Windows 10 Anti-Ransomware Yayında

Bu blog’ta birçok kez fidye yazılımlarıyla alakalı değişik koruma yol ve yöntemlerine değindim. ve her yeni gelişmede değinmeye devam edeceğim.
Bu yazıda ise, Windows 10 ile yeni gelen bir fidye yazılımı koruma yönteminden bahsedeceğim.

Windows 10 yeni güncelleme ile birlikte “Controlled Folder Access” olarak isimlendirilen yeni bir özelliğini yayına aldı.
Bu özellik, “varsayılan olarak herşeyi engelle” prensibine dayanıyor. Özelliğin aktif edildiği klasörler koruma altına alınıyor ve bir değişim olduğunda işlem durduruluyor.

Özelliği nasıl aktif edeceğimize kısaca bakalım.
1- Windows Defender Security Center panelini açıyoruz. ve Virüs & thereat protection özelliğini aktifleştiriyoruz.  ( aşağıdaki ekrandaki gibi isterseniz tüm özellikleri aktifleştirebilirsiniz )

2- Windows Defender menüsünden “Open Windows Defender Security Center” paneline gidiyoruz.

3- Windows Defender Security Center Paneline eriştiğimizde Virus & threat protection menüsünden Virus & threat protection Settings ayar penceresini açıp Controlled folder access özelliğinin düğmesini ON ( aktif ) durumuna getiriyoruz.

4- Şimdi korunmasını istediğimiz klasörleri seçiyoruz. Bu durumda stratejimizi bizim için önemli olan, belge ve bilgi depoladığımız klasörleri hedef alarak devam edebiliriz. Add a protected folder diyerek korunacak klasörleri seçiyoruz.

5- Yukarıda da bahsettiğim gibi Conrolled Folder Access temelde herşeyi engelle prensibine dayandığı için bu klasöre erişimi ve hakkı olan uygulamalara istisna (izin) vermemiz gerekiyor, aksi durumda, bu klasörlere kullandığımız uygulamalar dahi olsa erişim değiştirme/ekleme/silme yapamazlar. Bunun önüne geçmek için klasöre uygulama bazlı yetki vermemiz gerekiyor. Add an allowed app özelliğini kullanarak izinli uygulama/programları ekliyoruz. Bu örnekte, dropbox.exe ( client uygulaması ) ilgili klasörlere erişip düzenleme/ekleme çıkarma yapmak için yetkili kılındı. Yine bu örnekteki gibi, dropbox.exe dosyasının yolunu göstermemiz gerekmekte.

Ve işlemimiz bitti, şu durumda dropbox.exe dışında hiçbir uygulama klasörlerimize erişip değiştirme işlemi yapamayacak.

peki bu özelliği farklı şekilde nasıl açabilirdik?
PowerShell yardımıyla aşağıdaki seti uygulayarakta özelliği aktif edebilirsiniz.
Set-MpPreference -EnableControlledFolderAccess Enabled
enable  yerine disable  koyarak özelliği devre dışı bırakabilirsiniz.

Bu özelliği GPO ile dağıtmak için;
1- Group Policy Management Console panelini açıyoruz. ve aşağıdaki düğümü takip ederek Controlled Folder Access özelliğini aktifleştirebiliyoruz.
Computer configuration⋙ Administrative templates 
⋙ Windows components ⋙ Windows Defender Antivirus ⋙ Windows Defender Exploit Guard ⋙ Controlled folder access ⋙ Configure the guard my folders feature ⋙ Enable

2- daha sonra allowing app özelliğini ayarlıyoruz.

3- artık istediğimiz birime uygulayabiliriz ( OU ). burada dikkat etmemiz gereken nokta şudur, bir güvenlik duvarı mantığı ile hareket ettiği için, hangi uygulamaların erişim izni olduğuna dikkat etmelisiniz. belki ilk başlarda zorlayabilir ama deneme/yanılma ile gerekli izinler ve yasaklamalar sağlandıktan sonra kararlı çalışacağından şüphem yok.

Not: eğer herhangi bir zararlı başlamadan önce sistemde çalışan zararlıların listesini alıp adını buna göre değiştirip bu konumdan çalışmaya devam ederse bu özellik etkisiz hale gelebilir, bunun için Program Files dizinini koruma alıp, windows installer’a izin vermek mantıklı olabilir, her durumda biraz deneme yanılma yaparak doğruyu bulmak gerekiyor sanırım.
Yine de ne olursa olsun düzenli yedek hayat kurtarır.