Windows Defender ve AV yazılımları hakkında bilinen yanlışlar

Dutchman

Dutchman

Gigapat
Antibiyotik
Katılım
9 Ocak 2018
Mesajlar
9.224
Makaleler
12
Çözümler
241
Yer
Istanbul
Daha fazla  
Cinsiyet
Erkek
Meslek
Network/IT Security & Threat Specialist
Selamlar,

Öncelikle aklımda inanın böyle bir konu açmak yoktu. Yabancı bir forumda insanların güvenlik konusu ile alakalı olan cehaletini gördüm, popüler akıma inanmış ve saçmalıkların peşinde giden onlarca insan gördüm ki, Technopat Sosyal'in kitlesine bir defa daha hayran oldum. Öncelikle burada bahsedeceklerimin pek çoğu zaten Sosyal kitlesi tarafından bilinen naneler. Fakat birkaç saattir cehalet düzeyi yüksek insanlara laf anlatmakta olduğum için, burada genel bir bilgilendirme konusu açmak ve olası bir yanlış düşüncenin önüne geçmek istedim (cehaletten kastım bilmemek değil, doğruyu kabullenmemek).

Öncelikle, güvenlik konularından beni tanırsınız. Sosyal'de bulunma amacım da genelde işim gereği insanların güvenlik ile ilgili konularında yardımcı olmak, sorunları analiz etmek çözümlerde yardım etmek. Bu bağlamda pek çok kez AV karşılaştırmalarında da bulundum. Bu AV karşılaştırmaları her ne kadar hedef sisteme özel olsa da belirli standartlar çerçevesinde yapılıyor. Bunlar da genelde ağ güvenliği, sistem etki performansı, fidye koruması, veri yedeklemesi, koruma katmanları ve kendini koruma motoruna yönelik oluyor.

Bu konuda da size genel olarak Defender hakkında bilinen en genel yanlışlardan AV ve zararlı yazılımların çalışma prensibi hakkında bilinen yanlışlara kadar genel bir bilgilendirme yapacağım. Bu yazdıklarım 6.06.2022 tarihindeki bilgileri içermektedir, ileriki tarihlerde Defender'ın çalışma prensibi değişir, o zaman bu konunun bir geçerliliği kalmaz.

-- Windows Defender --
  • Defender, ev kullanıcıları ve temel koruma isteyenler için yeterlidir.
  • Ağ koruması başarsızdır, gelişmiş bir ağ koruması arayan kullanıcıların profesyonel çözümlere yönelmesi gereklidir.
  • Ev kullanıcılarına yönelik olsa da, daha gelişmiş koruma isteyen kullanıcılar için alternatif ürünler önerilmektedir.
  • Kendi ayarlarını koruyamamaktadır. Microsoft tarafından sürekli yamalar çıkarılmakta ancak basit scriptler ile Windows Defender devre dışı bırakılabilmektedir.
  • Tespit oranı nispeten daha düşüktür, ancak yeterli sayılabilir.
  • Tespit sonrası temizlemesi başarısızdır.
  • Arayüz sorunları sebebiyle tespit motoru false-positive vermemiş olsa bile yanlış eylem almak mümkündür.
  • UWP tabanlıdır, sistemle bütünleşiktir fakat kolaylıkla izole edilelebilir.
  • Erişimi kısıtlıdır, yürütülen zararlı tarafından kolayca farklı yetkilendirmelere tabi tutulabilir.
  • Performansı testlerde başarısız olarak gösterilse de, aksine sistem kullanımına en az etki eden yazılımlardan biridir. Son kullanıcı için çoğu zaman performans sorunu yaratmaz (yeterli sisteme sahip kullanıcılar için).
  • Web korumasında SmartScreen olmadığı sürece phishing engellemesinde çoğu zaman başarısız olur.
  • Sanallaştırılmış koruma özelliklerine sahip olsa da, VM dump edebilen zararlıların hedefindedir ve çoğu zaman başarısız olur.
  • Fidye koruma klasörleri başarılıdır, fidye zararlılarına karşı klasörlerinizi koruyabilir. Devre dışı bırakılsa dahi seçili klasörlere müdahale edilemez (çoğu vakada).
  • En geniş veritabanına sahiptir, ancak tespit motorunun doğruluğu her zaman garanti edilemeyebilir (diğer opsiyonlara göre daha düşük doğruluk), bu sebeple false-positive oranı genelde yüksektir.
  • KSN, ESET LiveGrid gibi erken uyarı ve güvenilirlik ağlarına dahil olmadığından (Microsoft ağları yeterli değil), ev kullanıcıları için sezgisel taraması çoğu zaman yeterli değildir.

-- Virüsler, Zararlılar, Ransomware'ler --
  • Çalıştırılmak için admin izinlerine ihtiyaç DUYMAZLAR.
  • Yönetici izni olmadan da sisteminize zarar VERİRLER.
  • UAC ve Yönetici izinleri olmadan da sisteminizi şifreleyebilirler.
  • Piyasadaki güncel birçok ransomware zararlısının, YÖNETİCİ İZNİNE İHTİYACI YOKTUR.
  • Bir sistemi, yönetici izni tam olarak KORUYAMAZ.
  • Bir zararlının sisteme zarar vermesi için illa zararlı kod barındırması GEREKMEZ.

-- Güvenlik Testleri ve Test Ortamları --
  • AV güvenlik testlerinde her türlü senaryoya hazırlıklı olunmalıdır. Bu sebeple en bilinçli kullanıcıdan en bilinçsiz kullanıcıya kadar tüm durumlar hazırlanmalıdır.
  • Bir AV paketinin güvenliğini ve temizleme kabiliyetini ölçmek için koruma katmanları kapatılabilir, ATP katmanları devre dışı bırakılabilir ve ana makine ile olan bağlantısı kesilebilir.
  • Bir güvenlik yazılımı, maksimum koruma ayarlarında test edilip "en başarılı koruma" ödülü alamaz, almamalı!

-- AV Yazılımları --
  • AV Yazılımları, bünyesinde barındırdığı kritik güvenlik açıklarına bağlı olarak saldırının yüzeyini genişletebilir. Bu sebeple koruma yerine av olmanıza sebep olabilir (hedef alınmış sistemler için).
  • Büyük firmalar, büyük veri merkezleri ve sunucular için paket takibi esas konudur, bireysel AV yazılımları gibi basit çözümlerin yerine uç nokta koruma teknolojileri kullanılır.
  • Hiçbir AV yazılımı tam koruma sağlamaz, hiçbir AV firması %100 koruyacağını söyleyemez.

Dostlar söyleyeceklerim bu kadar, içimi döktüm diyebilirim. Birkaç saattir bir avuç popüler kültürün esiri olmuş ve kendini güvenlik uzmanı olarak tanımlayan kişilere bunu anlatmaya çalışıyorum. Beni bot hesaplarla suçlamaları mı dersiniz sorularıma cevap vermeden konuyu terk etmeleri mi dersiniz artık rezil bir hal almaya başladı. Ben de "laf insana anlatılır" sözüne uyarak güvenlik alanına yeni girecek/girmiş olan arkadaşların kafasındaki soru işaretlerini bir nebze giderebilmek amacıyla konuyu burada açtım.
İlk Defender maddeleri, gerçek anlamda bilgi karmaşası olduğunu gördüğüm (kendini güvenlik uzmanı olarak tanıtan birkaç yabancı arkadaşın bile) ve bunu düzeltmek istemem sebebiyle açıldı.

Konu altından eklemeler, itirazlar olabilir. Tartışmaya açığım.

Ufak bir de uyarı yapayım, Defender'ın kötü olduğunu vs. iddia etmiyorum. İlk maddelerde de söylediğim gibi Defender hem iyi, hem kötü bir korumaya sahip. Karşılaştığınız duruma göre değişen bir olgu bu.

İyi akşamlar...
 
Son düzenleme:
Dutchman dedi:
Performansı testler başarısız olarak gösterilse, aksine sistem kullanımına en az etki eden yazılımlardan biridir. Son kullanıcı için çoğu zaman performans sorunu yaratmaz.

Genişletmek için tıkla...

Diğer yazdığınız şeyler doğru ama bence bu değil. Defender gayet sağlam CPU, RAM kullanıyor. Geçen 400 MB RAM kullandığını bile gördüm.
 
408157 dedi:
Diğer yazdığınız şeyler doğru ama bence bu değil. Defender gayet sağlam CPU, RAM kullanıyor. Geçen 400 MB RAM kullandığını bile gördüm.
Genişletmek için tıkla...
Evet evet, sistemi yeten kullanıcılar için diye eklemeyi unuttum. Bellek ve CPU sıkıntısı yoksa genelde iş görüyor. Etkisi de UWP olduğu için oldukça az normalde.
 
Dutchman dedi:
Evet evet, sistemi yeten kullanıcılar için diye eklemeyi unuttum. Bellek ve CPU sıkıntısı yoksa genelde iş görüyor. Etkisi de UWP olduğu için oldukça az normalde.
Genişletmek için tıkla...

Sistemi 16 GB RAM olan adamın umursamasına gerek yok zaten, isterse 1 GB RAM kullansın.
 
408157 dedi:
Sistemi 16 GB RAM olan adamın umursamasına gerek yok zaten, isterse 1 GB RAM kullansın.
Genişletmek için tıkla...
Aslında var, özellikle güvenlik alanında. Ne kadar çok bellek tüketirse bellekte kapladığı yerin izole edilme ihtimali o kadar artıyor. Sık görülen bir durum değil fakat birkaç defa karşılaştım. Kapladığı bellek alanı artarsa, bellekteki iletişimini engellemek daha olası hale geliyor. Bir nevi bellek içinde MITM gibi düşünün.
 
Dutchman dedi:
Selamlar,

Öncelikle aklımda inanın böyle bir konu açmak yoktu. Yabancı bir forumda insanların güvenlik konusu ile alakalı olan cehaletini gördüm, popüler akıma inanmış ve saçmalıkların peşinde giden onlarca insan gördüm ki, Technopat Sosyal'in kitlesine bir defa daha hayran oldum. Öncelikle burada bahsedeceklerimin pek çoğu zaten Sosyal kitlesi tarafından bilinen naneler. Fakat birkaç saattir cehalet düzeyi yüksek insanlara laf anlatmakta olduğum için, burada genel bir bilgilendirme konusu açmak ve olası bir yanlış düşüncenin önüne geçmek istedim (cehaletten kastım bilmemek değil, doğruyu kabullenmemek).

Öncelikle, güvenlik konularından beni tanırsınız. Sosyal'de bulunma amacım da genelde işim gereği insanların güvenlik ile ilgili konularında yardımcı olmak, sorunları analiz etmek çözümlerde yardım etmek. Bu bağlamda pek çok kez AV karşılaştırmalarında da bulundum. Bu AV karşılaştırmaları her ne kadar hedef sisteme özel olsa da belirli standartlar çerçevesinde yapılıyor. Bunlar da genelde ağ güvenliği, sistem etki performansı, fidye koruması, veri yedeklemesi, koruma katmanları ve kendini koruma motoruna yönelik oluyor.

Bu konuda da size genel olarak Defender hakkında bilinen en genel yanlışlardan AV ve zararlı yazılımların çalışma prensibi hakkında bilinen yanlışlara kadar genel bir bilgilendirme yapacağım. Bu yazdıklarım 6.06.2022 tarihindeki bilgileri içermektedir, ileriki tarihlerde Defender'ın çalışma prensibi değişir, o zaman bu konunun bir geçerliliği kalmaz.

-- Windows Defender --
  • Defender, ev kullanıcıları ve temel koruma isteyenler için yeterlidir.
  • Ağ koruması başarsızdır, gelişmiş bir ağ koruması arayan kullanıcıların profesyonel çözümlere yönelmesi gereklidir.
  • Ev kullanıcılarına yönelik olsa da, daha gelişmiş koruma isteyen kullanıcılar için alternatif ürünler önerilmektedir.
  • Kendi ayarlarını koruyamamaktadır. Microsoft tarafından sürekli yamalar çıkarılmakta ancak basit scriptler ile Windows Defender devre dışı bırakılabilmektedir.
  • Tespit oranı nispeten daha düşüktür, ancak yeterli sayılabilir.
  • Tespit sonrası temizlemesi başarısızdır.
  • Arayüz sorunları sebebiyle tespit motoru false-positive vermemiş olsa bile yanlış eylem almak mümkündür.
  • UWP tabanlıdır, sistemle bütünleşiktir fakat kolaylıkla izole edilelebilir.
  • Erişimi kısıtlıdır, yürütülen zararlı tarafından kolayca farklı yetkilendirmelere tabi tutulabilir.
  • Performansı testlerde başarısız olarak gösterilse de, aksine sistem kullanımına en az etki eden yazılımlardan biridir. Son kullanıcı için çoğu zaman performans sorunu yaratmaz (yeterli sisteme sahip kullanıcılar için).
  • Web korumasında SmartScreen olmadığı sürece phishing engellemesinde çoğu zaman başarısız olur.
  • Sanallaştırılmış koruma özelliklerine sahip olsa da, VM dump edebilen zararlıların hedefindedir ve çoğu zaman başarısız olur.
  • Fidye koruma klasörleri başarılıdır, fidye zararlılarına karşı klasörlerinizi koruyabilir. Devre dışı bırakılsa dahi seçili klasörlere müdahale edilemez (çoğu vakada).
  • En geniş veritabanına sahiptir, ancak tespit motorunun doğruluğu her zaman garanti edilemeyebilir (diğer opsiyonlara göre daha düşük doğruluk), bu sebeple false-positive oranı genelde yüksektir.
  • KSN, ESET LiveGrid gibi erken uyarı ve güvenilirlik ağlarına dahil olmadığından (Microsoft ağları yeterli değil), ev kullanıcıları için sezgisel taraması çoğu zaman yeterli değildir.

-- Virüsler, Zararlılar, Ransomware'ler --
  • Çalıştırılmak için admin izinlerine ihtiyaç DUYMAZLAR.
  • Yönetici izni olmadan da sisteminize zarar VERİRLER.
  • UAC ve Yönetici izinleri olmadan da sisteminizi şifreleyebilirler.
  • Piyasadaki güncel birçok ransomware zararlısının, YÖNETİCİ İZNİNE İHTİYACI YOKTUR.
  • Bir sistemi, yönetici izni tam olarak KORUYAMAZ.
  • Bir zararlının sisteme zarar vermesi için illa zararlı kod barındırması GEREKMEZ.

-- Güvenlik Testleri ve Test Ortamları --
  • AV güvenlik testlerinde her türlü senaryoya hazırlıklı olunmalıdır. Bu sebeple en bilinçli kullanıcıdan en bilinçsiz kullanıcıya kadar tüm durumlar hazırlanmalıdır.
  • Bir AV paketinin güvenliğini ve temizleme kabiliyetini ölçmek için koruma katmanları kapatılabilir, ATP katmanları devre dışı bırakılabilir ve ana makine ile olan bağlantısı kesilebilir.
  • Bir güvenlik yazılımı, maksimum koruma ayarlarında test edilip "en başarılı koruma" ödülü alamaz, almamalı!

-- AV Yazılımları --
  • AV Yazılımları, bünyesinde barındırdığı kritik güvenlik açıklarına bağlı olarak saldırının yüzeyini genişletebilir. Bu sebeple koruma yerine av olmanıza sebep olabilir (hedef alınmış sistemler için).
  • Büyük firmalar, büyük veri merkezleri ve sunucular için paket takibi esas konudur, bireysel AV yazılımları gibi basit çözümlerin yerine uç nokta koruma teknolojileri kullanılır.
  • Hiçbir AV yazılımı tam koruma sağlamaz, hiçbir AV firması %100 koruyacağını söyleyemez.

Dostlar söyleyeceklerim bu kadar, içimi döktüm diyebilirim. Birkaç saattir bir avuç popüler kültürün esiri olmuş ve kendini güvenlik uzmanı olarak tanımlayan kişilere bunu anlatmaya çalışıyorum. Beni bot hesaplarla suçlamaları mı dersiniz sorularıma cevap vermeden konuyu terk etmeleri mi dersiniz artık rezil bir hal almaya başladı. Ben de "laf insana anlatılır" sözüne uyarak güvenlik alanına yeni girecek/girmiş olan arkadaşların kafasındaki soru işaretlerini bir nebze giderebilmek amacıyla konuyu burada açtım.
İlk Defender maddeleri, gerçek anlamda bilgi karmaşası olduğunu gördüğüm (kendini güvenlik uzmanı olarak tanıtan birkaç yabancı arkadaşın bile) ve bunu düzeltmek istemem sebebiyle açıldı.

Konu altından eklemeler, itirazlar olabilir. Tartışmaya açığım.

Ufak bir de uyarı yapayım, Defender'ın kötü olduğunu vs. iddia etmiyorum. İlk maddelerde de söylediğim gibi Defender hem iyi, hem kötü bir korumaya sahip. Karşılaştığınız duruma göre değişen bir olgu bu.

İyi akşamlar...
Genişletmek için tıkla...
Hocam Defender kötü bir yazılım değil ama Kendini koruyamayan çok ram kullanan ve Veritabanı nispeten dediğiniz gibi düşük olduğundan tercih edilmesini pek çok insan önermiyor ama Ortalama koruma için uygun bir yazılım sadece korumasının ve Microsoft'un Zararlı yazılım temizliğinin geliştirmesi gerek
Şirketler veya iş bilgisayarlarında Windows Defender kullanan bilgisayarlar çok rahat zararlı yazılımlar ile baş başa kalabiliyor hatta ve hatta USB Belleklerin Güvenlik açıklarından veya özel USB bellekler yardımı ile zararlı yazılım bulaşması ile Defender'ı devre dışı bırakabiliyor Ama Diğer AV yazılımları bu tür özel açıkları ve Zararlıları Daha rahat önlüyor ama Çok güzel bir yazı olmuş ellerinize sağlık.
 
Hocam elinize sağlık, gayet açıklayıcı bir rehber olmuş.
 
EMİR37 dedi:
Hocam Defender kötü bir yazılım değil ama Kendini koruyamayan çok ram kullanan ve Veritabanı nispeten dediğiniz gibi düşük olduğundan tercih edilmesini pek çok insan önermiyor ama Ortalama koruma için uygun bir yazılım sadece korumasının ve Microsoft'un Zararlı yazılım temizliğinin geliştirmesi gerek
Şirketler veya iş bilgisayarlarında Windows Defender kullanan bilgisayarlar çok rahat zararlı yazılımlar ile baş başa kalabiliyor hatta ve hatta USB Belleklerin Güvenlik açıklarından veya özel USB bellekler yardımı ile zararlı yazılım bulaşması ile Defender'ı devre dışı bırakabiliyor Ama Diğer AV yazılımları bu tür özel açıkları ve Zararlıları Daha rahat önlüyor ama Çok güzel bir yazı olmuş ellerinize sağlık.
Genişletmek için tıkla...
İşte bahsettiğim platformda anlatmaya çalıştığım buydu. Fakat güvenlik bilgisi "bağımsız test sonuçlarını göster" demekten öteye gitmeyen birkaç kişi ve onun takipçileri tarafından downvote bombardımanına tutulunca Sosyal'de de bu tarz bir konu açıp genel bilgilendirme yapmak istedim. Teşekkürler yorum için.
 
Emeklerinize sağlık güzel konu. Hiçbir antivirüs %100 başarı sağlamaz dediniz. Bu ücretli olan ESET Smart Security için de geçerli mi veyahut ücretli kaliteli antivirüs yazılımları için de geçerli mi? Peki hiçbir av %100 güvenlik sağlamıyorsa nasıl Online ortamda daha iyi, daha yüksek, daha kapsamlı, daha maksimum düzeyde korunabiliriz?
 

Benzer konular

Kemânkeş-
  • Makale
Rehber  Önerilen AV yazılımları
2 3
Mesaj
27
Görüntüleme
2B
olyshoweR
olyshoweR
xReigns
  • Çözüldü
Çözüldü  Windows Defender vs Ücretsiz AV
Mesaj
6
Görüntüleme
791
xReigns
xReigns
eeVader
Görseldeki zararlı yazılımları Windows Defender virüs gösteriyor
Mesaj
4
Görüntüleme
194
dj_gkhn
D
akcmchn
Av kurduktan sonra Windows Defender kapanır mı?
Mesaj
1
Görüntüleme
514
r.yasar10
r.yasar10
C
Windows Defender hakkında ne düşünüyorsunuz?
Mesaj
4
Görüntüleme
450
Yener K.
Yener K.

Yeni konular

Yeni mesajlar

Geri
Yukarı