumsal Kanal için Temmuz 2026’da gerçekleşecek. Tam kaldırma, Mevcut Kanal için Aralık 2026, Aylık Kurumsal Kanal için Şubat 2027 ve Yarı Yıllık Kurumsal Kanal için Temmuz 2027’de Office sürümü 2612 ile gerçekleşecek.
Hiper-V sandbox’ında dosyaları açarak, MDAG, kötü amaçlı yazılımın işletim sisteminden yürütüldüğünde izole edilmesini sağlar. Kavram sağlam olsa da, belge yükleme süreleri çok daha yavaş olabilir. Ayrıca, izolasyon katmanında zaman zaman güvenlik açıkları tarafından zayıflatılabilir. Microsoft, MDAG’ı aynı işi yaptığını iddia ettiği iki güvenlik katmanıyla değiştiriyor: Saldırı Yüzeyi Azaltma (ASR) kuralları ve Windows Defender Uygulama Denetimi (WDAC). ASR, kötü amaçlı komut dosyalarını, yürütülebilir dosyaları veya kod enjeksiyonunu engellemek için kurallara dayalı bir mekanizmadır. Performans çok iyileştirilmiş olsa da, bir olası dezavantajın davranış analizine dayanması olabilir. Saldırganlar henüz ASR tarafından yakalanmamış yeni bir teknik kullanırsa ne olur? Microsoft’un görüşü, çoğu kötü amaçlı belge saldırısının öngörülebilir teknikleri kullandığı için nadiren olduğudur. Bulut tabanlı makine öğrenimi tarafından desteklenen, ASR’nin yenilikçi bir saldırının ASR’den geçmesi ihtimalinin düşük olduğu iddia ediliyor. Bu arada, WDAC analizi, dijital imzaları, dosya karma değerlerini ve diğer itibar sinyallerini izleyerek uygulamaları çekirdek seviyesinde bloke eder.
Kaldırma işlemi otomatik olarak gerçekleştiğinden, yöneticilerin yapacakları başka şeyler nelerdir? MDAG hakkında muhtemelen pek fazla bilgisi olmayan birçok kurumsal BT ekibine, kaldırılmasından kaynaklanabilecek gizli işler olabilir. Microsoft, yöneticilerin aşağıdakileri yapmasını öneriyor: – Riskli Office dosya davranışlarını engellemek için Microsoft Defender for Endpoint ASR kurallarını etkinleştirin. – Yalnızca güvenilir, imzalı kodların cihazlarda çalışmasını sağlamak için Windows Defender Uygulama Denetimi’ni (WDAC) etkinleştirin. – Kuruluşunuzun önceki uygulamalarında Application Guard for Office’a güvendiği durumlarda iç belgeleri ve yardım masası rehberlerini gözden geçirin.
Yine de, MDAG’ın el ile yazılmış otomasyonlu iş akışlarına dahil eden müşteriler için sorunlar yaratabileceği unutulmamalıdır. Bu, bir Office belgesinin yalnızca MDAG’den geçtikten sonra açılmasına izin veren bir otomasyonlu iş akışı betiğinin genel bir örneği olabilir. MDAG artık mevcut değilse, bu betik yeniden yazılması gerekecek ve izolasyon güvenlik testi günlükleri SIEM’lere uyum kurallarının bir parçası olarak gönderiliyorsa prosedürler değişecek. Kritik altyapı veya hükümet gibi Office belgelerine karşı dikkatli bir yaklaşıma sahip organizasyonları etkileyen, bu yeniden yazma işlemi oldukça fazla işe dönüşebilir. Şüpheye yer yok ki, Windows platformundaki yeni ve kaldırılan özelliklerin düzenli dönüşü ile oluşan stres, karmaşık yapısıyla giderek daha karmaşık hale gelen bir Windows’ta hissediliyor. 2017’den beri Computerworld, Windows 10 ve 11 bileşenleri ve özellikleri hakkında sürekli güncellenen bir rehber yayınlamıştır. Windows 11’in gelişi, işletim sisteminin temel güvenlik mimarisinde birçok değişikliği beraberinde getirmiştir, birçoğu Güvenlik Yardımcısı etrafında inşa edilmiştir.
