Güvenlik Düzeltme Eki ve Güncelleştirme Yönetimi için Microsoft Intune'u Yapılandırma

Güvenlik Düzeltme Eki ve Güncelleştirme Yönetimi için Microsoft Intune'u Yapılandırma

02/08/2025

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Windows cihazlarındaki güvenlik düzeltme eklerini ve güncelleştirmelerini etkili bir şekilde yönetmek için Microsoft Intune'u yapılandırma ve kullanma konusunda rehberlik etmeyi amaçlamaktadır. Sürekli gelişen siber tehdit ortamında, işletim sistemlerini ve uygulamaları güncel tutmak, güvenlik açıklarını azaltmak ve kurumu saldırılara karşı korumak için en kritik güvenlik uygulamalarından biridir. Bir Birleşik Uç Nokta Yönetimi (UEM) çözümü olarak Microsoft Intune, güncelleme sürecini otomatikleştirmek ve kontrol etmek için güçlü araçlar sunar [1].

Giriş

Güvenlik yamalarının ve güncellemelerin eksikliği, güvenlik ihlallerinin önde gelen nedenlerinden biridir. İşletim sistemleri ve yazılımlardaki bilinen güvenlik açıklarından saldırganlar tarafından sıklıkla yararlanılıyor, bu da etkili ve otomatik bir yama yönetimi sürecini zorunlu kılıyor. Dağıtılmış bir iş gücü ve çeşitli cihazların bulunduğu modern kurumsal ortamlarda, manuel güncelleme yönetimi kullanışsız ve hataya açık hale gelir. Microsoft Intune'un parladığı yer burasıdır; Windows cihazlarına yönelik güncellemeleri yönetmek ve dağıtmak için merkezi bir platform sağlayarak cihazların güvenli ve uyumlu kalmasını sağlar [2].

Microsoft Intune, güvenlik ve güvenlikle ilgili olmayan düzeltmeler sağlayan Kalite Güncelleştirmeleri ve yeni işlevsellik ve iyileştirmeler sunan Özellik Güncelleştirmeleri dahil olmak üzere farklı Windows güncelleştirme türlerini yönetmenize olanak tanır. Güncelleme Halkaları politikaları ve Özellik Güncelleme profilleri aracılığıyla yöneticiler, güncellemelerin ne zaman ve nasıl dağıtılacağını kontrol edebilir, riski en aza indirmek ve uyumluluğu sağlamak için aşamalı dağıtımı etkinleştirebilir. Ayrıca Intune, güncellemelerin uyumluluk durumunu izlemeye ve sorunları gidermeye yönelik özellikler sağlar [3].

Bu nasıl yapılır kılavuzu, Intune'da Güncelleştirme Halkaları ve Özellik Güncelleştirmeleri profillerinin ayarlanmasını, güncelleştirmelerin Windows cihazlarına dağıtılmasını, güncelleştirme uyumluluğunun izlenmesini ve sorunları tanımlayıp çözmek için raporların kullanılmasını kapsayacaktır. Okuyucunun bu özellikleri uygulayabilmesi, test edebilmesi ve doğrulayabilmesi için adım adım talimatlar, pratik örnekler ve kısa açıklamalar sağlanacaktır. Ayrıca etkili, özerk, profesyonel ve güvenilir yama ve güvenlik güncellemesi yönetimini sağlamak için güvenlik ipuçları, uyumluluk kontrolü ve en iyi uygulamalar tartışılacaktır.

Microsoft Intune yama yönetimi için neden önemlidir?

  • Otomasyon ve Verimlilik: Güncellemelerin teslimini otomatik hale getirerek yönetim yükünü azaltır ve cihazların her zaman güncel olmasını sağlar.
  • Ayrıntılı Kontrol: Yöneticilerin, aşamalı dağıtımları destekleyerek güncellemelerin ne zaman, nasıl ve hangi cihazlara uygulanacağına ilişkin ayrıntılı politikalar belirlemesine olanak tanır.
  • Gelişmiş Güvenlik: En son güvenlik düzeltmelerinin hızlı bir şekilde uygulanmasını sağlayarak güvenlik açıklarını azaltır ve bilinen istismarlara karşı koruma sağlar.
  • Uyumluluk: Cihazların dahili güvenlik politikaları ve düzenleyici gereksinimlerle uyumlu kalmasına yardımcı olur.
  • Görünürlük ve Raporlama: Güncelleme durumunu izlemek, uyumlu olmayan cihazları belirlemek ve sorunları gidermek için kontrol panelleri ve raporlar sağlar.
  • Kullanıcı Deneyimi: Güncelleştirmelerin kullanıcı üretkenliği üzerindeki etkisini en aza indirmek için etkin zaman aralıklarını yapılandırmanıza ve son tarihleri ​​yeniden başlatmanıza olanak tanır.

Önkoşullar

Güvenlik düzeltme eklerini ve güncelleştirmeleri yönetmek üzere Microsoft Intune'u yapılandırmak için aşağıdaki öğelere ihtiyacınız olacaktır:

  1. Lisanslama: Bir Microsoft Intune lisansı (genellikle Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5 aboneliklerine dahildir) [4].
  2. Yönetim Erişimi: Microsoft Intune yönetim merkezinde ("https://intune.microsoft.com") "Genel Yönetici" veya "Intune Hizmet Yöneticisi" rolüne sahip bir hesap.
  3. Kayıtlı Windows Cihazları: Kayıtlı Windows 10/11 cihazlarıMicrosoft Intune'da oluşturuldu. Cihazların Windows Update'ten (Windows Update for Business) güncellemeleri alacak şekilde yapılandırılması gerekir [5].

Adım Adım: Yama Yönetimi için Microsoft Intune'u Yapılandırma

Windows cihazları için güncelleme politikalarını yapılandıralım.

1. Windows için Güncelleme Halkaları Oluşturma

Güncelleme Halkaları, Kaliteli ve güvenlikle ilgili olmayan Güncellemelerin cihazlara nasıl ve ne zaman uygulanacağını yöneten politikalardır.

  1. Tarayıcınızı açın ve Microsoft Intune yönetim merkezine gidin: https://intune.microsoft.com.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Sol gezinme bölmesinde Cihazlar > Platforma Göre > Windows'u seçin.
  4. Güncellemeleri Yönet altında Windows Güncelleme Halkaları'nı seçin.

  5. '+ Profil oluştur'u tıklayın.

  6. Temel Bilgiler:

    • Ad: Anlamlı bir ad verin (ör. Anel_Atualizacao_Piloto_Windows).
    • Açıklama: Açık bir açıklama sağlayın (ör. "Pilot grup için minimum gecikmeyle güncelleme zili.").

  7. 'İleri'yi tıklayın.

  8. Zil Ayarlarını Güncelleyin:

    • Kalite Güncelleme Ayarları:
      • Kalite güncellemelerinin bakım düzeyi: 'Genel Kullanılabilirlik Kanalı'.
      • Kalite güncellemeleri erteleme süresi (gün): 0 (pilot grup için güncellemeleri mümkün olduğu kadar hızlı almak için). Daha büyük gruplar için "3" ila "7" günleri ayarlayabilirsiniz.
      • Sürücü güncelleme erteleme süresi (gün): "0" (veya sürücüleri test etmek için daha büyük bir değer).
    • Özellik Güncelleme Ayarları:
      • Özellik güncellemeleri bakım düzeyi: Genel Kullanılabilirlik Kanalı.
      • Özellik güncellemesi erteleme süresi (gün): "0" (pilot grup için). Daha büyük gruplar için "30" ila "60" gün ayarlayabilirsiniz.
    • Son Kullanıcı Deneyimi Ayarları:
      • Otomatik güncelleme davranışı: 'Bakım zamanında otomatik olarak yükle ve yeniden başlat'.
      • Kurulumdan sonra yeniden başlat: 'Bakım zamanında otomatik yeniden başlatma'.
      • Aktif saatler: 'Kullanıcı tarafından kontrol edilen aktif saatler'.
      • Yeniden başlatma için son tarih (gün): '2' (pilot grup için). Daha büyük gruplar için "5" ila "7" gün.

  9. 'İleri'yi tıklayın.

  10. Kapsam Etiketleri: İsteğe bağlı olarak kapsam etiketleri ekleyin. 'İleri'yi tıklayın.

  11. Atamalar: Bu güncelleştirme halkasını bir Azure AD cihaz grubuna (ör. "Pilot_Device_Group") atayın.

  12. 'İleri'yi tıklayın.

  13. İncele + oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

    • Açıklama: Uyumluluk sorunları riskini en aza indirecek şekilde güncellemelerin aşamalı olarak sunulmasına izin vermek için farklı erteleme dönemlerine sahip birden fazla güncelleme halkası (ör. Pilot, Hızlı, Yavaş) oluşturmalısınız.

2. Windows için Özellik Güncelleme Profilleri Oluşturma (Windows 10 ve üzeri için Özellik Güncellemeleri)

Özellik Güncelleme Profilleri, cihazları belirli bir Windows sürümüne (ör. Windows 11 22H2) hedeflemenize olanak tanır.

  1. Microsoft Intune yönetim merkezinin sol gezinme bölmesinde Cihazlar > Platforma Göre > Windows'u seçin.
  2. "Güncellemeleri yönet"in altında Windows 10 ve üzeri özellik güncellemeleri seçeneğini seçin.

  3. '+ Profil oluştur'u tıklayın.

  4. Temel Bilgiler:

    • Ad: Anlamlı bir ad verin (ör. Atualizacao_Recurso_Windows11_23H2).
    • Açıklama: Net bir açıklama sağlayın (ör. "Uygun cihazlara Windows 11 23H2 dağıtımı.").

  5. 'İleri'yi tıklayın.

  6. Özellik Güncelleme Ayarları:

    • Dağıtılacak kaynak sürümü: İstediğiniz sürümü seçin (ör. "Windows 11, sürüm 23H2").
    • Kullanılabilirlik tarihi: Güncellemenin cihazlar için geçerli olacağı tarihi ayarlayın.
    • Bitiş tarihi: İsteğe bağlı olarak yükseltme teklifi için bir bitiş tarihi belirleyin.

  7. 'İleri'yi tıklayın.

  8. Kapsam Etiketleri: İsteğe bağlı olarak kapsam etiketleri ekleyin. 'İleri'yi tıklayın.

  9. Atamalar: Bu profili bir Azure AD cihaz grubuna atayın (ör. "Windows11_Device_Group").

  10. 'İleri'yi tıklayın.

  11. İncele + oluştur:Ayarları gözden geçirin ve Oluştur'u tıklayın.

    • Açıklama: Bu profil, atanan gruptaki cihazların Windows 11 23H2'nin belirli sürümünü almasını sağlayacaktır. Özellik güncellemelerini geniş çapta dağıtmadan önce daha küçük gruplarda test etmek önemlidir.

3. Güncelleme Durumunu İzleme

Intune, güncelleştirme ilerlemesini ve uyumluluğunu izlemek için panolar ve raporlar sunar.

  1. Microsoft Intune yönetim merkezinin sol gezinme bölmesinde Cihazlar > Platforma Göre > Windows'u seçin.
  2. 'Güncellemeleri Yönet'in altında Windows Güncelleme Halkaları'nı seçin.
  3. İzlemek istediğiniz güncelleme halkasına tıklayın (örneğin: Anel_Atualizacao_Piloto_Windows).

  4. Güncelleme halkası genel bakışında, kaç cihazın uyumlu olduğunu, kaçının hatalı olduğunu vb. gösteren 'Cihaz Dağıtım Durumu' ve 'Kullanıcı Güncelleme Durumu'nu görebilirsiniz.

  5. Daha ayrıntılı raporlar için Intune yönetim merkezinin sol gezinti bölmesinde Raporlar > Windows Güncelleştirmeleri'ni seçin.

  6. Kuruluşunuzdaki güncellemelerin durumuna ilişkin kapsamlı bir görünüm elde etmek için burada 'Windows Güncelleme Uyumluluk Raporu' ve 'Windows Özellik Güncellemeleri Raporu' gibi raporları bulabilirsiniz.

Doğrulama ve Test Etme

Beklendiği gibi çalıştıklarından ve cihazların güncellemeleri doğru şekilde aldıklarından emin olmak için güncelleme ilkelerini test etmek çok önemlidir.

1. Güncelleme Halkalarının Test Edilmesi (Kalite Güncellemeleri)

  1. Senaryo: Intune'da bir test Windows cihazını kaydedin ve onu "Pilot_Device_Group"a atayın.
  2. Beklenen Eylem: Cihazın kaliteli güncellemeleri Anel_Atualizacao_Piloto_Windows politikasına göre (0 gün gecikmeyle, yani hızlı bir şekilde) alıp yüklemesi gerekir.
  3. Doğrulama:
    • Test cihazında "Ayarlar" > "Windows Güncelleme"ye gidin ve güncelleme geçmişini kontrol edin.
    • Intune yönetim merkezinde, cihazın uyumlu olduğunu onaylamak için 'Anel_Atualizacao_Piloto_Windows' ve 'Windows Update Uyumluluk Raporu' için 'Cihaz Dağıtım Durumu'nu kontrol edin.
    • Cihazdaki komut (Yönetici olarak PowerShell): ```powershell Get-WindowsUpdateLog ''''
      • Açıklama: Bu komut, sorun giderme için yararlı olan Windows Update etkinliklerinin ayrıntılı bir günlüğünü oluşturur.

2. Kaynak Güncelleme Profillerini Test Etme

  1. Senaryo: Intune'da bir test Windows cihazını kaydedin ve onu "Windows11_Device_Group"a atayın.
  2. Beklenen Eylem: Aygıtın "Windows 11 Özellik Güncellemesi, sürüm 23H2"yi alıp yüklemesi gerekir.
  3. Doğrulama:
    • Test cihazında "Ayarlar" > "Sistem" > "Hakkında" seçeneğine gidin ve "Windows Sürümü"nü kontrol edin.
    • Intune yönetim merkezinde, 'Atualizacao_Recurso_Windows11_23H2' profili ve 'Windows Özellik Güncelleştirmeleri Raporu' için 'Cihaz Dağıtım Durumu'nu kontrol edin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Güncelleme Halkası Stratejisi: Güncellemeleri geniş çapta dağıtmadan önce cihazların bir alt kümesinde test etmek için aşamalı bir güncelleme halkası stratejisi (ör. Pilot, Küçük, Orta, Büyük) uygulayın. Bu, kesinti riskini en aza indirir.
  • Bakım Pencereleri: Kullanıcı üretkenliği üzerindeki etkiyi en aza indirecek şekilde bakım pencerelerini ve yeniden başlatma son tarihlerini yapılandırın, ancak güncellemelerin zamanında uygulandığından emin olun.
  • Sürekli İzleme: Intune'daki güncelleme uyumluluk raporlarını düzenli olarak izleyin ve uyumlu olmayan veya güncelleme hatası olan cihazlar için uyarılar ayarlayın.
  • Uyumluluk Testi: Önemli özellik güncellemelerini dağıtmadan önce, ortamınızdaki kritik uygulamalar ve donanımlarla uyumluluk testleri gerçekleştirin.
  • Teslim Optimizasyonu: Güncellemeleri kuruluşunuz genelinde dağıtırken ağ bant genişliği tüketimini azaltmak için Teslim Optimizasyonu gibi özellikleri kullanın.
  • Sürücü Yönetimi: Sürücü güncellemelerine dikkat edin. Sorunlu sürücüler çökmelere neden olabileceğinden, sürücü güncellemelerini geciktirmeyi veya geniş dağıtımdan önce bunları kapsamlı bir şekilde test etmeyi düşünün.sistemdeki yetenek.
  • Uç Nokta için Microsoft Defender ile entegrasyon: Uç Nokta için Intune ve Defender, uç nokta güvenliğini sağlamak için birlikte çalışır. Defender for Endpoint, yamalarla düzeltilebilecek güvenlik açıklarına ilişkin bilgiler sağlayabilir.

Genel Sorun Giderme

  • Cihazlar güncelleme almaz:
    • Cihazın Intune'a kayıtlı olduğunu ve güncelleme/özellik zili politikalarının doğru cihaz grubuna atandığını doğrulayın.
    • Cihazınızın Windows Update bağlantısını kontrol edin. Komut isteminden wuauclt.exe /reportnow (Windows 10 için) veya usoclient StartScan (Windows 11 için) komutunu çalıştırın.
    • PowerShell'de Get-WindowsUpdateLogu kullanarak cihazdaki Windows Update günlüklerini kontrol edin.
    • Intune'da 'Etkin Saatler' ayarlarını kontrol edin; Cihaz her zaman aktif saatler içerisindeyse güncellemeleri yüklemek için yeniden başlatılamayabilir.
  • Güncellemeler yüklenemedi:
    • Belirli hata kodları için cihazdaki Windows Güncelleme günlüklerini kontrol edin.
    • Cihazınızın yeterli disk alanına sahip olduğundan emin olun.
    • Bunun nedeni mevcut yazılım veya sürücülerle uyumluluk sorunları olabilir. Kontrollü bir ortamda test edin.
    • Windows Update hizmetleriyle cihazın ağ bağlantısını kontrol edin.
  • Cihazlar Intune raporlarında uyumlu görünmüyor:
    • Uyumluluk durumunun Intune'a bildirilmesi biraz zaman alabilir. Birkaç saat bekleyin.
    • Cihazınızın etkin olduğundan ve Intune ile iletişim kurduğundan emin olun.
    • Uyumluluk politikalarının cihaza doğru şekilde atandığını doğrulayın.
  • Yanlış pozitifler (cihaz uyumlu değil gibi görünüyor ancak güncel):
    • Cihazdaki güncellemelerin durumunu manuel olarak kontrol edin. Güncelse Intune raporlamasında gecikme olabilir.
    • Cihazda Intune İstemci Yönetimi hizmetini yeniden başlatın (net stop dmwappushservice && net start dmwappushservice).

Sonuç

Microsoft Intune, Windows ortamlarındaki güvenlik yamalarını ve güncellemelerini yönetmek için vazgeçilmez bir araçtır. Intune, kalite ve özellik güncellemelerinin dağıtımını otomatikleştirerek ve süreç üzerinde ayrıntılı kontrol sağlayarak kuruluşların cihazlarını siber tehditlere karşı en son korumalarla güvenli ve uyumlu tutmasına olanak tanır. Sürekli izleme ve proaktif sorun çözümünün yanı sıra bir güncelleme halkası stratejisinin uygulanması, dayanıklı bir BT ortamının sağlanması açısından kritik öneme sahiptir. Bu pratik kılavuzla güvenlik uzmanları ve BT yöneticileri, Microsoft Intune'u yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak, uç nokta güvenlik duruşlarını güçlendirecek ve kuruluşlarının varlıklarını koruyacak.

Referanslar:

[1] Microsoft Learn. Intune'da Windows yazılım güncellemelerini yönetin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Learn. Microsoft Intune nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Learn. Intune ile Windows güncellemelerini yönetin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Learn. Microsoft Intune Lisanslaması. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Learn. Intune'da Windows güncelleme halkalarını ayarlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Learn. Intune'da Windows 10 ve üzeri özellik güncellemelerini yapılandırın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft Learn. Intune'daki Windows Güncelleme raporları. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports