Kurumsal Ortamlarda Microsoft Defender Antivirus'ü Yapılandırma

Kurumsal Ortamlarda Microsoft Defender Antivirus'ü Yapılandırma

09/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine kurumsal ortamlarda Microsoft Defender Antivirus'ü (MDAV) etkili bir şekilde yapılandırma ve yönetme konusunda rehberlik etmeyi amaçlamaktadır. Windows işletim sisteminin ayrılmaz bir parçası olan MDAV, temel bir çözümden Microsoft'un güvenlik stratejisinin sağlam ve temel bir bileşenine dönüşerek kötü amaçlı yazılım, fidye yazılımı ve dosyasız saldırılar dahil olmak üzere çok çeşitli tehdide karşı yeni nesil uç nokta koruması sunuyor [1].

Giriş

Sürekli gelişen bir siber tehdit ortamında, güvenilir ve iyi yapılandırılmış bir antivirüs çözümüne sahip olmak, her kuruluşun ilk savunma hattıdır. Microsoft Defender Antivirus, merkezi olarak yönetildiğinde, Microsoft ekosistemiyle sorunsuz bir şekilde bütünleşen güçlü koruma sağlayarak birleşik görünürlük ve kontrol sağlar. Bu kılavuz, Defender AV'yi kurumsal ortamlarda yapılandırmak için en yaygın yöntemleri kapsayacak ve kuruluşunuzun tutarlı ve etkili bir şekilde korunmasını sağlayacaktır.

Yönetim Araçları

Kurumsal bir ortamda Microsoft Defender AV'yi yönetmenin birkaç yolu vardır. En yaygın olanları:

  • Microsoft Intune (Önerilen): Modern bulut tabanlı yönetimi kullanan kuruluşlar için. Güvenlik ilkeleri oluşturmak ve dağıtmak için Microsoft Endpoint Manager portalında merkezi bir arayüz sağlar.
  • Grup İlkesi (GPO): Şirket içi Active Directory altyapısına sahip kuruluşlar için. Grup İlkesi Nesneleri aracılığıyla yapılandırmaya izin verir.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): Genellikle hibrit ortamlarda, büyük ölçekli yönetim için.
  • PowerShell: Parçalı veya toplu otomasyon ve yapılandırmalar için.

Bu kılavuz en popüler iki yönteme odaklanacaktır: Intune ve GPO.

Önkoşullar

  • İşletim Sistemi: Windows 10, Windows 11 veya Windows Server 2016 ve üzeri.
  • Yönetim Erişimi: Intune Yöneticisi (Intune için) veya Etki Alanı Yöneticisi (GPO için) izinleri.
  • Lisanslama: Defender AV, Windows'a dahildir. Gelişmiş özellikler (Uç Nokta için Microsoft Defender gibi) ek lisans gerektirir (ör. Microsoft 365 E5).

Defender AV'yi Microsoft Intune ile Yapılandırma

Bu, bulutla yönetilen cihazlar için modern ve önerilen yaklaşımdır.

  1. Microsoft Intune portalına gidin: https://intune.microsoft.com.
  2. Uç Nokta Güvenliği > Antivirüs'e gidin.
  3. İlke Oluştur'u tıklayın.
  4. Seçin:
    • Platform: 'Windows 10 ve üzeri'
    • Profil: 'Microsoft Defender Antivirus'
  5. Oluştur'u tıklayın.
  6. Temel Bilgiler: Politikaya bir ad verin (ör. Windows - Defender AV Varsayılan Politikası) ve bir açıklama. İleri'yi tıklayın.
  7. Yapılandırma Ayarları: Bu en önemli adımdır. Aşağıdaki bölümleri en iyi uygulamalarla yapılandırın:
    • Bulut Koruması:
      • Bulut üzerinden sağlanan korumayı etkinleştirin: "Evet". Gerçek zamanlı tehdit istihbaratı için gereklidir.
      • Bulutta sağlanan koruma düzeyi: "Yüksek". Daha agresif algılama sunar.
      • Uzatılmış Defender Bulut Zaman Aşımı: "50" saniye. Bulut hizmetine şüpheli dosyaları analiz etmesi için daha fazla zaman kazandırır.
    • Gerçek Zamanlı Koruma:
      • Gerçek zamanlı korumayı etkinleştirin: "Evet". Defender korumasının özü.
      • Davranış izlemeyi etkinleştir: Evet.
      • İndirilen tüm dosyaları ve ekleri tara: Evet.
    • Doğrulama:
      • Günlük hızlı kontrol planlayın: Düşük bir kullanım süresi ayarlayın (ör. 12:00).
      • Zamanlanmış tarama türü: 'Hızlı tarama'.
    • Hariç Tutulanlar: Güvenlik ihlallerini önlemek için hariç tutulanları dikkatli bir şekilde yapılandırın. Bunu merkezi olarak yönetmek için Microsoft Defender Antivirus Dışlamaları politikasını kullanın.
  8. Atamalar: İlkeyi bir grup Azure AD cihazına atayın.
  9. İncele + oluştur: Politikayı inceleyin ve oluşturun.

Defender AV'yi Grup İlkesi (GPO) ile Yapılandırma

Yerel Active Directory'ye sahip ortamlar için.

  1. Grup İlkesi Yönetimi Düzenleyicisi'ni açın.
  2. Bir tane oluşturunvo GPO'yu kullanın veya mevcut olanı düzenleyin ve onu istediğiniz kuruluş birimine (Kuruluş Birimi) bağlayın.
  3. 'Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Antivirus' seçeneğine gidin.
  4. Aşağıdaki politikaları yapılandırın ("Etkin" olarak ayarlayın ve seçenekleri ayarlayın):
    • Microsoft Defender Antivirus'ü Devre Dışı Bırak: Her zaman açık olduğundan emin olmak için "Devre Dışı" olarak ayarlayın.
    • Gerçek Zamanlı Koruma:
      • 'Davranış izlemeyi etkinleştir'
      • İndirilen tüm dosyaları ve ekleri tara
      • Bilgisayarınızdaki dosya ve programların etkinliğini izleyin
    • HARİTALAR (Bulut Korumasına eşdeğer):
      • 'Microsoft MAPS'a Katılın': 'Gelişmiş MAPS'ı seçin.
      • 'İlk Görüşte Engelle' özelliğini yapılandır: Etkin.
    • Doğrulama:
      • 'Tarama Türü' ve 'Tarama Günü' gibi planlanmış tarama seçeneklerini yapılandırın.

Doğrulama ve İzleme

  • Yerel olarak: Bir istemci cihazda Windows Güvenliği uygulamasını açarak "Virüs ve Tehdit Koruması" ayarlarının kuruluşunuz tarafından yönetildiğini doğrulayın.
  • PowerShell aracılığıyla: "AMRunningMode" ("Normal" olmalıdır) ve imza tarihleri ​​de dahil olmak üzere antivirüs durumunu görmek için "Get-MpComputerStatus" komutunu çalıştırın.
  • Microsoft 365 Defender Portalı: Endpoint için Defender'ınız varsa, portal (security.microsoft.com), Raporlar > Cihaz Sağlığı altında tüm cihazlarınızdaki antivirüs sağlığı hakkında ayrıntılı raporlar sunar.

Sonuç

Microsoft Defender Antivirus'ün doğru şekilde yapılandırılması, bir kuruluşun uç noktalarının korunmasında temel bir adımdır. İster Microsoft Intune ile modern yönetim ister GPO'larla geleneksel yönetim yoluyla olsun, güvenlik politikalarının tutarlı bir şekilde uygulanması, şirketinizin ilk savunma hattının sağlam, dayanıklı ve en son tehditlere karşı her zaman güncel olmasını sağlar. Microsoft portalları aracılığıyla sürekli izleme, döngüyü kapatarak ortamınızın uyumluluğunu ve güvenliğini sağlamak için gereken görünürlüğü sağlar.

Referanslar

[1] Microsoft. (2023). Windows'ta Microsoft Defender Antivirüs. [2] Microsoft. (2023). Microsoft Intune ile Microsoft Defender Antivirus'ü yönetin. [3] Microsoft. (2023). Microsoft Defender Antivirus'ü yapılandırmak ve yönetmek için Grup İlkesi ayarlarını kullanın.