Siber saldırıların büyük çoğunluğu, bilinen ve tekrarlayan saldırı vektörlerini kullanır: zararlı Office makroları, gizlenmiş betikler, kimlik bilgisi hırsızlığı araçları ve yanal hareket teknikleri. Microsoft Defender for Endpoint'in Attack Surface Reduction (ASR) kuralları, bu bilinen saldırı yüzeylerini proaktif olarak daraltarak organizasyonunuzu korur.
ASR Kuralları Nedir?
Attack Surface Reduction kuralları, Windows cihazlarda belirli yazılım davranışlarını hedefleyen güvenlik politikalarıdır. Bu kurallar, zararlı yazılımların sıklıkla kullandığı teknikleri — dosya oluşturma, süreç enjeksiyonu, kimlik bilgisi erişimi gibi — doğrudan işletim sistemi seviyesinde engeller.
ASR kuralları, geleneksel antivirüs imza taramasından farklı olarak davranış tabanlı çalışır. Bir dosyanın zararlı olup olmadığına bakmak yerine, uygulamaların potansiyel olarak tehlikeli eylemler gerçekleştirmesini önler.
Proaktif Koruma
Saldırı gerçekleşmeden önce tehlikeli davranışları engeller
Davranış Tabanlı
İmza yerine uygulama davranışlarını analiz eder
Esnek Yapılandırma
Audit, Block ve Warn modları ile kademeli dağıtım
Desteklenen İşletim Sistemleri
ASR kuralları, Windows 10 ve sonraki sürümlerde desteklenir. 2025 güncellemesi ile birlikte Windows Server 2025 desteği de eklenmiştir.
Client (İstemci)
- Windows 10 (1709 ve sonrası)
- Windows 11 (tüm sürümler)
- Pro, Enterprise, Education sürümleri
Server (Sunucu)
- Windows Server 2016 ve sonrası
- Windows Server 2019, 2022
- Windows Server 2025 (Yeni)
Client ve Server Ayrımı
Microsoft, 2025 baselines ile birlikte bazı kuralları Client ve Server için farklı şekilde yapılandırmıştır. Örneğin, "Adobe Reader'ın alt süreç oluşturmasını engelle" kuralı artık sunucularda önerilmiyor (çok fazla false positive üretiyor), sadece Client tarafında kalmalıdır.
ASR Kural Modları
Her ASR kuralı üç farklı modda çalıştırılabilir. Doğru mod seçimi, başarılı bir dağıtımın anahtarıdır.
Audit Modu
Kural tetiklendiğinde yalnızca olay kaydı oluşturur, eylemi engellemez. Dağıtım öncesi etki analizi için kullanılır. Tüm kuralları önce bu modda çalıştırmanız şiddetle önerilir.
Block Modu
Kural tetiklendiğinde eylemi engeller ve olay kaydı oluşturur. Üretim ortamında aktif koruma sağlar. Audit modunda yeterli test yapıldıktan sonra geçiş yapılmalıdır.
Warn Modu (Uyarı)
Kullanıcıya bir engel çıkarır ancak kullanıcı "Buna izin ver" diyerek devam edebilir. Kullanıcı farkındalığı oluşturmak ve geçiş dönemlerinde kullanılır.
Warn Modu Kullanım Senaryoları
- Geliştiriciler için PowerShell betik çalıştırma
- IT ekipleri için yönetim araçları kullanımı
- Audit'ten Block'a geçiş döneminde kullanıcı alışkanlığı oluşturma
Kritik ASR Kuralları
Microsoft, 15'ten fazla ASR kuralı sunar. Aşağıda en kritik ve yaygın kullanılan kuralları, 2025'te eklenen yeni kurallar ile birlikte detaylı olarak inceliyoruz.
Office uygulamalarının yürütülebilir içerik oluşturmasını engelle
Word, Excel, PowerPoint gibi Office uygulamalarının .exe, .dll veya .scr dosyaları oluşturmasını önler.
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5Office uygulamalarının alt süreç oluşturmasını engelle
Office uygulamalarının cmd.exe, powershell.exe gibi alt süreçler başlatmasını engeller.
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550Office uygulamalarının diğer süreçlere kod enjekte etmesini engelle
Office makrolarının diğer çalışan süreçlere zararlı kod enjekte etmesini önler.
GUID: 3b576869-a4ec-4529-8536-b80a7769e899Office makrolarından Win32 API çağrılarını engelle
VBA makrolarının doğrudan Windows API fonksiyonlarını çağırmasını engeller.
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688aGizlenmiş (obfuscated) betiklerin yürütülmesini engelle
JavaScript, VBScript ve PowerShell betiklerindeki gizleme tekniklerini tespit eder ve engeller.
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04ccJavaScript/VBScript indirilen yürütülebilir içeriği başlatmasını engelle
Web tarayıcılarından indirilen betiklerin yürütülebilir dosyaları çalıştırmasını önler.
GUID: d3e037e1-3eb8-44c8-a917-57927947596dOffice uygulamalarının WMI aracılığıyla alt süreç oluşturmasını engelle
WMI (Windows Management Instrumentation) üzerinden süreç oluşturma girişimlerini engeller.
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84PSExec ve WMI komutlarından süreç oluşturmayı engelle
Yanal hareket için sıkça kullanılan PSExec ve WMI tabanlı uzaktan süreç oluşturmayı engeller.
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5bSunucular için Webshell oluşturulmasını engelle
2025 kritik kuralı: Exchange ve IIS gibi sunucularda webshell yazılmasını engelliyor. Sunucu saldırılarına karşı temel savunma.
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6Kopyalanmış veya taklit edilmiş sistem araçlarının kullanımını engelle
Saldırganların meşru Windows araçlarını (certutil, powershell vb.) farklı isimlerle kopyalayıp kullanmasını engelliyor.
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2cebGüvenli Mod ile yeniden başlatmayı engelle
Güvenlik yazılımlarını devre dışı bırakmak için kullanılan "Güvenli Mod" ile yeniden başlatma taktiklerini engelliyor.
GUID: 33ddedf1-c6e0-47cb-833e-de61339603872025 Yeni Eklenen Kritik Kurallar
Yukarıdaki listede son üç kural (Webshell engelleme, taklit edilmiş araçlar, Güvenli Mod koruması) 2025'te eklenen ve özellikle sunucu tarafı ve gelişmiş saldırı teknikleri için kritik öneme sahip kurallardır.
- Webshell Engelleme: Exchange ve IIS sunucularına yönelik saldırılarda kritik
- Taklit Araçlar: Living-off-the-land (LOLBin) saldırılarını önler
- Güvenli Mod: Ransomware'in güvenlik yazılımlarını devre dışı bırakmasını engeller
Microsoft Defender Portal ile ASR Kurallarını Yapılandırma
ASR kurallarını dağıtmanın en etkili yolu Microsoft Intune üzerinden Endpoint Security politikalarıdır. Tüm yapılandırma ve raporlama işlemleri Microsoft Defender portal (security.microsoft.com) üzerinden gerçekleştirilir.
Adım Adım Yapılandırma
Microsoft Defender Portal'a Gidin
security.microsoft.com adresinden Endpoint Security → Attack Surface Reduction Rules → Create Policy yolunu izleyin.
Platform ve Profil Seçin
Platform: Windows 10 and later, Profile: Attack Surface Reduction Rules seçin.
Kuralları Yapılandırın
Her kural için Audit, Block, Warn veya Not Configured seçeneklerinden birini belirleyin. İlk dağıtımda tüm kuralları Audit modunda başlatın.
İstisnaları Tanımlayın
Meşru iş uygulamalarının engellenmemesi için dosya ve klasör istisnalarını ekleyin. İstisnaları mümkün olduğunca dar kapsamlı tutun.
Grup Ataması Yapın
Politikayı önce pilot gruba, ardından kademeli olarak tüm organizasyona atayın.
PowerShell ile Yapılandırma
Hızlı test veya Intune dışı ortamlar için PowerShell kullanabilirsiniz:
# ASR Kuralları ve Karşılık Gelen Aksiyonlar (Dizi olarak tanımlama)
$ASR_Rules = @(
"56a863a9-875e-4185-98a7-b882c64b5ce5", # Office uygulamalarının yürütülebilir içerik oluşturmasını engelle
"be9ba2d9-53ea-4cdc-84e5-9b1eeee46550", # Office uygulamalarının alt süreçler oluşturmasını engelle
"3b576869-a4ec-4529-8536-b80a7769e899", # Kopyalanmış sistem araçlarının kullanımını engelle (Yeni!)
"5beb7efe-fd9a-4556-801d-275e5ffc04cc", # Gizlenmiş betiklerin yürütülmesini engelle
"d3e037e1-3eb8-44c8-a917-57927947596d", # JS/VBS tarafından indirilen içeriğin yürütülmesini engelle
"e6db77e5-3df2-4cf1-b95a-636979351e5b" # PSExec ve WMI komutlarından kaynaklanan süreçleri engelle
)
# Tüm kurallar için aksiyon belirle:
# 1: Block, 2: Audit, 6: Warn, 0: Disable
$Actions = @(2,2,2,2,2,2)
# Kritik: Tüm listeyi tek seferde gönderiyoruz (Üzerine yazma hatasını engellemek için)
Set-MpPreference -AttackSurfaceReductionRules_Ids $ASR_Rules -AttackSurfaceReductionRules_Actions $Actions
# Sonuçları doğrulama (Gelişmiş çıktı)
$pref = Get-MpPreference
for($i=0; $i -lt $pref.AttackSurfaceReductionRules_Ids.Count; $i++) {
Write-Host "Kural ID: $($pref.AttackSurfaceReductionRules_Ids[$i]) - Aksiyon: $($pref.AttackSurfaceReductionRules_Actions[$i])" -ForegroundColor Cyan
}Kademeli Dağıtım Stratejisi
ASR kurallarını doğrudan Block modunda dağıtmak, iş süreçlerini aksatabilir. Aşağıdaki 4 aşamalı strateji, güvenli ve kontrollü bir geçiş sağlar.
Aşama 1: Keşif
1-2 Hafta- Mevcut uygulama envanterini çıkarın
- İş birimlerinden kritik uygulamaları belirleyin
- Baseline davranış analizi yapın
- Potansiyel uyumsuzlukları tespit edin
Aşama 2: Denetim (Audit)
2-4 Hafta- Tüm kuralları Audit modunda etkinleştirin
- Event Log verilerini toplayın ve analiz edin
- False positive oranlarını ölçün
- İstisna (exclusion) listelerini hazırlayın
Aşama 3: Kademeli Uygulama
2-4 Hafta- Pilot grupta Block moduna geçin
- Yüksek öncelikli kurallardan başlayın
- Kullanıcı geri bildirimlerini toplayın
- İstisnaları ince ayar yapın
Aşama 4: Tam Dağıtım
Sürekli- Tüm cihazlara Block modunda uygulayın
- Sürekli izleme ve raporlama kurun
- Yeni kural güncellemelerini takip edin
- Periyodik gözden geçirme yapın
ASR Olaylarını İzleme ve Raporlama
ASR kurallarının etkinliğini ölçmek ve false positive'leri tespit etmek için olay izleme kritik öneme sahiptir. Raporlama ekranları artık Exposure Management (Zafiyet Yönetimi) içine daha entegre çalışıyor.
Windows Event Log
- Event ID 1121: Block modunda engellenen eylem
- Event ID 1122: Audit modunda tespit edilen eylem
- Event ID 1129: Warn modunda kullanıcı kararı
Microsoft Defender Portal
- ASR kuralları raporlama panosu
- Exposure Management entegrasyonu
- Cihaz ve kullanıcı bazlı detaylı analiz
/// Tüm ASR Kurallarının Özet Raporu
DeviceEvents
| where ActionType startswith "Asr"
| extend RuleId = tostring(parse_json(AdditionalFields).RuleId)
| summarize
Count = count()
by ActionType, DeviceName, RuleId
| sort by Count descİstisna Yönetimi En İyi Uygulamaları
Dikkat: İstisnalar Saldırı Yüzeyini Genişletir
Her eklenen istisna, potansiyel bir güvenlik açığıdır. İstisnaları mümkün olduğunca dar kapsamlı tutun ve düzenli olarak gözden geçirin.
Klasör bazlı geniş istisnalar yerine, spesifik dosya yolları ve hash değerleri kullanın. Örneğin C:\Tools\* yerine C:\Tools\SpecificApp.exe tercih edin.
Her istisna için neden eklendiğini, hangi iş sürecini desteklediğini ve kim tarafından onaylandığını kayıt altına alın.
Her çeyrekte istisna listesini gözden geçirin. Artık kullanılmayan uygulamalar veya değişenmiş iş süreçleri nedeniyle gereksiz hale gelen istisnaları kaldırın.
Tüm organizasyona geniş istisnalar eklemek yerine, yalnızca ilgili departman veya kullanıcı grubuna özel istisnalar tanımlayın.
Lisans Gereksinimleri
ASR kuralları artık sadece E5 değil, Defender for Endpoint Plan 1 (E3 lisansı ile gelen) ile de kullanılabilir. Ancak gelişmiş raporlama ve Advanced Hunting yetenekleri hala Plan 2 (E5) gerektiriyor.
MDE Plan 1 (M 365 E3)
- Temel ASR kuralları (tüm kurallar)
- Intune ile merkezi yönetim
- Temel raporlama ve olay görüntüleme
- Windows Event Log entegrasyonu
Plan 2 (E5)
- Plan 1'in tüm özellikleri
- Advanced Hunting (KQL sorguları)
- Gelişmiş Raporlama ve analitik
- Sentinel entegrasyonu ve SIEM yetenekleri
Ücretsiz Seçenek
Microsoft Defender Antivirus (Windows 10/11 ile ücretsiz gelen) ile temel ASR kurallarını Group Policy veya PowerShell ile yönetebilirsiniz. Ancak merkezi yönetim ve raporlama için Defender for Endpoint lisansı gereklidir.
Özet ve Sonraki Adımlar
ASR kuralları, organizasyonunuzun saldırı yüzeyini önemli ölçüde daraltır. 2025 güncellemeleri ile birlikte sunucu tarafı koruma (Webshell engelleme), gelişmiş saldırı teknikleri (taklit edilmiş araçlar) ve Warn modu gibi yeni özellikler eklendi. Başarılı bir dağıtım için kademeli yaklaşım benimseyin: önce Audit, sonra Warn, en son Block moduna geçin. İstisnaları dar kapsamlı tutun ve sürekli izleme ile optimize edin.