Windows cihazlarını korumak için Intune'da güvenlik politikaları oluşturma

Windows cihazlarını korumak için Intune'da güvenlik politikaları oluşturma

01/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Windows cihazlarını korumak için Microsoft Intune'da sağlam güvenlik ilkeleri oluşturma ve uygulama konusunda rehberlik etmeyi amaçlamaktadır. Microsoft Uç Nokta Yöneticisi'nin bir parçası olan Microsoft Intune, birleşik uç nokta yönetimi için kapsamlı bir çözüm sunarak kuruluşların cihazları yönetmesine, verileri korumasına ve cihazların nerede bulunduğuna bakılmaksızın güvenlik politikalarıyla uyumluluk sağlamasına olanak tanır [1].

Giriş

Cihazların şirkete ait veya kişisel (BYOD) olabildiği ve kurumsal kaynaklara her yerden erişebildiği modern bir iş yerinde, uç nokta güvenliği her zamankinden daha kritiktir. Microsoft Intune, Windows cihazlarında güvenlik politikalarının yönetimini ve uygulanmasını basitleştirerek hassas verilere erişmeden önce kurumsal standartları karşılamalarını sağlar [2].

Bu pratik kılavuz, Intune'da uyumluluk ilkeleri ve cihaz yapılandırma profilleri gibi farklı türde güvenlik ilkeleri oluşturmayı, gerçek dünya senaryolarına odaklanmayı ve adım adım talimatlar, örnek yapılandırmalar ve doğrulama yöntemleri sağlamayı kapsayacaktır. Amaç, okuyucunun bu politikaları etkili bir şekilde uygulamasını sağlamak ve kuruluşunun güvenlik duruşunu iyileştirmektir.

Güvenlik politikaları için neden Intune kullanılmalı?

Intune, Windows cihaz güvenliğini yönetmek için çeşitli avantajlar sağlar:

  • Birleşik Yönetim: Windows, macOS, iOS/ıpados ve Android cihazlarını tek bir konsoldan yönetin.
  • Sürekli Uyumluluk: Cihazların kurumsal kaynaklara erişmeden önce güvenlik gereksinimlerini karşılamasını sağlar.
  • Otomasyon: Güvenlik ayarlarının, güncellemelerin ve uygulamaların dağıtımını otomatikleştirir.
  • Entegrasyon: Koşullu Erişim için Azure AD (Microsoft Entra ID) ve gelişmiş tehdit koruması için Uç Nokta için Microsoft Defender gibi diğer Microsoft çözümleriyle bütünleşir.
  • Esneklik: Tam olarak yönetilen kurumsal cihazlardan BYOD'ye kadar çeşitli senaryoları destekler.

Önkoşullar

Bu öğreticiyi takip etmek için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Intune için geçerli bir lisans. Genellikle Microsoft 365 E3, E5, F1, F3 veya Enterprise Mobility + Security (EMS) bağımsız lisansları gibi paketlere dahildir [3].
  2. Yönetim Erişimi: Microsoft Endpoint Manager yönetim merkezinde (https://endpoint.microsoft.com) Genel Yönetici veya Intune Yönetici izinlerine sahip bir hesap.
  3. Kayıtlı Windows Cihazları: Microsoft Intune'a zaten kayıtlı olan Windows 10/11 cihazları. Kayıt, Azure AD Katılımı, Hibrit Azure AD Katılımı veya BYOD için manuel kayıt yoluyla yapılabilir.
  4. Kullanıcı ve Cihaz Grupları: Politikaları düzenli bir şekilde atamak için Azure AD'deki güvenlik grupları.

Adım Adım: Intune'da Güvenlik İlkeleri Oluşturma

Intune'un kapsamlılığını göstermek için farklı türde politikalar oluşturacağız.

1. Cihaz Uyumluluk Politikası Oluşturma

Uyumluluk politikaları, bir cihazın "uyumlu" olarak değerlendirilmesi için karşılaması gereken gereksinimleri tanımlar. Uyumlu olmayan cihazların, Koşullu Erişim politikaları aracılığıyla kurumsal kaynaklara erişimi engellenebilir.

Adımlar:

  1. Microsoft Endpoint Manager yönetim merkezine gidin.
  2. Cihazlar > Uyumluluk Politikaları'na gidin.
  3. İlke Oluştur'u tıklayın.
  4. Platformu Windows 10 ve üzeri seçin ve Oluştur'a tıklayın.
  5. Temel Bilgiler: Politikaya bir ad verin (ör. Windows - Varsayılan Uyumluluk Politikası) ve bir açıklama verin. İleri'yi tıklayın.
  6. Uyumluluk Ayarları: Burada kuralları tanımlarsınız. Önemli ayarlara örnekler:
    • Cihaz Bütünlüğü:
      • BitLocker gerektir: "Gerektir". Sistem sürücüsünün şifrelenmesini sağlar.
      • Cihazda Güvenli Önyüklemenin etkinleştirilmesini zorunlu kılın: Gerektir. Önyükleme işleminde rootkit'lere karşı koruma sağlar.
    • Cihaz Özellikleri:
      • Minimum İşletim Sistemi Sürümü: Minimum Windows sürümünü gara olarak ayarlayınYalnızca desteklenen ve güncel işletim sistemlerinin kullanıldığından emin olun.
    • Sistem Güvenliği:
      • Mobil cihazların kilidini açmak için şifre gerektir: "Gerektir".
      • Güvenlik Duvarı: "Gerektir". Microsoft Defender Güvenlik Duvarının etkin olmasını sağlar.
      • Antivirüs: "Gerektir". Windows Güvenlik Merkezi'ne kayıtlı bir virüsten koruma çözümünün etkin olmasını sağlar.
  7. Uyumsuzluk durumunda yapılacak işlemler: Bir cihazın uyumlu olmaması durumunda ne olacağını tanımlayın. Varsayılan eylem hemen Cihazı desteklenmiyor olarak işaretlemek şeklindedir. Kullanıcıya e-posta göndermek gibi başka eylemler de ekleyebilirsiniz.
  8. Atamalar: İlkeyi bir grup Azure AD cihazına veya kullanıcısına atayın.
  9. İncele + oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

2. Cihaz Yapılandırma Profili Oluşturma

Yapılandırma profilleri, cihazlara daha ayrıntılı güvenlik ayarları uygulamak için kullanılır.

Adımlar:

  1. Microsoft Endpoint Manager yönetim merkezinde Cihazlar > Yapılandırma Profilleri'ne gidin.
  2. Profil oluştur'u tıklayın.
  3. Platformu Windows 10 ve üzeri ve Profil Türünü Ayarlar Kataloğu'nu seçin. Oluştur'u tıklayın.
  4. Temel Bilgiler: Profile bir ad verin (ör. Windows - Defender Güvenlik Ayarları) ve bir açıklama verin.
  5. Yapılandırma Ayarları: Ayar Ekle'yi tıklayın. İstediğiniz politikaları bulmak ve ayarlamak için ayarlar seçiciyi kullanın. Örneğin, Microsoft Defender'ı yapılandırmak için:
    • "Microsoft Defender"ı arayın.
    • 'Microsoft Defender Antivirus' ve 'Gerçek Zamanlı Koruma' gibi kategorileri seçin.
    • Aşağıdaki gibi ayarları etkinleştirin:
      • Gerçek zamanlı korumayı etkinleştir: 'Etkin'.
      • Bulut üzerinden sağlanan korumayı etkinleştirin: "Etkin".
      • Bulutta sağlanan koruma düzeyi: Yüksek engelleme düzeyi.
  6. Atamalar: Profili bir grup cihaza atayın.
  7. İncele + oluştur: Profili inceleyin ve oluşturun.

3. Güvenlik Temelini Uygulamak

Temel çizgiler, Microsoft tarafından önerilen, önceden yapılandırılmış güvenlik ayarları kümesidir. Sağlam bir güvenlik duruşu sağlamanın en hızlı yoludur.

Adımlar:

  1. Uç Nokta Güvenliği > Güvenlik Temelleri'ne gidin.
  2. Kullanmak istediğiniz temeli seçin; örneğin Windows 10 ve üzeri için Güvenlik Temeli.
  3. Profil oluştur'u tıklayın.
  4. Bir ad ve açıklama verin.
  5. Yapılandırma Ayarları: Varsayılan ayarları inceleyin. Bunları gerektiği gibi özelleştirebilirsiniz, ancak ideal olarak Microsoft'un önerilerine bağlı kalmak istersiniz.
  6. Atamalar: Temeli bir grup cihaza atayın.
  7. İncele + oluştur: Profili oluşturun.

Doğrulama ve İzleme

Politikalar oluşturulup atandıktan sonra bunların uygulanmasını ve cihaz uyumluluğunu izlemek çok önemlidir.

  • Uyumluluk Politikaları için: Cihazlar > Uyumluluk Politikaları'na gidin, politikayı seçin ve hangi cihazların uyumlu olup olmadığını ve nedenini görmek için Cihaz Durumu ile Yapılandırmaya Göre Durum'u kontrol edin.
  • Yapılandırma Profilleri için: Cihazlar > Yapılandırma Profilleri'ne gidin, profili seçin ve ayarların başarıyla uygulanıp uygulanmadığını görmek için durum raporlarını kontrol edin.

Sonuç

Microsoft Intune, kurumsal ortamlardaki Windows cihazlarının güvenliğini güçlendirmeye yönelik güçlü bir araçtır. Yöneticiler, uyumluluk ilkelerini, yapılandırma profillerini ve güvenlik temellerini birleştirerek, cihazların yüksek bir güvenlik standardını karşılamasını ve kuruluşun verilerinin tehditlerden korunmasını sağlayabilir. Bu politikaların doğru şekilde uygulanması, Sıfır Güven güvenlik mimarisine giden yolda temel bir adımdır.

Referanslar

[1] Microsoft. (2023). Microsoft Intune nedir? [2] Microsoft. (2023). Microsoft Intune ile verilerin ve cihazların güvenliğini sağlayın. [3] Microsoft. (2023). Lisanslar Microsoft Intune için mevcuttur.