Kernel modu Donanım Zorunlu Yığın Koruması, Windows 11 22H2’de tanıtılan ve sistemleri yığın arabellek taşmaları gibi çeşitli bellek saldırılarına karşı koruyan bir güvenlik özelliğidir.
Microsoft, bu özelliği Nisan 2023’te Microsoft Defender güncellemesinin bir parçası olarak Windows 11 22H2’ye ekledi.
Kernel (Çekirdek) modu Donanım Zorlamalı Yığın Koruması etkinleştirildiğinde, yığın korumasını zorlamak için donanım kullanarak Windows güvenliğini artıracak ve saldırganların güvenlik açıklarından yararlanmasını zorlaştıracaktır.
Çekirdek modu Donanım tarafından uygulanan Yığın Koruması nedir?
Windows Çekirdeği Modu Donanım Zorunlu Yığın Koruması, öncelikle bir saldırganın yığındaki (depolamak için kullanılan bir veri yapısı) bir arabelleği (geçici bellek depolama) taşarak rastgele kod yürütmeyi tetiklemeye çalıştığı yığın arabelleği taşması saldırılarına karşı koruma sağlayan bir güvenlik özelliğidir.
Bu saldırılar sırasında saldırgan, kendi seçtiği kötü amaçlı kodu çalıştıracak bir programın yürütülmesini yeniden yönlendirmek için dönüş adresinin veya kontrol verilerinin üzerine yazmaya çalışır.
Bir programın yürütme akışını yeniden yönlendirmek için dönüş adresinin veya kontrol verilerinin üzerine yazma tekniği, Geri Dönüşe Yönelik Programlama (ROP) saldırısı olarak bilinir.
Windows Çekirdeği modu Donanım Zorunlu Yığın Koruma özelliğinin çalışması için Gölge Yığınları adı verilen donanım tabanlı özel bir geçici yığın gerekir.
Gölge Yığını, işletim sistemi tarafından kullanılan standart yığını yansıtan geçici bir bellek yığınıdır ve yığın Windows’ta çalışan uygulamalar tarafından değiştirilemez.
Gölge Yığınları şu şekilde kullanılır:
- Bir programın işlevi çağrıldığında, dönüş adresi hem normal yığında hem de Gölge Yığında saklanır.
- İşlev geri döndüğünde, Donanım tarafından uygulanan Yığın Koruma özelliği, birincil yığından gelen dönüş adresinin Gölge Yığında saklanan adresle eşleşip eşleşmediğini kontrol eder.
- Dönüş adresleri eşleşirse, işlev beklendiği gibi döner ve program yürütmesi normal şekilde devam eder.
- Ancak, dönüş adresleri eşleşmezse bu, yığın arabelleği taşması veya ROP saldırısı gibi bir saldırıyı gösterebilir. Bu olduğunda, Windows kötü amaçlı kodun yürütülmesini önlemek için işlemi sonlandırır.
Donanım destekli Yığın Koruma özelliği, Gölge Yığınlarını kullanarak saldırıları azaltabilir, böylece sistemi Zero Day (Sıfırıncı Gün) dahil olmak üzere güvenlik açıklarından koruyabilir.
Ancak, Gölge Yığınları Intel’in Kontrol Akışı Uygulama Teknolojisi (CET) teknolojisini gerektirdiğinden, bu özellik yalnızca daha yeni CPU’larda mevcuttur.
Bu nedenle, Windows Çekirdeği modu Donanım Zorlamalı Yığın Korumasını kullanmak için, bir aygıtta Intel Tiger Lake CPU veya AMD Zen3 CPU ve daha sonra BIOS’ta CPU sanallaştırmanın etkinleştirilmesi gerekir.
Çekirdek Modu Donanım Zorlamalı Yığın Koruması nasıl etkinleştirilir ?
Windows Çekirdeği modu Donanım tarafından uygulanan Yığın Koruma özelliğinin anlaşılması karmaşık olsa da, özelliği etkinleştirmek oldukça kolaydır.
En son güncellemelerle Windows 11 22H2 çalıştırıyorsanız, Windows Güvenliği’ni açın ve Cihaz Güvenliği > Çekirdek Yalıtımı bölümüne gidin .
Gerekli donanıma sahipseniz ve CPU sanallaştırma etkinse, aşağıda gösterildiği gibi ‘ Çekirdek Modu Donanım Zorunlu Yığın Koruması ‘ adlı bir ayar göreceksiniz .
Özelliği etkinleştirmek için ‘Açık’ konuma getirmeniz yeterlidir; Windows, güvenlik özelliğiyle çakışabilecek herhangi bir sürücü olup olmadığını görmek için yüklenen aygıt sürücülerini kontrol edecektir.
Çakışan herhangi bir sürücü algılanırsa, özelliği etkinleştirmeden önce daha yeni sürümlere güncellemek için sürücü listesini gözden geçirmenizi ister.
Sürücüleri en son sürümlere güncelledikten sonra, özelliği yeniden etkinleştirmeyi deneyebilir ve başka çakışma olup olmadığını görebilirsiniz.
Çakışan sürücü bulunmazsa, Windows özelliği etkinleştirmek için bilgisayarı yeniden başlatmanızı isteyebilir.
Beklenmedik davranışlara neden olabilir
Ne yazık ki, bu özellik etkinleştirildiğinde, belirli programların sürücüleri Çekirdek modu Donanım tarafından uygulanan Yığın Koruma özelliğiyle çakıştığı için artık çalışmadığını görebilirsiniz.
Bu genellikle Windows, özellikle çakışan bir sürücünün farkında olmadığında ve yine de etkinleştirilmesine izin verdiğinde olur.
Bu çakışmalar Windows’un çökmesine neden olsa da, programın artık başlamaması ve Windows’un sürücünün uyumsuz olduğunu belirtmesi ve sizden güvenlik özelliğini devre dışı bırakmanızı istemesi daha yaygın bir durumdur.
Bu özelliği etkinleştiren kullanıcılar, çatışmaların çoğunun telif hakkı koruması ve PUBG , Valorant (Riot Vanguard), Bloodhunt , Destiny 2 , Genshin Impact , Phantasy Star Online 2 (Game Guard) dahil oyunlar tarafından kullanılan hile önleyici sürücülerle ilgili olduğunu bildiriyor.
Ancak, daha fazla kullanıcı bu Windows güvenlik özelliğini kullanmaya başladıkça, yığın korumasını desteklemek için bu hile önleme ve telif hakkı koruma programlarının yükseltilmiş sürümlerini muhtemelen göreceğiz.
