Eski ayrıcalıklı erişim kılavuzu

Önemli

Bu kılavuz, ayrıcalıklı erişim güvenliğiniiçin eksiksiz bir çözümün parçası olan güncelleştirilmiş güvenli iş istasyonu kılavuzu ile değiştirilmiştir.

Bu belgeler yalnızca arşivleme ve başvuru amacıyla çevrimiçi olarak korunmaktadır. Microsoft, daha güvenli ve dağıtımı ve desteği daha kolay olan bir çözüm için yeni yönergelerin izlenmesini kesinlikle önerir.

Eski yönergeler

Privileged Access Workstations (PAW) İnternet saldırılarına ve tehdit vektörlerine karşı korunan hassas görevler için ayrılmış bir işletim sistemi sağlar. Bu hassas görevleri ve hesapları günlük kullanım iş istasyonlarından ve cihazlardan ayırmak, kimlik avı saldırılarına, uygulama ve işletim sistemi güvenlik açıklarına, çeşitli kimliğe bürünme saldırılarına ve tuş kaydı, Hash Geçişive Bilet Geçişi gibi kimlik bilgisi hırsızlığı saldırılarına karşı güçlü koruma sağlar.

Privileged Access Workstation nedir?

En basit ifadeyle PAW, hassas hesaplar ve görevler için yüksek güvenlik güvenceleri sağlamak üzere tasarlanmış sağlamlaştırılmış ve kilitli bir iş istasyonudur. PAW'lar kimlik sistemlerinin, bulut hizmetlerinin, özel bulut dokusunun ve hassas iş işlevlerinin yönetimi için önerilir.

Not

PAW mimarisi, hesapların iş istasyonlarına 1:1 eşlemesini gerektirmez, ancak bu yaygın bir yapılandırmadır. PAW, bir veya daha fazla hesap tarafından kullanılabilecek güvenilir bir iş istasyonu ortamı oluşturur.

En yüksek güvenliği sağlamak için, PAW'lar her zaman en up-togüncel ve güvenli işletim sistemini çalıştırmalıdır: Microsoft, windows 11 Enterprise'ı kesinlikle önerir. Bu, diğer sürümlerde bulunmayan diğer birçok güvenlik özelliğini içerir (özellikle, Credential Guard ve Device Guard).

Not

Windows 11 Enterprise erişimi olmayan kuruluşlar, Güvenilen Önyükleme, BitLocker ve Uzak Masaüstü dahil olmak üzere PAW'lar için kritik temel teknolojilerin çoğunu içeren Windows 11 Pro'yu kullanabilir. Eğitim müşterileri Windows 11 Education'i kullanabilir.

Windows 11 Home, PAW için kullanılmamalıdır.

PAW güvenlik denetimleri, yüksek etki ve yüksek olasılıkla siber güvenlik ihlali risklerini azaltmaya odaklanmıştır. Bunlar, ortama yönelik saldırıları azaltmayı ve PAW denetimlerinin zaman içindeki verimliliğini azaltabilecek riskleri içerir:

• İnternet saldırıları - Saldırıların çoğu doğrudan veya dolaylı olarak İnternet kaynaklarından kaynaklanır ve sızdırma ve komut ve denetim (C2) için İnternet'i kullanır. PAW'ı açık internetten yalıtmak, PAW'ın güvenliğinin tehlikeye atılmamasını sağlamak için önemli bir unsurdur.
• Kullanılabilirlik riski - Paw'ın günlük görevler için kullanımı çok zorsa, yöneticiler işlerini kolaylaştırmak için geçici çözümler oluşturmaya isteklidir. Bu geçici çözümler genellikle yönetim iş istasyonunu ve hesapları önemli güvenlik risklerine açar, bu nedenle PAW kullanıcılarını bu kullanılabilirlik sorunlarını güvenli bir şekilde azaltmaya dahil etmek ve güçlendirmek kritik önem taşır. Bu, geri bildirimlerini dinleyerek, işlerini gerçekleştirmek için gereken araçları ve betikleri yükleyerek ve tüm idari personelin neden PAW kullanmaları gerektiğini, PAW'ın ne olduğunu ve nasıl doğru ve başarılı bir şekilde kullanılacağının farkında olmasını sağlayarak gerçekleştirilebilir.
• Ortam riskleri - Ortamdaki diğer birçok bilgisayar ve hesap doğrudan veya dolaylı olarak İnternet riskine maruz kaldığı için, bir PAW, üretim ortamında güvenliği kompromize olmuş varlıklardan gelen saldırılara karşı korunmalıdır. Bu, bu özel iş istasyonlarının güvenliğini sağlamak ve izlemek için PAW'lara erişimi olan yönetim araçlarının ve hesaplarının kullanımını en aza indirmeyi gerektirir.
• Tedarik zinciri kurcalama - Donanım ve yazılım için tedarik zincirinde kurcalama riskini ortadan kaldırmak mümkün olmasa da, birkaç önemli eylem gerçekleştirmek saldırganların kullanımına hazır kritik saldırı vektörlerini hafifletebilir. Bu, tüm yükleme medyasının bütünlüğünü doğrulamayı ve donanım ve yazılım için güvenilir ve saygın bir sağlayıcı kullanmayı içerir.
• Fiziksel saldırılar - PAW'lar fiziksel olarak mobil olabileceğinden ve fiziksel olarak güvenli tesislerin dışında kullanılabildiğinden, bilgisayara yetkisiz fiziksel erişim uygulayan saldırılara karşı korunmaları gerekir.

Önemli

PAW, bir ortamı Active Directory Ormanı üzerinde zaten yönetici erişimi kazanmış bir saldırgandan korumaz. Active Directory Etki Alanı Hizmetleri'nin mevcut birçok uygulaması yıllardır kimlik bilgisi hırsızlığı riski altında çalıştığından, kuruluşların ihlali varsayması ve etki alanı veya kuruluş yöneticisi kimlik bilgilerinin algılanmamış bir şekilde tehlikeye atılması olasılığını göz önünde bulundurması gerekir. Etki alanı güvenliğinin ihlal edilmesinden şüphelenen bir kuruluş, profesyonel olay yanıt hizmetlerinin kullanımını dikkate almalıdır.

Yanıt ve kurtarma yönergeleri hakkında daha fazla bilgi için, Karma Geçişine Karşı Önlemler ve Diğer Kimlik Bilgisi Hırsızlığı, 2. sürümdeki "Şüpheli etkinliğe yanıt verme" ve "İhlalden kurtarma" bölümlerine bakın.

Eski PAW donanım profilleri

Yönetim personeli de standart kullanıcılardır - e-postayı kontrol etmek, web'de gezinmek ve kurumsal iş kolu uygulamalarına erişmek için bir PAW (Ayrıcalıklı Erişim İstasyonu) ve standart bir kullanıcı iş istasyonu gereklidir. Yöneticilerin hem üretken hem de güvenli kalabilmesini sağlamak, herhangi bir PAW dağıtımının başarısı için gereklidir. Üretkenliği önemli ölçüde sınırlayan güvenli bir çözüm, kullanıcılar tarafından, üretkenliği artırdığı halde güvenli olmayan bir çözüm lehine terk edilecektir.

Microsoft, güvenlik gereksinimini üretkenlik gereksinimiyle dengelemek için şu PAW donanım profillerinden birini kullanmanızı önerir:

• Ayrılmış donanım - Kullanıcı görevleri ve yönetim görevleri için ayrılmış cihazları ayırın.
• Eşzamanlı Kullanım - İşletim sistemi veya sunu sanallaştırmadan yararlanarak kullanıcı görevlerini ve yönetim görevlerini eşzamanlı olarak çalıştırabilen tek cihaz.

Kuruluşlar yalnızca bir profil veya her ikisini birden kullanabilir. Donanım profilleri arasında birlikte çalışabilirlik endişesi yoktur ve kuruluşlar donanım profilini belirli bir yöneticinin özel gereksinimi ve durumuyla eşleştirme esnekliğine sahiptir.

Önemli

Tüm bu senaryolarda yönetim personeline, belirlenen yönetim hesaplarından ayrı bir standart kullanıcı hesabı verilmesi kritik önem taşır. Yönetim hesapları yalnızca PAW yönetim işletim sisteminde kullanılmalıdır.

Bu tablo, her donanım profilinin göreli avantajlarını ve dezavantajlarını işletimsel kullanım kolaylığı, üretkenlik ve güvenlik açısından özetler. Her iki donanım yaklaşımı da kimlik bilgisi hırsızlığına ve yeniden kullanılmasına karşı yönetim hesapları için güçlü güvenlik sağlar.

Senaryosu	Avantajları	Dezavantajları
Ayrılmış donanım	- Görevlerin hassasiyetine yönelik güçlü sinyal - En güçlü güvenlik ayrımı	- Fazladan masa alanı - Ekstra ağırlık (uzaktan çalışma için) - Donanım Maliyeti
Eşzamanlı kullanım	- Daha düşük donanım maliyeti - Tek cihaz deneyimi	- Tek klavye/fare paylaşımı yanlışlıkla hata/risk riski oluşturur

Bu kılavuz, ayrılmış donanım yaklaşımı için PAW yapılandırmasına yönelik ayrıntılı yönergeleri içerir. Aynı anda kullanılan donanım profilleri için gereksinimleriniz varsa, yönergeleri bu kılavuza göre kendiniz uyarlayabilir veya microsoft gibi bir profesyonel hizmet kuruluşuna yardımcı olması için işe alabilirsiniz.

Ayrılmış donanım

Bu senaryoda, e-posta, belge düzenleme ve geliştirme çalışmaları gibi günlük etkinlikler için kullanılan bilgisayardan ayrı yönetim için bir PAW kullanılır. Tüm yönetim araçları ve uygulamaları PAW'a, tüm üretkenlik uygulamaları ise standart kullanıcı iş istasyonuna yüklenir. Bu kılavuzdaki adım adım yönergeler bu donanım profilini temel alır.

Eşzamanlı kullanım - RemoteApp, RDP veya VDI ekleme

Bu eşzamanlı kullanım senaryosunda, hem yönetim görevleri hem de e-posta, belge düzenleme ve geliştirme çalışmaları gibi günlük etkinlikler için tek bir bilgisayar kullanılır. Bu yapılandırmada, kullanıcı işletim sistemleri merkezi olarak dağıtılır ve yönetilir (bulutta veya veri merkezinizde), ancak bağlantısı kesildiğinde kullanılamaz.

Fiziksel donanım, yönetim görevleri için yerel olarak tek bir PAW işletim sistemi çalıştırır ve e-posta, belge düzenleme ve iş kolu uygulamaları gibi kullanıcı uygulamaları için bir Microsoft veya üçüncü taraf uzak masaüstü hizmetiyle iletişim kurar.

Bu yapılandırmada, yönetim ayrıcalıkları gerektirmeyen günlük işler, PAW konağına uygulanan kısıtlamalara tabi olmayan Uzak İşletim Sistemi(ler) ve uygulamalarda yapılır. Tüm yönetim işleri Yönetici işletim sisteminde yapılır.

Bunu yapılandırmak için PAW konağı için bu kılavuzdaki yönergeleri izleyin, Uzak Masaüstü hizmetlerine ağ bağlantısına izin verin ve uygulamalara erişmek için PAW kullanıcısının masaüstüne kısayollar ekleyin. Uzak masaüstü hizmetleri aşağıdakiler gibi birçok şekilde barındırılabilir:

• Azure Sanal Masaüstü, Microsoft Dev Boxveya Windows 365gibi mevcut bir Uzak Masaüstü veya VDI hizmeti.
• Şirket içinde veya bulutta yüklediğiniz yeni bir hizmet
• Azure RemoteApp'ı, önceden yapılandırılmış şablonları veya kendi yükleme görüntülerinizi kullanarak

Mimariye genel bakış

Aşağıdaki diyagramda, ayrı yönetim hesapları ve iş istasyonları koruyarak oluşturulan, son derece hassas bir görev olan yönetim için ayrı bir "kanal" gösterilmektedir.

Bu mimari yaklaşım, Windows 11 Credential Guard ve Device Guard özelliklerinde bulunan korumaları temel alır ve hassas hesaplar ve görevler için bu korumaların ötesine geçer.

Bu metodoloji, yüksek değerli varlıklara erişimi olan hesaplar için uygundur:

• Yönetim Ayrıcalıkları - PAW'lar, yüksek etkiye sahip BT yönetim rolleri ve görevleri için daha fazla güvenlik sağlar. Bu mimari Active Directory Etki Alanları ve Ormanları, Microsoft Entra ID kiracıları, Microsoft 365 kiracıları, İşlem Denetim Ağları (PCN), Gözetmen Denetimi ve Veri Alma (SCADA) sistemleri, Otomatik Teller Makineleri (ATM'ler) ve Satış Noktası (PoS) cihazları gibi birçok sistem türünün yönetimine uygulanabilir.
• Yüksek Hassasiyetli Bilgi çalışanları - PAW'da kullanılan yaklaşım ayrıca, şirket içi birleşme ve alım etkinliği, yayın öncesi finansal raporlar, kurumsal sosyal medya varlığı, yönetici iletişimleri, dağıtılmamış ticari sırlar, hassas araştırmalar veya diğer özel veya hassas veriler gibi son derece hassas bilgi çalışanı görevleri ve personeli için koruma sağlayabilir. Bu kılavuz, bu bilgi çalışanı senaryolarının yapılandırmasını ayrıntılı olarak ele almaz veya bu senaryoyu teknik yönergelere dahil etmez.

Bu belgede, yüksek etkili ayrıcalıklı hesapları korumak için bu uygulamanın neden önerilmesi, yönetim ayrıcalıklarını korumak için bu PAW çözümlerinin nasıl göründüğü ve etki alanı ve bulut hizmetleri yönetimi için hızlı bir şekilde bir PAW çözümünün nasıl dağıtılacağı açıklanmaktadır.

Bu belge, çeşitli PAW yapılandırmalarını uygulamaya yönelik ayrıntılı yönergeler sağlar ve yaygın yüksek etkili hesapları korumaya başlamanıza yönelik ayrıntılı uygulama yönergelerini içerir:

• 1. Aşama - Active Directory Yöneticileri için Anında Dağıtım bu, şirket içi etki alanı ve orman yönetimi rollerini koruyabilen hızlı bir PAW sağlar
• 2. Aşama - PAW'ı tüm yöneticilere genişletme bu, Microsoft 365 ve Azure gibi bulut hizmetlerinin yöneticileri, kurumsal sunucular, kurumsal uygulamalar ve iş istasyonları için koruma sağlar
• 3. Aşama - Gelişmiş PAW güvenliği PAW güvenliği için daha fazla koruma ve önemli nokta ele alınmaktadır

Neden ayrılmış iş istasyonları?

Kuruluşlar için geçerli tehdit ortamı, İnternet'te kullanıma sunulan hesaplar ve iş istasyonları için sürekli güvenlik riski oluşturan gelişmiş kimlik avı ve diğer İnternet saldırılarıyla dolu.

Bu tehdit ortamı, kuruluşların yönetim hesapları ve hassas iş varlıkları gibi yüksek değerli varlıklar için korumalar tasarlarken "ihlal varsay" güvenlik duruşu benimsemesini gerektirir. Bu yüksek değerli varlıkların hem doğrudan İnternet tehditlerine hem de ortamdaki diğer iş istasyonlarından, sunuculardan ve cihazlardan bağlanan saldırılara karşı korunması gerekir.

Bu şekilde, bir saldırgan hassas kimlik bilgilerinin kullanıldığı bir kullanıcı iş istasyonunun denetimini ele geçirirse yönetilen varlıklara yönelik risk gösterilmektedir.

İşletim sistemini denetleyen bir saldırganın, iş istasyonundaki tüm etkinliklere yasadışı olarak erişim elde etmek ve meşru hesabın kimliğine bürünmek için kullanabileceği birçok yolu vardır. Bu erişim düzeyini kazanmak için çeşitli bilinen ve bilinmeyen saldırı teknikleri kullanılabilir. Artan siber saldırıların hacmi ve karmaşıklığı, bu ayrım kavramını hassas hesaplar için ayrı istemci işletim sistemlerine genişletmeyi gerekli hale getirmektedir. Bu tür saldırılar hakkında daha fazla bilgi için, bilgilendirici teknik incelemeler, videolar ve daha fazlası için Pass The Hash web sitesini ziyaret edin.

PAW yaklaşımı, yönetim personeli için ayrı yönetici ve kullanıcı hesapları kullanmak için iyi oluşturulmuş önerilen uygulamanın bir uzantısıdır. Bu uygulama, kullanıcının standart kullanıcı hesabından ayrı olarak atanmış bir yönetim hesabı kullanır. PAW, bu hassas hesaplar için güvenilir bir iş istasyonu sağlayarak bu hesap ayrımı uygulamasını kullanır.

Bu PAW kılavuzu, yüksek ayrıcalıklı BT yöneticileri ve yüksek duyarlılığa sahip iş hesapları gibi yüksek değerli hesapları korumaya yönelik bu özelliği uygulamanıza yardımcı olmak için tasarlanmıştır. Bu kılavuz size yardımcı olur:

• Kimlik bilgilerinin yalnızca güvenilir konaklarla sınırlı olmasını sağlayın.
• Yöneticilere yönetim görevlerini kolayca gerçekleştirebilmeleri için yüksek güvenlikli bir iş istasyonu sağlayın.

Hassas hesapları yalnızca sağlamlaştırılmış PAW'ları kullanmakla kısıtlamak, bu hesaplar için hem yöneticiler için yüksek oranda kullanılabilir hem de bir saldırganın yenilmesi zor olan basit bir korumadır.

Alternatif yaklaşımlar

Bu bölüm, alternatif yaklaşımların güvenliğinin PAW ile karşılaştırılması ve bu yaklaşımların PAW mimarisinde doğru bir şekilde entegre edilmesi hakkında bilgi içerir. tüm bu yaklaşımlar yalıtılmış olarak uygulandığında önemli riskler taşır, ancak bazı senaryolarda PAW uygulamasına değer katabilir.

Credential Guard ve Windows Hello Kurumsal

Windows 11'in bir parçası olan Credential Guard, türetilen kimlik bilgilerini koruyarak Pass-the-Hash (Karma Geçiş) gibi yaygın kimlik bilgisi hırsızlığı saldırılarını azaltmak için donanım ve sanallaştırma tabanlı güvenlik kullanır. İş İçin Windows Hello tarafından kullanılan kimlik bilgilerinin özel anahtarı Güvenilen Platform Modülü (TPM) donanımı tarafından korunabilir.

Bunlar güçlü risk azaltmalardır, ancak kimlik bilgileri Credential Guard veya İş İçin Windows Hello tarafından korunsa bile iş istasyonları bazı saldırılara karşı savunmasız olabilir. Saldırılar arasında ayrıcalıkların kötüye kullanılması ve kimlik bilgilerinin doğrudan güvenliği aşılmış bir cihazdan kullanılması, Credential Guard'ı etkinleştirmeden önce daha önce çalınan kimlik bilgilerinin yeniden kullanılması ve iş istasyonunda yönetim araçlarının ve zayıf uygulama yapılandırmalarının kötüye kullanılması sayılabilir.

Bu bölümdeki PAW kılavuzu, yüksek hassasiyetli hesaplar ve görevler için bu teknolojilerin birçoğunun kullanımını içerir.

Yönetim VM'si

Yönetici sanal makinesi (Yönetici VM), standart bir kullanıcı masaüstünde barındırılan yönetim görevleri için ayrılmış bir işletim sistemidir. Bu yaklaşım, yönetim görevleri için ayrılmış bir işletim sistemi sağlama konusunda PAW'a benzer olsa da, yönetim VM'sinin güvenliği için standart kullanıcı masaüstüne bağımlı olması önemli bir kusura sahiptir.

Aşağıdaki diyagramda, saldırganların kullanıcı iş istasyonundaki bir Yönetici VM ile ilgili hedef nesneye kadar denetim zincirini takip edebilmesi ve ters yapılandırmada yol oluşturmanın zor olduğu gösterilmektedir.

PAW mimarisi, Bir Kullanıcı İş İstasyonunda Yönetici VM barındırmaya izin vermez, ancak tüm sorumluluklar için personele tek bir bilgisayar sağlamak üzere yönetici PAW'sinde standart kurumsal görüntüye sahip bir Kullanıcı VM barındırılabilir.

Atlama sunucusu

Yöneticilere yönelik "Atlama Sunucusu" mimarileri, az sayıda yönetim konsolu sunucusu kurar ve personelin sadece bu sunucuları yönetim görevleri için kullanmasını kısıtlar. Bu genellikle uzak masaüstü hizmetlerini, üçüncü taraf sunu sanallaştırma çözümünü veya Sanal Masaüstü Altyapısı (VDI) teknolojisini temel alır.

Bu yaklaşım genellikle yönetim riskini azaltmak için önerilir ve bazı güvenlik güvenceleri sağlar, ancak atlama sunucusu yaklaşımı temiz kaynak ilkesini ihlal ettiği için belirli saldırılara karşı savunmasızdır. Temiz kaynak ilkesi, tüm güvenlik bağımlılıklarının güvenli nesne kadar güvenilir olmasını gerektirir.

Bu şekilde basit bir denetim ilişkisi gösterilmektedir. Bir nesnenin denetimindeki herhangi bir konu, o nesnenin güvenlik bağımlılığıdır. Bir saldırgan hedef nesnenin (konu) güvenlik bağımlılığını denetleyebiliyorsa, o nesneyi denetleyebilir.

Atlama sunucusundaki yönetim oturumunun güvenilirliği, erişim sağlayan yerel bilgisayarın bütünlüğüne bağlıdır. Bu bilgisayar kimlik avı saldırılarına ve diğer internet tabanlı saldırı vektörlerine tabi bir kullanıcı iş istasyonuysa, yönetim oturumu da bu risklere tabidir.

Önceki şekilde saldırganların yerleşik bir denetim zincirini ilgi çekici hedef nesneye kadar nasıl izleyebilecekleri gösterilmektedir.

Çok faktörlü kimlik doğrulaması gibi bazı gelişmiş güvenlik denetimleri, bir saldırganın bu yönetim oturumunu kullanıcı iş istasyonundan devralmasının zorluğunu artırabileceğinden, bir saldırganın kaynak bilgisayara yönetici erişimi olduğunda (örneğin, yasal bir oturuma yasadışı komutlar ekleme, meşru işlemleri ele geçirme vb.) teknik saldırılara karşı hiçbir güvenlik özelliği tam olarak koruma sağlamaz.

Bu PAW kılavuzundaki varsayılan yapılandırma PAW'a yönetim araçları yükler, ancak gerekirse bir atlama sunucusu mimarisi de eklenebilir.

Bu şekilde, denetim ilişkisini tersine çevirmenin ve kullanıcı uygulamalarına yönetici iş istasyonundan erişmenin saldırgana hedeflenen nesneye yol vermemesini nasıl sağladığı gösterilmektedir. Kullanıcı atlama sunucusu hala riske açıktır, bu nedenle ilgili koruyucu denetimler, dedektif denetimleri ve yanıt süreçleri İnternet'e yönelik bilgisayar için hala uygulanmalıdır.

Bu yapılandırma, yöneticilerin masaüstündeki kullanıcı oturumuna yönetici kimlik bilgilerini yanlışlıkla girmediğinden emin olmak için işletimsel uygulamaları yakından izlemesini gerektirir.

Bu şekil, bir PAW'dan bir yönetim atlama sunucusuna erişmenin, saldırgan için yönetim varlıklarına bir yol eklemediğini göstermektedir. PAW ile atlama sunucusu, bu durumda yönetim etkinliğini izlemek ve yönetim uygulamalarını ve araçlarını dağıtmak için konum sayısını birleştirmenizi sağlar. Bu biraz tasarım karmaşıklığı ekler, ancak PAW uygulamanızda çok sayıda hesap ve iş istasyonu kullanılıyorsa güvenlik izleme ve yazılım güncelleştirmelerini basitleştirebilir. Atlama sunucusunun PAW ile benzer güvenlik standartlarına göre derlenip yapılandırılması gerekir.

Ayrıcalık yönetimi çözümleri

Privileged Management çözümleri, isteğe bağlı olarak ayrı ayrıcalıklara veya ayrıcalıklı hesaplara geçici erişim sağlayan uygulamalardır. Ayrıcalık yönetimi çözümleri, ayrıcalıklı erişimin güvenliğini sağlamaya ve yönetim etkinliğine yönelik kritik öneme sahip görünürlük ve sorumluluk sağlamaya yönelik eksiksiz bir stratejinin değerli bir bileşenidir.

Bu çözümler genellikle erişim vermek için esnek bir iş akışı kullanır ve birçoğu hizmet hesabı parola yönetimi ve yönetim atlama sunucularıyla tümleştirme gibi diğer güvenlik özelliklerine ve özelliklerine sahiptir. Piyasada ayrıcalık yönetimi özellikleri sağlayan ve bunlardan biri Microsoft Identity Manager (MIM) ayrıcalıklı erişim yönetimi (PAM) olan birçok çözüm vardır.

Microsoft, ayrıcalık yönetimi çözümlerine erişmek için PAW kullanılmasını önerir. Bu çözümlere erişim yalnızca PAW'lara verilmelidir. Microsoft, paw yerine bu çözümlerin kullanılmasını önermez çünkü riskli olabilecek bir kullanıcı masaüstünden bu çözümleri kullanarak ayrıcalıklara erişmek, aşağıdaki diyagramda gösterildiği gibi temiz kaynak ilkesini ihlal eder:

Bu çözümlere erişmek için bir PAW sağlamak, bu diyagramda gösterildiği gibi hem PAW'ın hem de ayrıcalık yönetimi çözümünün güvenlik avantajlarından yararlanmanızı sağlar:

Önemli

Bu sistemler, yönettiği ayrıcalıkların en yüksek katmanında sınıflandırılmalı ve bu güvenlik düzeyinde veya daha yüksek bir düzeyde korunmalıdır. Bunlar genellikle Katman 0 çözümlerini ve Katman 0 varlıklarını yönetecek şekilde yapılandırılır ve Katman 0'da sınıflandırılmalıdır.

Microsoft Identity Manager (MIM) ayrıcalıklı erişim yönetimi (PAM) dağıtma hakkında daha fazla bilgi için bkz. https://aka.ms/mimpamdeploy

PAW Senaryoları

Bu bölüm, bu PAW kılavuzun hangi senaryolara uygulanması gerektiğine ilişkin yönergeler içerir. Tüm senaryolarda, yöneticiler yalnızca uzak sistemlerin desteğini gerçekleştirmek için PAW'ları kullanacak şekilde eğitilmelidir. Başarılı ve güvenli kullanımı teşvik etmek için tüm PAW kullanıcılarının PAW deneyimini geliştirmek için geri bildirim sağlamaları teşvik edilmeli ve paw programınızla tümleştirme için bu geri bildirim dikkatle gözden geçirilmelidir.

Tüm senaryolarda, rollerin kullanılabilirliğini veya güvenlik gereksinimlerini karşılamak için sonraki aşamalarda ek sağlamlaştırma ve bu kılavuzdaki farklı donanım profilleri kullanılabilir.

Not

Bu kılavuz, İnternet'te belirli hizmetlere (Azure ve Microsoft 365 yönetim portalları gibi) erişim gerektirmeyi ve tüm konakların ve hizmetlerin "İnternet'i Aç" seçeneğini açıkça ayırt eder.

Senaryoları	PAW kullansın?	Kapsam ve Güvenlikle İlgili Önemli Noktalar
Active Directory Yöneticileri - Katman 0	Evet	1. Aşama kılavuzuyla oluşturulmuş bir PAW bu rol için yeterlidir. - Bu senaryo için en güçlü korumayı sağlamak üzere bir yönetim ormanı eklenebilir. ESAE yönetim ormanı hakkında daha fazla bilgi için bkz. Devam Eden Kullanım için ESAE Senaryoları - PAW, birden çok etki alanını veya birden çok ormanı yönetebilmek için kullanılabilir. - Etki Alanı Denetleyicileri Hizmet Olarak Altyapı (IaaS) veya şirket içi sanallaştırma çözümünde barındırılıyorsa, bu çözümlerin yöneticileri için PAW'ları uygulamaya öncelik vermelisiniz.
Azure IaaS ve PaaS hizmetlerinin yöneticisi - Katman 0 veya Katman 1 (bkz. Kapsam ve Tasarım Konuları)	Evet	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW bu rol için yeterlidir. - PAW'lar en azından Microsoft Entra Id ve abonelik faturalamasını yönetenler için kullanılmalıdır. Ayrıca, kritik veya hassas sunucuların yönetici temsilcileri için PAW'ları da kullanmanız gerekir. - PAW'lar, Microsoft Entra Connect ve Active Directory Federasyon Hizmetleri (ADFS) gibi bulut hizmetleri için Dizin Eşitleme ve Kimlik Federasyonu sağlayan işletim sistemini ve uygulamaları yönetmek için kullanılmalıdır. - Giden ağ kısıtlamaları, 2. Aşama'daki yönergeleri kullanarak yalnızca yetkili bulut hizmetlerine bağlantıya izin vermelidir. PAW'lardan açık İnternet erişimine izin verilmemelidir. - Windows Defender Exploit Guard iş istasyonunda yapılandırılmalıdır Not: Etki Alanı Denetleyicileri veya diğer Katman 0 konakları abonelikteyse, bir abonelik Orman için Katman 0 olarak kabul edilir. Azure'da Katman 0 sunucusu barındırılmıyorsa, abonelik Katman 1'dir.
Yönetici Microsoft 365 Kiracısı - Seviye 1	Evet	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW bu rol için yeterlidir. - PAW'lar en azından abonelik faturalamasını yönetenler ve Microsoft Entra Id ve Microsoft 365'i yönetenler için kullanılmalıdır. Ayrıca, son derece kritik veya hassas veriler için temsilci yöneticiler tarafından PAW kullanımını ciddiyetle göz önünde bulundurmanız gerekir. - Windows Defender Exploit Guard iş istasyonunda yapılandırılmalıdır. - Giden ağ kısıtlamaları, 2. Aşama'daki yönergeleri kullanarak yalnızca Microsoft hizmetlerine bağlantıya izin vermelidir. PAW'lardan açık İnternet erişimine izin verilmemelidir.
Diğer IaaS veya PaaS bulut hizmeti yöneticisi - Katman 0 veya Katman 1 (bkz. Kapsam ve Tasarım Konuları)	Evet	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW bu rol için yeterlidir. - PAW'lar aracı yükleme, sabit disk dosyalarını dışarı aktarma veya işletim sistemleri, hassas veriler veya iş açısından kritik verileri olan sabit sürücülerin depolandığı depolama alanına erişim dahil olmak üzere bulutta barındırılan VM'ler üzerinde yönetim haklarına sahip olan tüm roller için kullanılmalıdır. - Giden ağ kısıtlamaları, 2. Aşama'daki yönergeleri kullanarak yalnızca Microsoft hizmetlerine bağlantıya izin vermelidir. PAW'lardan açık İnternet erişimine izin verilmemelidir. - Windows Defender Exploit Guard iş istasyonunda yapılandırılmalıdır. Not: Etki Alanı Denetleyicileri veya diğer Katman 0 konakları abonelikteyse, bir orman için abonelik Katman 0'dır. Azure'da Katman 0 sunucusu barındırılmıyorsa abonelik Katman 1'dir.
Sanallaştırma Yöneticileri - Katman 0 veya Katman 1 (bkz. Kapsam ve Tasarım Konuları)	Evet	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW bu rol için yeterlidir. - PAW'lar, vm'ler üzerinde aracı yükleme, sanal sabit disk dosyalarını dışarı aktarma veya konuk işletim sistemi bilgileri, hassas veriler veya iş açısından kritik verileri olan sabit sürücülerin depolandığı depolama alanına erişim gibi yönetim haklarına sahip olan tüm roller için kullanılmalıdır. Not: Etki Alanı Denetleyicileri veya diğer Katman 0 konakları abonelikteyse, sanallaştırma sistemi ve yöneticileri Orman için Katman 0 olarak kabul edilir. Sanallaştırma sisteminde Katman 0 sunucuları barındırılmıyorsa abonelik Katman 1'dir.
Sunucu Bakım Yöneticileri - Seviye 1	Evet	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW bu rol için yeterlidir. - Windows server, Linux ve diğer işletim sistemlerini çalıştıran kurumsal sunucuları ve uygulamaları güncelleştiren, yalayan ve sorun gideren yöneticiler için PAW kullanılmalıdır. - Bu yöneticilerin daha geniş kapsamını yönetmek için PAW'lara ayrılmış yönetim araçlarının eklenmesi gerekebilir.
Kullanıcı İş İstasyonu Yöneticileri - Katman 2	Evet	Aşama 2'de sağlanan yönergeler kullanılarak oluşturulan bir PAW, son kullanıcı cihazlarında yönetim haklarına sahip roller (yardım masası ve masa başı destek rolleri gibi) için yeterlidir. - Bilet yönetimini ve diğer destek işlevlerini etkinleştirmek için DIĞER uygulamaların PAW'lara yüklenmesi gerekebilir. - Windows Defender Exploit Guard iş istasyonunda yapılandırılmalıdır. Bu yöneticilerin daha geniş ölçeklerini yönetebilmek için PAW'lar için özel yönetim araçları eklenmesi gerekebilir.
SQL, SharePoint veya iş kolu (LOB) Yöneticisi - Seviye 1	Evet	2. Aşama kılavuzuyla oluşturulmuş bir PAW bu rol için yeterlidir. - Yöneticilerin Uzak Masaüstü kullanarak sunuculara bağlanmaya gerek kalmadan uygulamaları yönetmesine olanak sağlamak için PAW'lara diğer yönetim araçlarının yüklenmesi gerekebilir.
Sosyal Medya İletişim Durumunu Yöneten Kullanıcılar	Kısmen	Aşama 2'de sağlanan yönergeler kullanılarak oluşturulan bir PAW, bu roller için güvenlik sağlamak üzere başlangıç noktası olarak kullanılabilir. - Sosyal medya hesaplarını paylaşmak, korumak ve sosyal medya hesaplarına erişimi izlemek için Microsoft Entra Id kullanarak sosyal medya hesaplarını koruyun ve yönetin. Bu özellik hakkında daha fazla bilgi için bu blog gönderisiniokuyun. - Giden ağ kısıtlamaları bu hizmetlere bağlantıya izin vermelidir. Bu, açık internet bağlantılarına izin vererek (birçok PAW güvencesini geçersiz kılan çok daha yüksek güvenlik riski oluşturur) veya hizmet için sadece gerekli DNS adreslerine izin vererek (elde edilmesi zor olabilir) yapılabilir.
Standart Kullanıcılar	Hayır	Standart kullanıcılar için birçok sağlamlaştırma adımı kullanılabilse de PAW, hesapları çoğu kullanıcının iş görevleri için gerektirdiği açık İnternet erişiminden yalıtacak şekilde tasarlanmıştır.
Konuk VDI/Kiosk	Hayır	Konuklar için bir bilgi noktası sistemi için birçok sağlamlaştırma adımı kullanılabilse de PAW mimarisi, düşük duyarlılık hesapları için daha yüksek güvenlik değil, yüksek duyarlılık hesapları için daha yüksek güvenlik sağlamak üzere tasarlanmıştır.
VIP Kullanıcısı (Yönetici, Araştırmacı vb.)	Kısmen	2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW, bu roller için güvenlik sağlamak üzere başlangıç noktası olarak kullanılabilir. - Bu senaryo standart bir kullanıcı masaüstüne benzer, ancak genellikle daha küçük, daha basit ve iyi bilinen bir uygulama profiline sahiptir. Bu senaryo genellikle hassas verileri, hizmetleri ve uygulamaları bulmayı ve korumayı gerektirir. - Bu roller genellikle kullanıcı tercihlerini karşılamak için tasarım değişiklikleri gerektiren yüksek düzeyde güvenlik ve yüksek kullanılabilirlik gerektirir.
Endüstriyel kontrol sistemleri (örneğin, SCADA, PCN ve DCS)	Kısmen	Çoğu ICS konsolları (SCADA ve PCN gibi yaygın standartlar dahil) açık İnternet'e göz atmayı ve e-postayı denetlemeyi gerektirmediğinden, 2. Aşama'da sağlanan yönergeler kullanılarak oluşturulan bir PAW, bu roller için güvenlik sağlamak için bir başlangıç noktası olarak kullanılabilir. - Fiziksel makineleri kontrol etmek için kullanılan uygulamaların uyumluluk açısından entegre edilmesi ve test edilmesi ve uygun şekilde korunması gerekir.
Katıştırılmış İşletim Sistemi	Hayır	PAW'ın birçok sağlamlaştırma adımı katıştırılmış işletim sistemleri için kullanılabilir olsa da, bu senaryoda sağlamlaştırma için özel bir çözüm geliştirilmesi gerekir.

Not

Birleşim senaryoları bazı personelin birden çok senaryoya yayılan yönetim sorumlulukları olabilir. Bu gibi durumlarda, göz önünde bulundurulması gereken temel kurallar Katman modeli kurallarına her zaman uyulması gerektiğidir.

PAW programınız daha fazla yönetici ve rolü kapsayacak şekilde ölçeklendirildikçe PAW Programı ölçeklendirmeyi, güvenlik standartlarına ve kullanılabilirliğine bağlı kalmanızı sağlamaya devam etmeniz gerekir. Bunun için BT destek yapılarınızı güncelleştirmeniz veya PAW ekleme işlemi, olay yönetimi, yapılandırma yönetimi ve kullanılabilirlik sorunlarını ele almak için geri bildirim toplama gibi PAW'a özgü zorlukları çözmek için yenilerini oluşturmanız gerekebilir. Örneğin, kuruluşunuzun yöneticiler için evden çalışma senaryolarını etkinleştirmeye karar vermesinden dolayı masaüstü PAW'lardan dizüstü bilgisayar PAW'larına geçiş gerekebilir ve bu da ek güvenlik konuları gerektirebilir. Bir diğer yaygın örnek, yeni yöneticiler için eğitim oluşturmak veya mevcut eğitimi güncellemektir; bu eğitim, artık bir PAW'ın (Neden önemli olduğu ve ne olduğu ile ne olmadığı dahil) uygun kullanımına dair içeriği de içermelidir. PAW programınızı ölçeklendirirken ele alınması gereken diğer noktalar için yönergelerin 2. Aşamasına bakın.

Bu kılavuz, daha önce belirtildiği gibi senaryolar için PAW yapılandırmasına yönelik ayrıntılı yönergeleri içerir. Diğer senaryolar için gereksinimleriniz varsa, yönergeleri bu kılavuza göre kendiniz uyarlayabilir veya Microsoft gibi bir profesyonel hizmet kuruluşuna yardımcı olması için işe alabilirsiniz.

PAW Aşamalı uygulama

PAW'ın yönetim için güvenli ve güvenilir bir kaynak sağlaması gerektiğinden, derleme işleminin güvenli ve güvenilir olması önemlidir. Bu bölümde, Microsoft tarafından kullanılanlara benzer genel ilkeleri ve kavramları kullanarak kendi PAW'ınızı oluşturmanıza olanak tanıyan ayrıntılı yönergeler sağlanır.

Yönergeler, en kritik azaltmaları hızla uygulamaya koymaya ve ardından kuruluş için PAW kullanımını aşamalı olarak artırmaya ve genişletmeye odaklanan üç aşamaya ayrılır.

• 1. Aşama - Active Directory Yöneticileri için Anında Dağıtım
• 2. Aşama - PAW'ı tüm yöneticilere genişletme
• 3. Aşama - Gelişmiş PAW güvenlik

Aynı genel projenin bir parçası olarak planlanıp uygulansalar bile aşamaların her zaman sırayla gerçekleştirilmesi gerektiğini unutmayın.

1. Aşama: Active Directory yöneticileri için anında dağıtım

Amaç: Şirket içi etki alanı ve orman yönetimi rollerini koruyabilen hızlı bir şekilde bir PAW sağlar.

Kapsam: Kurumsal Yöneticiler, Etki Alanı Yöneticileri (tüm etki alanları için) ve diğer yetkili kimlik sistemlerinin yöneticileri de dahil olmak üzere Katman 0 Yöneticileri.

1. Aşama, saldırganlar tarafından sıklıkla hedeflenen kritik öneme sahip roller olan şirket içi Active Directory etki alanınızı yöneten yöneticilere odaklanır. Bu kimlik sistemleri, Active Directory Etki Alanı Denetleyicilerinizin (DC) şirket içi veri merkezlerinde, Hizmet olarak Azure Altyapısı'nda (IaaS) veya başka bir IaaS sağlayıcısında barındırılması fark etmeksizin bu yöneticileri korumak için etkili bir şekilde çalışır.

Bu aşamada, ayrıcalıklı erişim iş istasyonunuzu (PAW) barındırmak için güvenli yönetim Active Directory kuruluş birimi (OU) yapısını oluşturur ve PAW'ları kendileri dağıtırsınız. Bu yapı, PAW'u desteklemek için gereken grup ilkelerini ve grupları da içerir.

Altyapı aşağıdaki OU'ları, Güvenlik Gruplarını ve grup ilkelerini temel alır:

• Kuruluş Birimleri (OU)
  • Altı yeni üst düzey OU:
    • Yönetici
    • Gruplar
    • Katman 1 Sunucuları
    • Iş istasyon -ları
    • Kullanıcı Hesapları
    • Bilgisayar Karantinası.
• Gruplar
  • Altı yeni güvenlik özellikli genel grup:
    • Katman 0 Çoğaltma Bakımı
    • Katman 1 Sunucu Bakımı
    • Hizmet Masası Operatörleri
    • İş İstasyonu Bakımı
    • PAW Kullanıcıları
    • PAW Bakımı.
• Grup ilkesi nesneleri:
  • PAW Yapılandırması - Bilgisayar
  • PAW Yapılandırması - Kullanıcı
  • RestrictedAdmin Gereklidir - Bilgisayar
  • PAW Dışa Yönelik Kısıtlamalar
  • İş İstasyonunda Oturum Açmayı Kısıtla
  • Sunucu Oturum Açmayı Kısıtla.

1. Aşama aşağıdaki adımları içerir:

Önkoşulları Tamamlama

1. Tüm yöneticilerin yönetim ve son kullanıcı etkinlikleri (e-posta, İnternet'e gözatma, iş kolu uygulamaları ve diğer yönetici olmayan etkinlikler dahil) için ayrı ve tek tek hesaplar kullandığından emin olun. Yalnızca belirli hesapların PAW'da oturum açmasına izin verildiğinden, her yetkili kişiye standart kullanıcı hesabından ayrı bir yönetim hesabı atamak PAW modeli için temeldir.

   Önemli

   Her yönetici, yönetim için kendi hesabını kullanmalıdır. Yönetim hesabını paylaşmayın.

2. Katman 0 ayrıcalıklı yönetici sayısını en aza indirin. Her yöneticinin PAW kullanması gerektiğinden, yönetici sayısının azaltılması bunları desteklemek için gereken PAW sayısını ve ilişkili maliyetleri azaltır. Daha düşük yönetici sayısı da bu ayrıcalıkların ve ilişkili risklerin daha düşük bir şekilde ortaya çıkışını sağlar. Tek bir konumdaki yöneticilerin PAW'ı paylaşması mümkün olsa da, ayrı fiziksel konumlardaki yöneticiler ayrı PAW gerektirir.

3. tüm teknik gereksinimleri karşılayan güvenilir bir sağlayıcıdan donanım alın. Microsoft, Credential Guard ile etki alanı kimlik bilgilerini korumamakaledeki teknik gereksinimleri karşılayan donanımlar edinmenizi önerir.

   Not

   Bu özellikler olmadan donanıma yüklenen PAW önemli korumalar sağlayabilir, ancak Credential Guard ve Device Guard gibi gelişmiş güvenlik özellikleri kullanılamaz. 1. Aşama dağıtımı için Credential Guard ve Device Guard gerekli değildir, ancak 3. Aşama (gelişmiş sağlamlaştırma) kapsamında kesinlikle önerilir.

   PAW için kullanılan donanımın, güvenlik uygulamaları kuruluş tarafından güvenilen bir üretici ve tedarikçiden kaynaklandığından emin olun. Bu, tedarik zinciri güvenliği için temiz kaynak ilkesinin bir uygulamasıdır.

   Tedarik zinciri güvenliğinin önemi hakkında daha fazla bilgi edinmek için bu siteyi ziyaret edin.

4. Gerekli olan Windows 11 Enterprise Edition ve uygulama yazılımını edinin ve doğrulayın.

   • Windows 11 Enterprise Edition
   • Windows 11 için Uzak Sunucu Yönetim Araçları
   • Windows 11 Güvenlik Temelleri

   Not

   Microsoft, MSDN'de tüm işletim sistemleri ve uygulamalar için MD5 karmaları yayımlar, ancak tüm yazılım satıcıları benzer belgeler sağlamaz. Bu gibi durumlarda başka stratejiler de gereklidir.

5. İntranet üzerinde WSUS sunucunuzun bulunduğundan emin olun. PAW güncelleştirmelerini indirmek ve yüklemek için intranette bir WSUS sunucusuna ihtiyacınız vardır. Bu WSUS sunucusu, Windows 11 için tüm güvenlik güncelleştirmelerini otomatik olarak onaylayacak şekilde yapılandırılmalıdır veya bir yönetici personelin yazılım güncelleştirmelerini hızla onaylama sorumluluğu ve sorumluluğu olmalıdır. Daha fazla bilgi için Güncelleştirmeleri Onaylama kılavuzunun"Yükleme için Güncelleştirmeleri Otomatik Olarak Onayla" bölümüne bakın.

Katman 0 hesaplarını Admin\Tier 0\Accounts OU'ya taşıma

Etki Alanı Yöneticisi, Kuruluş Yöneticisi veya Katman 0 eşdeğer gruplarının (iç içe üyelik dahil) üyesi olan her hesabı bu OU'ya taşıyın. Kuruluşunuzda bu gruplara eklenen kendi gruplarınız varsa, bunları Admin\Tier 0\Groups OU'ya taşımanız gerekir.

İlgili gruplara uygun üyeleri ekleme

1. PAW Kullanıcıları - 1. Aşama'nın 1. Adımında tanımladığınız Etki Alanı veya Kurumsal Yönetici gruplarına Katman 0 yöneticilerini ekleyin.

2. PAW Bakım - PAW bakımı ve sorun giderme görevleri için kullanılan en az bir hesap ekleyin. PAW Bakım Hesapları nadiren kullanılır.

   Önemli

   Aynı kullanıcı hesabını veya grubunu hem PAW Kullanıcılarına hem de PAW Bakımı'na eklemeyin. PAW güvenlik modeli kısmen PAW kullanıcı hesabının yönetilen sistemlerde veya PAW'ın kendisi üzerinde ayrıcalıklı haklara sahip olduğu varsayımını temel alır, ancak her ikisini birden değil.

   • Bu, 1. Aşamada iyi yönetim uygulamaları ve alışkanlıklar oluşturmak için önemlidir.
   • Bu, PAW'ların Katmanlara yayılması nedeniyle PAW aracılığıyla ayrıcalıkların yükseltilmesini önlemek için 2. Aşama ve sonrası için kritik önem taşır.

   İdeal olarak, görevlerin ayrıştırılması ilkesini uygulamak için birden çok katmandaki görevlere hiçbir personel atanmamaktadır; ancak Microsoft, birçok kuruluşun sınırlı personel (veya diğer organizasyonel gereksinimler) nedeniyle bu tam ayrımı gerçekleştiremediğinin farkındadır. Bu gibi durumlarda, aynı personel her iki rol için de atanabilir, ancak bu işlevler için aynı hesabı kullanmamalıdır.

"PAW Yapılandırması - Bilgisayar" grup ilkesi nesnesi (GPO) oluştur

Bu bölümde, bu PAW'lar için belirli korumalar sağlayan yeni bir "PAW Yapılandırması - Bilgisayar" GPO'sunu oluşturacak ve bunu Katman 0 Cihazlar OU'sına ("Katman 0\Yönetici altındaki Cihazlar" ) bağlayacaksınız.

Uyarı

Bu ayarları Varsayılan Etki Alanı İlkesieklemeyin. Bunun yapılması, tüm Active Directory ortamınızdaki işlemleri etkileyebilir. Bu ayarları yalnızca burada açıklanan yeni oluşturulan GPO'larda yapılandırın ve yalnızca PAW OU'ya uygulayın.

1. PAW Bakım Erişimi - bu ayar, PAW'lardaki belirli ayrıcalıklı grupların üyeliğini belirli bir kullanıcı kümesine ayarlar. Bilgisayar Yapılandırması\Tercihler\Denetim Masası Ayarları\Yerel Kullanıcılar ve Gruplar'a gidin ve aşağıdaki adımları tamamlayın:

   1. Yeni 'a tıklayın ve yerel grup 'e tıklayın

   2. Güncelleştir eylemini seçin ve "Yöneticiler (yerleşik)" seçeneğini belirleyin (Yöneticiler etki alanı grubunu seçmek için Gözat düğmesini kullanmayın).

   3. Tüm üye kullanıcıları sil ve Tüm üye gruplarını sil onay kutularını seçin

   4. PAW Bakımı (pawmaint) ve Yönetici'yi ekleyin (yine Yönetici'yi seçmek için Gözat düğmesini kullanmayın).

      Önemli

      PAW Kullanıcıları grubunu yerel Yöneticiler grubunun üyelik listesine eklemeyin. PAW Kullanıcılarının PAW'ın kendi güvenlik ayarlarını yanlışlıkla veya kasıtlı olarak değiştiremeyeceğinden emin olmak için yerel Administrators gruplarının üyesi olmamalıdır.

      Grup üyeliğini değiştirmek için Grup İlkesi Tercihleri'ni kullanma hakkında daha fazla bilgi için lütfen Yerel Grup Öğesi YapılandırmaTechNet makalesine bakın.

2. Yerel Grup Üyeliğini Kısıtla - bu ayar, iş istasyonundaki yerel yönetici gruplarının üyeliğinin her zaman boş olmasını sağlar

   1. Bilgisayar Yapılandırması\Tercihler\Denetim Masası Ayarları\Yerel Kullanıcılar ve Gruplar'a gidin ve aşağıdaki adımları tamamlayın:

      1. Yeni 'a tıklayın ve yerel grup 'e tıklayın
      2. Güncelleştir eylemini seçin ve "Yedekleme İşleçleri (yerleşik)" seçeneğini belirleyin (Yedekleme İşleçleri etki alanı grubunu seçmek için Gözat düğmesini kullanmayın).
      3. Tüm üye kullanıcıları sil ve Tüm üye gruplarını sil onay kutularını seçin.
      4. Gruba üye eklemeyin. Boş liste atamak, grup ilkesinin tüm üyeleri otomatik olarak kaldırmasına ve grup ilkesi her yenilendiğinde boş bir üyelik listesi olmasını sağlar.

   2. Aşağıdaki gruplar için önceki adımları tamamlayın:

      • Şifreleme İşleçleri
      • Hyper-V Yöneticileri
      • Ağ Yapılandırma Operatörleri
      • Güç Kullanıcıları
      • Uzak Masaüstü Kullanıcıları
      • Çoğaltıcılar

   3. PAW Oturum Açma Kısıtlamaları - bu ayar PAW'da oturum açabilen hesapları sınırlar. bu ayarı yapılandırmak için aşağıdaki adımları tamamlayın:

      1. Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması\Yerel olarak oturum açmaya izin ver'e gidin.
      2. Bu ilke ayarlarını tanımla'yı seçin ve "PAW Kullanıcıları" ile Yöneticiler'i ekleyin (yine, Yöneticiler'i seçmek için Gözat düğmesini kullanmayın).

   4. Gelen Ağ Trafiğini Engelle - Bu ayar PAW'a istenmeyen gelen ağ trafiğine izin verilmemesini sağlar. Bu ayarı yapılandırmak için aşağıdaki adımları tamamlayın:

      1. Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'na gidin ve aşağıdaki adımları tamamlayın:
         1. Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı'nı sağ tıklatın ve İlkeyiiçeri aktar'ı seçin.
         2. Evet, bunun mevcut güvenlik duvarı ilkelerinin üzerine yazacağını kabul etmek için tıklayın.
         3. PAWFirewall.wfw dosyasına gidip Aç'ı seçin.
         4. Tamam tıklayın.

      Not

      Bu noktada istenmeyen trafikle PAW'a ulaşması gereken adresler veya alt ağlar ekleyebilirsiniz (örneğin, güvenlik taraması veya yönetim yazılımı). WFW dosyasındaki ayarlar, güvenlik duvarını tüm güvenlik duvarı profilleri için "Engelle - Varsayılan" modunda etkinleştirir, kural birleştirmeyi kapatır ve hem bırakılan hem de başarılı paketlerin günlüğe kaydedilmesini etkinleştirir. Bu ayarlar paw'dan başlatılan bağlantılarda çift yönlü iletişime izin verirken istenmeyen trafiği engeller, yerel yönetim erişimine sahip kullanıcıların GPO ayarlarını geçersiz kılacak yerel güvenlik duvarı kuralları oluşturmasını engeller ve PAW'a gelen ve giden trafiğin günlüğe kaydedildiğinden emin olur. Bu güvenlik duvarının açılması PAW için saldırı yüzeyini genişletir ve güvenlik riskini artırır. Herhangi bir adres eklemeden önce, bu kılavuzun PAW Yönetim ve İşletim bölümüne başvurun..

   5. WSUS için Windows Update'i Yapılandırma - PAW'lar için Windows Update'i yapılandırmak üzere ayarları değiştirmek üzere aşağıdaki adımları tamamlayın:

      1. Bilgisayar Yapılandırması\İlkeler\Yönetim Şablonları\Windows Bileşenleri\Windows Güncelleştirmeleri'ne gidin ve aşağıdaki adımları tamamlayın:
         1. Otomatik Güncelleştirmeleri Yapılandır ilkesinietkinleştirin.
         2. 4 - Otomatik indirme seçeneğini belirleyin ve yüklemezamanlayın.
         3. "Zamanlanmış yükleme günü seçeneğini 0 - Her Gün olarak ve Zamanlanmış yükleme zamanı seçeneğini kuruluş tercihinize göre değiştirin."
         4. Bir intranet Microsoft güncelleştirme hizmeti konumunu belirtme ilkesi için seçenek'ı etkinleştirin.

   6. "PAW Yapılandırması - Bilgisayar" GPO'sunu aşağıdaki gibi bağlayın:

      Politika	Bağlantı Konumu
      PAW Yapılandırması - Bilgisayar	Admin\Tier 0\Cihazlar

"PAW Yapılandırması - Kullanıcı" grup ilkesi nesnesi (GPO)'yu oluşturun

Bu bölümde, bu PAW'lar için belirli korumalar sağlayan yeni bir "PAW Yapılandırması - Kullanıcı" GPO'su oluşturacak ve bunu Katman 0 Hesapları OU'suna (Katman 0\Admin altındaki "Hesaplar") bağlayacaksınız.

Uyarı

Bu ayarları Varsayılan Etki Alanı İlkesi'ne eklemeyin

1. İnternet gezinmeyi engelle - Yanlışlıkla internet gezinmeyi engellemek için, bu işlem bir loopback adresi (127.0.0.1) olan ara sunucu adresini ayarlar.

   1. Kullanıcı Yapılandırması\Tercihler\Windows Ayarları\Kayıt Defteri'ne gidin. Kayıt Defteri'ne sağ tıklayın, Yeni >Kayıt Defteri Öğesiseçin ve aşağıdaki ayarları yapılandırın:

      1. Eylem: Değiştir

      2. Hive: HKEY_CURRENT_USER

      3. Anahtar Yolu: Software\Microsoft\Windows\CurrentVersion\Internet Settings

      4. Değer adı: ProxyEnable

         Dikkat

         Değer adı'nın solundaki Varsayılan kutusunu seçmeyin.

      5. Değer türü: REG_DWORD

      6. Değer verileri: 1

         1. Ortak sekmesine tıklayın ve Bu öğe artık uygulanmadığında, kaldır seçeneğini belirleyin.
         2. Ortak sekmesinde, Öğe düzeyi hedefleme seçimini yapın ve Hedefleme'e tıklayın.
         3. Yeni Öğe 'e tıklayın ve Güvenlik grubuseçin.
         4. "..." öğesini seçin düğmesine tıklayın ve PAW Kullanıcıları grubuna göz atın.
         5. Yeni Öğe 'e tıklayın ve Güvenlik grubuseçin.
         6. "..." düğmesine tıklayın ve Cloud Services Yöneticileri grubuna göz atın.
         7. Cloud Services Yöneticileri öğesine tıklayın ve Öğe Seçenekleriöğesine tıklayın.
         8. olanı değil,olanı seçin.
         9. Hedefleme penceresinde Tamam tıklayın.

      7. ProxyServer grubu ilkesi ayarını tamamlamak için Tamam'a tıklayın

   2. Kullanıcı Yapılandırması\Tercihler\Windows Ayarları\Kayıt Defteri'ne gidin. Kayıt Defteri'ne sağ tıklayın, Yeni >Kayıt Defteri Öğesiseçin ve aşağıdaki ayarları yapılandırın:

      • Eylem: Değiştir
      • Hive: HKEY_CURRENT_USER
      • Anahtar Yolu: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        • Değer adı: ProxyServer

          Dikkat

          Değer adı'nın solundaki Varsayılan kutusunu seçmeyin.

        • Değer türü: REG_SZ

        • Değer verileri: 127.0.0.1:80

          1. Ortak sekmesine tıklayın ve artık uygulanmadığında bu öğeyi kaldır'ı seçin.
          2. Ortak sekmesinde, Öğe düzeyi hedefleme seçin ve Hedeflemeöğesine tıklayın.
          3. Yeni Öğe 'e tıklayın ve güvenlik grubunu seçin.
          4. "..." öğesini seçin düğmesine basın ve PAW Kullanıcıları grubunu ekleyin.
          5. Yeni Öğe 'e tıklayın ve güvenlik grubunu seçin.
          6. "..." düğmesine tıklayın ve Cloud Services Yöneticileri grubunu bulun.
          7. Cloud Services Yöneticileri öğesine tıklayın ve Öğe Seçenekleriöğesine tıklayın.
          8. değil'i seçin.
          9. Hedefleme penceresinde Tamam tıklayın.

   3. ProxyServer grup ilkesi ayarını tamamlamak için Tamam'a tıklayın,

2. Kullanıcı Yapılandırması\İlkeler\Yönetim Şablonları\Windows Bileşenleri\Internet Explorer'a gidin ve aşağıdaki seçenekleri etkinleştirin. Bu ayarlar yöneticilerin ara sunucu ayarlarını el ile geçersiz kılmasını engeller.
   1. Otomatik Yapılandırma ayarlarını değiştirmeyi devre dışı bırakmayı etkinleştirin.
   2. Ara sunucu ayarlarının değiştirilmesini engelleetkinleştirin.

Yöneticilerin daha düşük katmanlı konaklarla oturum açmasını kısıtlama

Bu bölümde, ayrıcalıklı yönetim hesaplarının alt katman konaklarında oturum açmasını önlemek için grup ilkelerini yapılandıracağız.

1. Yeni İş İstasyonu Oturum Açmayı Kısıtla GPO oluşturun. Bu ayar Katman 0 ve Katman 1 yönetici hesaplarının standart iş istasyonlarında oturum açmasını kısıtlar. Bu GPO, "İş İstasyonları" üst düzey OU'ya bağlanmalıdır ve aşağıdaki ayarlara sahip olmalıdır:

   • Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması\Toplu iş olarak oturum açmayı reddet bölümünde Bu ilke ayarlarını tanımla seçin ve aşağıdakiler dahil olmak üzere Katman 0 ve Katman 1 gruplarını ekleyin:

     • Gömülü Katman 0 Grupları
       • Kurumsal Yöneticiler
       • Etki Alanı Yöneticileri
       • Şema Yöneticileri
       • BUILTIN\Administrators
       • Hesap Operatörleri
       • Yedekleme İşlemcileri
       • Yazdırma Operatörleri
       • Sunucu Operatörleri
       • Etki Alanı Denetleyicileri
       • Read-Only Etki Alanı Denetleyicileri
       • Grup Politikası Oluşturanlar ve Sahipler
       • Şifreleme İşleçleri
     • Etkin Katman 0 erişimine sahip özel oluşturulan gruplar da dahil olmak üzere diğer TemsilciLi Gruplar.
     • Katman 1 Yöneticileri

   • Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması\Hizmet olarak oturum açmayı reddet bölümünde Bu ilke ayarlarını tanımla seçin ve Katman 0 ve Katman 1 gruplarını ekleyin:

     • Yerleşik Katman 0 Grupları
       • Kurumsal Yöneticiler
       • Domain Yöneticileri
       • Şema Yöneticileri
       • BUILTIN\Administrators
       • Hesap Operatörleri
       • Yedekleme Operatörleri
       • Yazdırma Operatörleri
       • Sunucu Operatörleri
       • Etki Alanı Denetleyicileri
       • Read-Only Etki Alanı Denetleyicileri
       • Grup İlkesi Oluşturucuları ve Sahipleri
       • Şifreleme İşleçleri
     • Etkin Katman 0 erişimine sahip özel oluşturulan gruplar da dahil olmak üzere diğer TemsilciLi Gruplar.
     • Katman 1 Yöneticileri

2. Yeni Sunucu Oturum Açmayı Kısıtla GPO oluşturun. Bu ayar Katman 0 yönetici hesaplarının Katman 1 sunucularında oturum açmasını kısıtlar. Bu GPO, "Katman 1 Sunucuları" üst düzey OU'ya bağlanmalıdır ve aşağıdaki ayarlara sahip olmalıdır:

   • Bilgisayar Yapılandırması\Politikalar\Windows Ayarları\Güvenlik Ayarları\Yerel Politikalar\Kullanıcı Hakları Ataması\Toplu iş olarak oturum açmayı reddet bölümünde Bu politika ayarlarını tanımla seçin ve Katman 0 gruplarını ekleyin:

     • Yerleşik Katman 0 Grupları
       • Kurumsal Yöneticiler
       • Etki Alanı Yöneticileri
       • Şema Yöneticileri
       • BUILTIN\Administrators
       • Hesap Operatörleri
       • Yedekleme Operatörleri
       • Yazdırma İşleçleri
       • Sunucu Operatörleri
       • Etki Alanı Denetleyicileri
       • Read-Only Etki Alanı Denetleyicileri
       • Grup İlkesi Oluşturucu Sahipleri
       • Şifreleme İşleçleri
     • Etkin Katman 0 erişimine sahip özel olarak oluşturulmuş gruplar da dahil olmak üzere diğer Yetkilendirilmiş Gruplar.

   • Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması\Hizmet olarak oturum açmayı reddet bölümünde Bu ilke ayarlarını tanımla seçin ve Katman 0 gruplarını ekleyin:

     • Yerleşik Katman 0 Grupları
       • Kurumsal Yöneticiler
       • Domain Yöneticileri
       • Şema Yöneticileri
       • BUILTIN\Administrators
       • Hesap İşleçleri
       • Yedekleme Operatörleri
       • Yazdırma Operatörleri
       • Sunucu Operatörleri
       • Etki Alanı Denetleyicileri
       • Read-Only Etki Alanı Denetleyicileri
       • Grup İlkesi Oluşturucuları ve Sahipleri
       • Şifreleme İşleçleri
     • Etkin Katman 0 erişimine sahip özel oluşturulan gruplar da dahil olmak üzere diğer Yetkilendirilmiş Gruplar.

   • Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması\Yerel olarak oturum açmayı reddet bölümünde Bu ilke ayarlarını tanımla seçin ve Katman 0 gruplarını ekleyin:

     • Yerleşik Katman 0 Grupları
       • Kurumsal Yöneticiler
       • Etki Alanı Yöneticileri
       • Şema Yöneticileri
       • BUILTIN\Yöneticiler
       • Hesap Operatörleri
       • Yedekleme Operatörleri
       • Yazdırma Operatörleri
       • Sunucu Operatörleri
       • Etki Alanı Denetleyicileri
       • Read-Only Etki Alanı Denetleyicileri
       • Grup İlkesi Oluşturucuları ve Sahipleri
       • Şifreleme İşleçleri
     • Etkin Katman 0 erişimine sahip özel olarak oluşturulmuş gruplar da dahil olmak üzere diğer Temsilci Gruplar.

PAW'larınızı dağıtın

Önemli

İşletim sistemi derleme işlemi sırasında PAW'ın ağ bağlantısının kesildiğinden emin olun.

1. Daha önce edindiğiniz temiz kaynak yükleme medyasını kullanarak Windows 11'i yükleyin.

   Not

   PAW dağıtımını otomatikleştirmek için Microsoft Dağıtım Araç Seti'ni (MDT) veya başka bir otomatik görüntü dağıtım sistemini kullanabilirsiniz, ancak derleme işleminin PAW kadar güvenilir olduğundan emin olmanız gerekir. Saldırganlar, şirket görüntülerini ve dağıtım sistemlerini (ISO'lar, dağıtım paketleri vb.) bir kalıcılık mekanizması olarak arar, bu nedenle önceden var olan dağıtım sistemleri veya görüntüleri kullanılmamalıdır.

   PAW dağıtımını otomatikleştirirseniz şunları uygulamanız gerekir:

   • Doğrulanmış ve orijinal yükleme medyasını kullanarak sistemi oluşturun.
   • İşletim sistemi derleme işlemi sırasında otomatik dağıtım sisteminin ağ bağlantısının kesildiğinden emin olun.

2. Yerel Yönetici hesabı için benzersiz bir karmaşık parola ayarlayın. Ortamdaki başka bir hesap için kullanılmış bir parola kullanmayın.

   Not

   Microsoft, PAW'lar da dahil olmak üzere tüm iş istasyonları için yerel Yönetici parolasını yönetmek üzere Yerel Yönetici Parola Çözümü (LAPS) kullanılmasını önerir. LAPS kullanıyorsanız PAW Bakım grubuna yalnızca PAW'lar için LAPS ile yönetilen parolaları okuma hakkı sağladığından emin olun.

3. Temiz kaynak yükleme medyasını kullanarak Windows 11 için Uzak Sunucu Yönetim Araçları'nı yükleyin.

4. Windows Defender Exploit Guard'ı yapılandırma

5. PAW'ı ağa bağlayın. PAW'ın en az bir Etki Alanı Denetleyicisine (DC) bağlanaabildiğinden emin olun.

6. PAW Bakım grubunun üyesi olan bir hesabı kullanarak, yeni oluşturulan PAW'dan aşağıdaki PowerShell komutunu çalıştırarak uygun OU'daki etki alanına ekleyin:

   Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

   Fabrikam referanslarını uygun şekilde kendi etki alanı adınızla değiştirin. Etki alanı adınız birden çok düzeye (örneğin, child.fabrikam.com) uzanıyorsa, diğer adları etki alanının tam nitelikli etki alanı adında göründükleri sırada "DC=" tanımlayıcısıyla ekleyin.

7. Diğer yazılımları (yönetim araçları, aracılar vb.) yüklemeden önce tüm kritik ve önemli Windows Güncelleştirmelerini uygulayın.

8. Grup İlkesi uygulamasını zorla.

   1. Yükseltilmiş bir komut istemi açın ve şu komutu girin: Gpupdate /force /sync
   2. Bilgisayarı yeniden başlatın

9. (İsteğe bağlı) Active Directory Yöneticileri için diğer gerekli araçları yükleyin. İş görevlerini gerçekleştirmek için gereken diğer araçları veya betikleri yükleyin. PAW'e eklemeden önce herhangi bir araçla hedef bilgisayarlarda kimlik bilgileri ifşa etme riskini değerlendirin.

   Not

   Bu araçlar için merkezi bir konum olarak bir jump sunucu kullanmak, güvenlik sınırı olarak hizmet vermese bile karmaşıklığı azaltabilir.

10. (İsteğe bağlı) Gerekli uzaktan erişim yazılımını indirin ve yükleyin. Yöneticiler PAW'ı yönetim için uzaktan kullanıyorsa uzaktan erişim çözümü satıcınızın güvenlik kılavuzunu kullanarak uzaktan erişim yazılımını yükleyin.

    Not

    PAW üzerinden uzaktan erişime izin vermeyle ilgili tüm riskleri dikkatle göz önünde bulundurun. Mobil bir PAW, evden çalışma da dahil olmak üzere birçok önemli senaryoya olanak tanırken, uzaktan erişim yazılımı saldırılara karşı savunmasız olabilir ve bir PAW'u riske atmak için kötüye kullanılabilir.

11. Aşağıdaki adımları kullanarak tüm uygun ayarları gözden geçirip onaylayarak PAW sisteminin bütünlüğünü doğrulayın:

    1. PAW'de sadece PAW'a özgü grup ilkelerinin uygulandığını onaylayın
       1. Yükseltilmiş bir komut istemi açın ve şu komutu girin: Gpresult /scope computer /r
       2. Sonuçta elde edilen listeyi gözden geçirin ve görüntülenen tek grup ilkelerinin daha önce oluşturduğunuz ilkeler olduğundan emin olun.
    2. Aşağıdaki adımları kullanarak diğer kullanıcı hesaplarının PAW'daki ayrıcalıklı grupların üyesi olmadığını onaylayın:

       1. Yerel Kullanıcıları ve Grupları Düzenle (lusrmgr.msc) açın, Gruplaröğesini seçin ve yerel Yöneticiler grubunun tek üyelerinin yerel Yönetici hesabı ve PAW Bakımı genel güvenlik grubu olduğunu onaylayın.

          Önemli

          PAW Kullanıcıları grubu yerel Yöneticiler grubunun üyesi olmamalıdır. Tek üyeler yerel Yönetici hesabı ve PAW Bakımı genel güvenlik grubu olmalıdır (ve PAW Kullanıcıları da bu genel grubun üyesi olmamalıdır).

       2. Ayrıca Yerel Kullanıcıları ve Grupları Düzenlekullanarak, aşağıdaki grupların üye olmadığından emin olun:

          • Yedekleme Operatörleri
          • Şifreleme İşleçleri
          • Hyper-V Yöneticileri
          • Ağ Yapılandırma Operatörleri
          • İleri Düzey Kullanıcılar
          • Uzak Masaüstü Kullanıcıları
          • Çoğaltıcılar

12. (İsteğe bağlı) Kuruluşunuz bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümü kullanıyorsa PAW'ın Windows Olay İletme (WEF) kullanarak olayları sisteme iletecek şekilde yapılandırıldığından veya SIEM'in PAW'dan etkin olarak olay ve bilgi alması için çözüme kayıtlı olduğundan emin olun. Bu işlemin ayrıntıları SIEM çözümünüz temelinde farklılık gösterir.

    Not

    SIEM'niz, PAW'larda sistem veya yerel yönetim hesabı olarak çalışan bir aracı gerektiriyorsa, SIEM'lerin etki alanı denetleyicileriniz ve kimlik sistemlerinizle aynı güven düzeyiyle yönetildiğinden emin olun.

13. (İsteğe bağlı) PAW'ınızdaki yerel Yönetici hesabının parolasını yönetmek için LAPS dağıtmayı seçtiyseniz, parolanın başarıyla kaydedildiğini doğrulayın.

    • LAPS tarafından yönetilen parolaları okuma izinlerine sahip bir hesap kullanarak Active Directory Kullanıcıları ve Bilgisayarları (dsa.msc) açın. Gelişmiş Özelliklerin etkinleştirildiğinden emin olun ve uygun bilgisayar nesnesine sağ tıklayın. Öznitelik Düzenleyicisi sekmesini seçin ve msSVSadmPwd değerinin geçerli bir parolayla doldurulduğunu onaylayın.

2. Aşama: PAW'ı tüm yöneticilere genişletme

Kapsam: Görev açısından kritik uygulamalar ve bağımlılıklar üzerinde yönetim hakları olan tüm kullanıcılar. Bu, uygulama sunucularının, işletimsel sistem durumu ve güvenlik izleme çözümlerinin, sanallaştırma çözümlerinin, depolama sistemlerinin ve ağ cihazlarının en az yöneticilerini içermelidir.

Not

Bu aşamadaki yönergelerde, 1. Aşama'nın tamamen tamamlandığı varsayılır. 1. Aşamadaki tüm adımları tamamlayana kadar 2. Aşama'ya başlamayın.

Tüm adımların tamamlandığını onayladıktan sonra, 2. Aşamayı tamamlamak için aşağıdaki adımları gerçekleştirin:

(Önerilen) RestrictedAdmin modunu etkinleştir

Bu özelliği mevcut sunucularınızda ve iş istasyonlarınızda etkinleştirin ve ardından bu özelliğin kullanımını zorunlu kılın. Bu özellik, hedef sunucuların Windows Server 2008 R2 veya üzerini ve hedef iş istasyonlarının Windows 7 veya sonraki bir sürümü çalıştırmasını gerektirir.

1. busayfada verilen talimatları izleyerek sunucularınızda ve iş istasyonlarınızda RestrictedAdmin modunu etkinleştirin.

   Not

   İnternet'e yönelik sunucular için bu özelliği etkinleştirmeden önce, saldırganların daha önce çalınan parola karmasıyla bu sunucularda kimlik doğrulaması yapabilme riskini göz önünde bulundurmanız gerekir.

2. "Kısıtlı Yönetici Gerekli - Bilgisayar" grup ilkesi nesnesi (GPO) oluşturun. Bu bölüm, giden Uzak Masaüstü bağlantıları için /RestrictedAdmin anahtarının kullanılmasını zorunlu kılan ve hesapları hedef sistemlerde kimlik bilgisi hırsızlığından koruyan bir GPO oluşturur

   • Bilgisayar Yapılandırması\İlkeler\Yönetim Şablonları\Sistem\Kimlik Bilgileri Temsil Etme\Kimlik bilgilerini uzak sunuculara temsil etmeyi kısıtla'ya gidin ve olarak etkinayarlayın.

3. Aşağıda sunulan ilke seçeneklerini kullanarak RestrictedAdmin Gerekli - Bilgisayar'ı uygun olan Katman 1 ve/veya Katman 2 cihazlarıyla eşleştirin.

   • PAW Yapılandırması - Bilgisayar
     • -> Bağlantı Konumu: Admin\Tier 0\Devices (Mevcut)
   • PAW Yapılandırması - Kullanıcı
     • -> Bağlantı Konumu: Admin\Tier 0\Accounts
   • Kısıtlı Yönetici Gerekli - Bilgisayar
     • ->Admin\Tier1\Devices veya -> Admin\Tier2\Devices (Her ikisi de isteğe bağlıdır)

   Not

   Bu sistemler ortamdaki tüm varlıkların tam denetiminde olduğundan Katman 0 sistemleri için bu gerekli değildir.

Katman 1 Nesnelerini uygun OU'lara taşıma

1. Katman 1 gruplarını Admin\Tier 1\Groups OU'ya taşıyın. Aşağıdaki yönetim haklarını veren tüm grupları bulun ve bu OU'ya taşıyın.

   • Birden fazla sunucuda yerel yönetici
     • Bulut hizmetlerine yönetim erişimi
     • Kurumsal uygulamalara Yönetim Erişimi

2. Katman 1 hesaplarını Admin\Tier 1\Accounts OU'ya taşıyın. Bu Katman 1 gruplarının üyesi olan her hesabı (iç içe üyelik dahil) bu OU'ya taşıyın.

3. İlgili gruplara uygun üyeleri ekleme

   • Katman 1 Yöneticileri - Bu grup, Katman 2 konaklarında oturum açmaları kısıtlanmış olan Katman 1 Yöneticilerini içerir. Sunucular veya internet hizmetleri üzerinden yönetim ayrıcalıklarına sahip tüm Katman 1 yönetim gruplarınızı ekleyin.

     Önemli

     Yönetim personelinin birden çok katmandaki varlıkları yönetme görevleri varsa katman başına ayrı bir yönetici hesabı oluşturmanız gerekir.

4. Kimlik bilgisi hırsızlığı ve yeniden kullanma riskini azaltmak için Credential Guard'ı etkinleştirin. Credential Guard, Windows 11'in kimlik bilgilerine uygulama erişimini kısıtlayan ve kimlik bilgisi hırsızlığı saldırılarını (Karma Geçişi dahil) önleyen yeni bir özelliğidir. Credential Guard son kullanıcı için saydamdır ve minimum kurulum süresi ve çaba gerektirir. Dağıtım adımları ve donanım gereksinimleri de dahil olmak üzere Credential Guard hakkında daha fazla bilgi için, Credential Guardile etki alanı kimlik bilgilerini koruma makalesine bakın.

   Not

   Credential Guard'ı yapılandırmak ve kullanmak için Device Guard etkinleştirilmelidir. Ancak Credential Guard'ı kullanmak için diğer Device Guard korumalarını yapılandırmanız gerekmez.

5. (İsteğe bağlı) Cloud Services bağlantısını etkinleştirin. Bu adım, Azure ve Microsoft 365 gibi bulut hizmetlerinin uygun güvenlik güvenceleriyle yönetilmesine olanak tanır. Bu adım, Microsoft Intune'un PAW'ları yönetmesi için de gereklidir.

   Not

   Intune ile yönetim veya bulut hizmetlerinin idaresi için bulut bağlantısı gerekmiyorsa bu adımı atlayın.

   • Bu adımlar, İnternet üzerinden iletişimi yalnızca yetkili bulut hizmetleriyle (ancak açık İnternet'e değil) kısıtlar ve tarayıcılara ve internetten içerik işleyen diğer uygulamalara korumalar ekler. Yönetim için bu PAW'lar hiçbir zaman İnternet iletişimleri ve üretkenlik gibi standart kullanıcı görevleri için kullanılmamalıdır.
   • PAW hizmetlerine bağlantıyı etkinleştirmek için aşağıdaki adımları tamamlayın:

   1. PAW'ı yalnızca yetkili İnternet hedeflerine izin verecek şekilde yapılandırın. PAW dağıtımınızı bulut yönetimini etkinleştirecek şekilde genişletirken, saldırıların yöneticilerinizi hedef alabileceği açık internetten erişimi filtreleyerek yetkili hizmetlere erişime izin vermeniz gerekir.

      1. Cloud Services Yöneticileri grubu oluşturun ve İnternet'te bulut hizmetlerine erişim gerektiren tüm hesapları buna ekleyin.

      2. TechNet Gallery'dan PAW proxy.pac dosyasını indirin ve bir iç web sitesinde yayımlayın.

         Not

         proxy.pac dosyasını indirdikten sonra up-to-date ve complete olduğundan emin olmak için güncelleştirmeniz gerekir. Microsoft, geçerli tüm Microsoft 365 ve Azure URL'lerini OfficeDestek Merkezi'nde yayımlar. Bu yönergelerde Microsoft 365, Azure ve diğer bulut hizmetlerinin yönetimi için Internet Explorer (veya Microsoft Edge) kullanacağınız varsayılır. Microsoft, yönetim için ihtiyacınız olan tüm üçüncü taraf tarayıcılar için benzer kısıtlamaları yapılandırmanızı önerir. PAW'lardaki web tarayıcıları yalnızca bulut hizmetlerinin yönetimi için kullanılmalı ve hiçbir zaman genel web'e gözatma için kullanılmamalıdır.

         Diğer IaaS sağlayıcısı için bu listeye eklemek için başka geçerli İnternet hedefleri eklemeniz gerekebilir, ancak bu listeye üretkenlik, eğlence, haber veya arama siteleri eklemeyebilirsiniz.

         Pac dosyasını, bu adresler için kullanılacak geçerli bir ara sunucu adresini barındıracak şekilde ayarlamanız da gerekebilir.

         Ayrıca, derinlemesine savunma için bir web ara sunucusu kullanarak PAW'tan erişimi kısıtlayabilirsiniz. Bunu PAC dosyası olmadan tek başına kullanmanızı önermeyiz çünkü yalnızca şirket ağına bağlıyken PAW'lar için erişimi kısıtlar.

      3. proxy.pac dosyasını yapılandırdıktan sonra PAW Yapılandırması - Kullanıcı GPO'sunu güncelleştirin.

         1. Kullanıcı Yapılandırması\Tercihler\Windows Ayarları\Kayıt Defteri'ne gidin. Kayıt Defteri'ne sağ tıklayın, Yeni >Kayıt Defteri Öğesiseçin ve aşağıdaki ayarları yapılandırın:

            1. Eylem: Değiştir

            2. Hive: HKEY_CURRENT_USER

            3. Anahtar Yolu: Software\Microsoft\Windows\CurrentVersion\Internet Settings

            4. Değer adı: AutoConfigUrl

               Dikkat

               Değer adının solundaki Varsayılan kutusunu seçmeyin.

            5. Değer türü: REG_SZ

            6. Değer verileri: http:// ve dosya adı da dahil olmak üzere proxy.pac dosyasının tam URL'sini girin; örneğin http://proxy.fabrikam.com/proxy.pac. URL tek etiketli bir URL de olabilir, örneğin, http://proxy/proxy.pac

               Not

               PAC dosyası, file://server.fabrikan.com/share/proxy.pac söz dizimi ile bir dosya paylaşımında da barındırılabilir, ancak bunun için file:// protokolüne izin vermek gerekir. Gerekli kayıt defteri değerini yapılandırmayla ilgili ek ayrıntılar için bu Web Proxy Yapılandırmasını Anlama blogunun "NOT: File:// tabanlı Proxy Betikleri Kullanım Dışı" bölümüne bakın.

            7. Ortak sekmesine tıklayın ve artık uygulanmadığında bu öğeyi kaldır'ı seçin.

            8. Ortak sekmesinde, Öğe düzeyi hedefleme seçin ve Hedeflemetıklayın.

            9. Yeni Öğe 'e tıklayın ve güvenlik grubunu seçin.

            10. "..." düğmesine tıklayın ve Cloud Services Admins grubuna göz atın.

            11. Yeni Öğe'e tıklayın ve güvenlik grubunuseçin.

            12. "..." düğmesini seçin ve PAW Kullanıcıları grubuna arama yapın.

            13. PAW Kullanıcıları öğesine tıklayın ve Öğe Seçenekleriöğesine tıklayın.

            14. 'ı seçin,değil.

            15. Hedefleme penceresinde Tamam tıklayın.

            16. AutoConfigUrl grup ilkesi ayarını tamamlamak için Tamam'a tıklayın.

   2. Windows 11 Güvenlik temellerini ve Bulut Hizmeti Erişimi'ni uygulama Aşağıdaki adımları kullanarak Windows ve bulut hizmeti erişimi (gerekirse) için güvenlik temellerini doğru OU'lara bağlayın:

      1. Windows 11 Güvenlik Temelleri ZIP dosyasının içeriğini ayıklayın.

      2. Bu GPO'ları oluşturun, ilke ayarlarını içeri aktarın ve bu tabloya göre bağlantı verin. Her ilkeyi her konuma bağlayın ve sıranın tabloya uydığından emin olun (tablodaki daha düşük girişler daha sonra ve daha yüksek öncelikli uygulanmalıdır):

         İlkeleri:

         İlke Adı	Bağlantı
         CM Windows 11 - Etki Alanı Güvenliği	Geçerli Değil - Şimdi Bağlamayın
         SCM Windows 11 TH2 - Bilgisayar	Admin\Tier 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         SCM Windows 11 TH2- BitLocker	Yönetici\Tier 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         SCM Windows 11 - Credential Guard	Admin\Tier 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         SCM Internet Explorer - Bilgisayar	Yönetici\Seviye 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         PAW Yapılandırması - Bilgisayar	Admin\Tier 0\Cihazlar (Mevcut)
         	Admin\Tier 1\Devices (Yeni Bağlantı)
         	Admin\Tier 2\Devices (Yeni Bağlantı)
         Bilgisayar için RestrictedAdmin Gereklidir	Admin\Seviye 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         SCM Windows 11 - Kullanıcı	Admin\Tier 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         SCM Internet Explorer - Kullanıcı	Admin\Tier 0\Cihazlar
         	Yönetici\Katman 1\Cihazlar
         	Yönetici\Katman 2\Cihazlar
         PAW Yapılandırması - Kullanıcı	Admin\Tier 0\Cihazlar (Mevcut)
         	Admin\Tier 1\Devices (Yeni Bağlantı)
         	Admin\Tier 2\Devices (Yeni Bağlantı)

         Not

         "SCM Windows 11 - Etki Alanı Güvenliği" GPO'su, PAW'dan bağımsız olarak etki alanına bağlanabilir, ancak etki alanının tamamını etkileyecektir.

6. (İsteğe bağlı) Katman 1 Yöneticileri için diğer gerekli araçları yükleyin. İş görevlerini gerçekleştirmek için gereken diğer araçları veya betikleri yükleyin. PAW'a eklemeden önce herhangi bir araçla hedef bilgisayarlarda kimlik bilgilerinin açığa çıkarılma riskini değerlendirin.

7. Yönetim için gerekli yazılım ve uygulamaları tanımlama ve güvenli bir şekilde edinme. Bu, 1. Aşamada gerçekleştirilen çalışmaya benzer, ancak güvenliği sağlanan uygulama, hizmet ve sistem sayısının artması nedeniyle daha geniş kapsamlıdır.

   Önemli

   Bu yeni uygulamaları (web tarayıcıları dahil) Windows Defender Exploit Guard tarafından sağlanan korumalara kabul ederek koruduğundan emin olun.

   • Diğer yazılım ve uygulamalara örnek olarak şunlar verilebilir:

     • Microsoft Yönetim Konsolu'nu temel alan hizmet veya uygulama yönetimi yazılımı

     • Özel (MMC tabanlı olmayan) hizmet veya uygulama yönetimi yazılımı

       Not

       Birçok uygulama artık birçok bulut hizmeti de dahil olmak üzere yalnızca web tarayıcıları aracılığıyla yönetiliyor. Bu, PAW'a yüklenmesi gereken uygulama sayısını azaltırken, tarayıcı birlikte çalışabilirlik sorunları riskini de ortaya ekler. Belirli hizmetlerin yönetimini etkinleştirmek için belirli PAW örneklerine Microsoft dışı bir web tarayıcısı dağıtmanız gerekebilir. Ek bir web tarayıcısı dağıtırsanız, tüm temiz kaynak ilkelerine uyup tarayıcının güvenliğini satıcının güvenlik kılavuzuna göre sağladığından emin olun.

8. (İsteğe bağlı) Gerekli yönetim aracılarını indirin ve yükleyin.

   Önemli

   Ek yönetim aracıları (izleme, güvenlik, yapılandırma yönetimi vb.) yüklemeyi seçerseniz, yönetim sistemlerine etki alanı denetleyicileri ve kimlik sistemleriyle aynı düzeyde güvenildiğinden emin olmanız çok önemlidir.

9. PAW tarafından sağlanan ek güvenlik önlemlerine ihtiyaç duyan sistemleri belirlemek için altyapınızı değerlendirin. Hangi sistemlerin korunması gerektiğini tam olarak bildiğinizden emin olun. Kaynaklar hakkında aşağıdakiler gibi kritik sorular sorun:

   • Yönetilmesi gereken hedef sistemler nerede? Tek bir fiziksel konumda mı toplanıyorlar yoksa iyi tanımlanmış tek bir alt ağa mı bağlılar?

   • Kaç tane sistem var?

   • Bu sistemler diğer sistemlere (sanallaştırma, depolama vb.) bağımlı mı ve varsa, bu sistemler nasıl yönetilir? Kritik sistemler bu bağımlılıklara nasıl maruz kalıyor ve bu bağımlılıklarla ilişkili diğer riskler nelerdir?

   • Yönetilen hizmetler ne kadar kritiktir ve söz konusu hizmetler tehlikeye atılırsa beklenen kayıp nedir?

     Önemli

     Bulut hizmetlerinizi bu değerlendirmeye dahil edin: Saldırganlar giderek daha güvenli olmayan bulut dağıtımlarını hedefler ve bu hizmetleri şirket içi görev açısından kritik uygulamalarınız kadar güvenli bir şekilde yönetmeniz çok önemlidir.

     ** Ek koruma gerektiren belirli sistemleri tanımlamak ve PAW programınızı bu sistemlerin yöneticilerine genişletmek için değerlendirmeyi kullanın. PAW tabanlı yönetimden büyük ölçüde yararlanan sistemlere örnek olarak SQL Server (hem şirket içi hem de SQL Azure), insan kaynakları uygulamaları ve finansal yazılımlar verilebilir.

     Not

     Bir kaynak bir Windows sisteminden yönetiliyorsa, uygulamanın kendisi Windows dışında bir işletim sisteminde veya Microsoft dışı bir bulut platformunda çalışsa bile PAW ile yönetilebilir. Örneğin, bir bulut hizmeti sağlayıcısı aboneliğinin sahibi bu hesabı yönetmek için yalnızca bir PAW kullanmalıdır.

10. Kuruluşunuzda büyük ölçekte PAW dağıtmak için bir istek ve dağıtım yöntemi geliştirin. 2. Aşamada dağıtmayı seçtiğiniz PAW sayısına bağlı olarak, işlemi otomatikleştirmeniz gerekebilir.

    • Yöneticilerin PAW elde etmek için kullanması için resmi bir istek ve onay süreci geliştirmeyi göz önünde bulundurun. Bu işlem dağıtım sürecinin standartlaştırılmasına, PAW cihazları için sorumluluk sağlanmasına ve PAW dağıtımındaki boşlukların belirlenmesine yardımcı olur.

    • Daha önce belirtildiği gibi, bu dağıtım çözümü mevcut otomasyon yöntemlerinden (zaten ele geçirilmiş olabilir) ayrı olmalı ve 1. Aşama'da belirtilen ilkelere uygun olmalıdır.

      Önemli

      Kaynakları yöneten herhangi bir sistem, aynı veya daha yüksek güven düzeyinde yönetilmelidir.

11. PAW donanım profillerini gözden geçirin ve gerekirse daha fazlasını dağıtın. 1. Aşama dağıtımı için seçtiğiniz donanım profili tüm yöneticiler için uygun olmayabilir. Donanım profillerini gözden geçirin ve uygunsa diğer PAW donanım profillerini yöneticilerin gereksinimlerine uyacak şekilde seçin. Örneğin, ayrılmış donanım profili (ayrı PAW ve günlük kullanım iş istasyonları) sık seyahat eden bir yönetici için uygun olmayabilir.

12. Genişletilmiş PAW dağıtımına eşlik eden kültürel, operasyonel, iletişim ve eğitim gereksinimlerini göz önünde bulundurun. Yönetim modelinde bu kadar önemli bir değişiklik doğal olarak bir dereceye kadar değişiklik yönetimi gerektirir ve bunu dağıtım projesinin kendisinde oluşturmak çok önemlidir. En azından aşağıdaki soruları göz önünde bulundurun:

    • Desteklerinden emin olmak için değişiklikleri üst düzey liderlere nasıl iletebilirsiniz? Üst düzey liderlik desteği olmayan herhangi bir proje büyük olasılıkla başarısız olabilir veya fon ve geniş kabul için mücadele ediyor olabilir.

    • Yöneticiler için yeni işlemi nasıl belgeleyeceksiniz? Bu değişikliklerin belgelenmesi ve mevcut yöneticilere (alışkanlıklarını değiştirmesi ve kaynakları farklı bir şekilde yönetmesi gerekir) değil, aynı zamanda yeni yöneticiler için de (kuruluş içinden yükseltilen veya kuruluş dışından işe alınanlar) iletilmesi gerekir. Belgelerin net ve tam olarak ifade edilmiş olması önemlidir:

      • Tehditlerin önemi
      • PAW'ın yöneticileri korumadaki rolü.
      • PAW'ı doğru kullanma.

      Önemli

      Bu, özellikle yardım masası personeli dahil ancak bunlarla sınırlı olmamak üzere yüksek ciroya sahip roller için önemlidir.

    • Yeni süreçle uyumluluk nasıl sağlanır? PAW modeli ayrıcalıklı kimlik bilgilerinin açığa çıkmasını önlemek için çeşitli teknik denetimler içerse de, tüm olası pozlamayı yalnızca teknik denetimleri kullanarak tamamen önlemek mümkün değildir. Örneğin, yöneticinin ayrıcalıklı kimlik bilgileriyle bir kullanıcı masaüstünde başarıyla oturum açmasını engellemek mümkün olsa da, oturum açmayı denemenin basit eylemi, kimlik bilgilerini bu kullanıcı masaüstünde yüklü kötü amaçlı yazılımlara açık hale getirir. Bu nedenle PAW modelinin yalnızca avantajlarını değil uyumsuzluk risklerini de ifade edin. Kimlik bilgilerinin açığa çıkarmanın hızla algılanıp ele alınabilmesi için bu, denetim ve uyarı ile tamamlanmalıdır.

3. Aşama: Korumayı genişletme ve geliştirme

Kapsam: Bu korumalar, 1. Aşamada yerleşik sistemleri geliştirerek temel korumayı Çok faktörlü kimlik doğrulaması ve ağ erişim kuralları gibi gelişmiş özelliklerle güçlendirmektedir.

Not

Bu aşama, 1. Aşama tamamlandıktan sonra herhangi bir zamanda gerçekleştirilebilir. 2. Aşama'nın tamamlanmasına bağlı değildir ve bu nedenle 2. Aşama'nın öncesinde, eşzamanlısında veya sonrasında gerçekleştirilebilir.

Bu aşamayı yapılandırmak için aşağıdaki adımları tamamlayın:

1. ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulamasını etkinleştirme. Çok faktörlü kimlik doğrulaması, kullanıcının kimlik bilgilerine ek olarak fiziksel bir belirteç sağlamasını zorunlu tutarak hesap güvenliğini güçlendirir. Çok faktörlü kimlik doğrulaması, kimlik doğrulama ilkelerini iyi tamamlar, ancak dağıtım için kimlik doğrulama ilkelerine bağımlı değildir (ve benzer şekilde, kimlik doğrulama ilkeleri çok faktörlü kimlik doğrulaması gerektirmez). Microsoft, şu Çok Faktörlü kimlik doğrulaması biçimlerinden birini kullanmanızı önerir:

   • Akıllı kart: Akıllı kart, Windows oturum açma işlemi sırasında ikinci bir doğrulama sağlayan kurcalamaya dayanıklı ve taşınabilir bir fiziksel cihazdır. Bir kişinin oturum açmak için bir karta sahip olmasını zorunlu tutarak, çalınan kimlik bilgilerinin uzaktan yeniden kullanılması riskini azaltabilirsiniz. Windows'ta akıllı kartla oturum açma hakkında ayrıntılı bilgi için Akıllı Karta Genel Bakış makalesine bakın.
   • Sanal akıllı kart: Sanal akıllı kart, fiziksel akıllı kartlarla aynı güvenlik avantajlarını sağlar ve belirli donanımlara bağlanma avantajını da sunar. Dağıtım ve donanım gereksinimleriyle ilgili ayrıntılar için Sanal Akıllı Kart'a Genel Bakış ve sanal akıllı kart kullanmaya başlama: kılavuz kılavuzumakalelerine bakın.
   • İş İçin Windows Hello: İş İçin Windows Hello, kullanıcıların Fast ID Online (FIDO) kimlik doğrulamasını destekleyen bir Microsoft hesabında, Active Directory hesabında, Microsoft Entra hesabında veya Microsoft dışı hizmette kimlik doğrulaması yapmasını sağlar. İş İçin Windows Hello kaydı sırasında ilk iki aşamalı doğrulamadan sonra, kullanıcının cihazında bir İş İçin Windows Hello ayarlanır ve kullanıcı Windows Hello veya PIN olabilecek bir hareket ayarlar. İş İçin Windows Hello kimlik bilgileri, Güvenilir Platform Modüllerinin (TPM) yalıtılmış ortamlarında oluşturulabilen bir asimetrik anahtar çiftidir.
     • Windows Hello for Business hakkında daha fazla bilgi için Windows Hello for Business makalesini okuyun.
   • azure çok faktörlü kimlik doğrulaması : Azure Çok faktörlü kimlik doğrulaması (MFA), izleme ve makine öğrenmesi tabanlı analiz aracılığıyla ikinci bir doğrulama faktörünün ve gelişmiş korumanın güvenliğini sağlar. Microsoft Entra çok faktörlü kimlik doğrulaması yalnızca Azure yöneticilerinin değil, web uygulamaları, Microsoft Entra Kimliği ve uzaktan erişim ile Uzak Masaüstü gibi şirket içi çözümlerin de güvenliğini sağlayabilir. Daha fazla bilgi için çok faktörlü kimlik doğrulaması makalesine bakın.

2. Windows Defender Uygulama Denetimi ve/veya AppLockerkullanarak güvenilir uygulamaların listesine izin verin. Güvenilmeyen veya imzasız kodun PAW üzerinde çalışma becerisini sınırlayarak kötü amaçlı etkinlik ve riskten ödün verme olasılığını daha da azaltmış olursunuz. Windows, uygulama denetimi için iki birincil seçenek içerir:

   • AppLocker : AppLocker, yöneticilerin belirli bir sistemde hangi uygulamaların çalışabileceğini denetlemesine yardımcı olur. AppLocker, grup ilkesi aracılığıyla merkezi olarak denetlenebilir ve belirli kullanıcılara veya gruplara uygulanabilir (hedeflenen uygulama için PAW kullanıcıları için). AppLocker hakkında daha fazla bilgi için AppLocker'a Genel Bakış TechNet makalesine bakın.
   • Windows Defender Uygulama Denetimi: Yeni Windows Defender Uygulama Denetimi özelliği, AppLocker'ın aksine etkilenen cihazda geçersiz kılınamaz gelişmiş donanım tabanlı uygulama denetimi sağlar. AppLocker gibi Windows Defender Uygulama Denetimi de grup ilkesi aracılığıyla denetlenebilir ve belirli kullanıcılara hedeflenebilir. Windows Defender Uygulama Denetimi ile uygulama kullanımını kısıtlama hakkında daha fazla bilgi için bkz. Windows Defender Uygulama Denetimi Dağıtım Kılavuzu.

3. ayrıcalıklı hesapları daha fazla korumak için Korumalı Kullanıcılar, Kimlik Doğrulama İlkeleri ve Kimlik Doğrulama Siloları kullanın. Korumalı Kullanıcılar üyeleri, yerel güvenlik aracısında (LSA) depolanan kimlik bilgilerini koruyan ve kimlik bilgisi hırsızlığı ve yeniden kullanım riskini büyük ölçüde en aza indiren ek güvenlik ilkelerine tabidir. Kimlik doğrulama ilkeleri ve silolar, ayrıcalıklı kullanıcıların etki alanındaki kaynaklara nasıl erişebileceğini denetler. Bu korumalar toplu olarak bu ayrıcalıklı kullanıcıların hesap güvenliğini önemli ölçüde güçlendirir. Bu özellikler hakkında daha fazla bilgi için Korumalı Hesapları Yapılandırma makalesine bakın.

   Not

   Bu korumalar, 1. Aşamadaki mevcut güvenlik önlemlerinin yerini değil tamamlayıcı niteliktedir. Yöneticiler yine de yönetim ve genel kullanım için ayrı hesaplar kullanmalıdır.

Yönetme ve güncelleştirme

PAW'lar kötü amaçlı yazılımdan koruma özelliklerine sahip olmalı ve bu iş istasyonlarının bütünlüğünü korumak için yazılım güncelleştirmeleri hızla uygulanmalıdır.

Ek yapılandırma yönetimi, operasyonel izleme ve güvenlik yönetimi de PAW'larla kullanılabilir. Bu özelliklerin tümleştirilmesi dikkatli bir şekilde göz önünde bulundurulmalıdır, çünkü her biri bu araç aracılığıyla PAW güvenliğinin tehlikeye atılması riski oluşturur. Gelişmiş yönetim özellikleri sunmanın mantıklı olup olmadığı aşağıdakiler gibi çeşitli faktörlere bağlıdır:

• Yönetim özelliğinin güvenlik durumu ve uygulamaları (araç için yazılım güncelleştirme uygulamaları, bu rollerdeki yönetim rolleri ve hesapları, aracın barındırıldığını veya yönetildiğini işletim sistemleri ve bu aracın diğer donanım veya yazılım bağımlılıkları dahil)
• PAW'larınızdaki yazılım dağıtımlarının ve güncelleştirmelerinin sıklığı ve miktarı
• Ayrıntılı envanter ve yapılandırma bilgileri için gereksinimler
• Güvenlik izleme gereksinimleri
• Kuruluş standartları ve kuruluşa özgü diğer faktörler

Temiz kaynak ilkesine göre, PAW'ları yönetmek veya izlemek için kullanılan tüm araçlar, PAW'lar düzeyinde veya daha yüksek bir düzeyde güvenilir olmalıdır. Bu süreç, daha düşük ayrıcalıklı iş istasyonlarından kaynaklanabilecek güvenlik bağımlılığını önlemek için genellikle bu araçların PAW (Ayrıcalıklı Erişim Çalışma İstasyonu) üzerinden yönetilmesini gerektirir.

Bu tabloda, PAW'ları yönetmek ve izlemek için kullanılabilecek farklı yaklaşımlar özetlenmektedir:

Yaklaşım	Hususlar
PAW'da Varsayılan Ayar - Windows Server Update Services - Windows Defender	- Ek ücret alınmaz - Gerekli temel güvenlik işlevlerini gerçekleştirir - Bu kılavuzda yer alan yönergeler
Intune ile Yönet	Bulut tabanlı görünürlük ve denetim sağlar Yazılım Dağıtımı o Yazılım güncelleştirmelerini yönetme Windows Güvenlik Duvarı ilke yönetimi Kötü amaçlı yazılımdan koruma Uzaktan yardım Yazılım lisans yönetimi. Sunucu altyapısı gerekmez 2. Aşamada "Bulut Hizmetlerine Bağlantıyı Etkinleştir" adımlarının izlenmesi gerekir PAW bilgisayarı bir etki alanına katılmamışsa bu yapılandırma, güvenlik temeli indirmesinde sağlanan araçları kullanarak yerel görüntülere SCM temellerinin uygulanmasını gerektirir.
PAW'ları yönetmek için yeni System Center örnekleri	- Yapılandırma, yazılım dağıtımı ve güvenlik güncelleştirmelerinin görünürlüğünü ve denetimini sağlar - Ayrı sunucu altyapısı gerektirir, PAW düzeyinde güvenli hale getirilmeli ve bu yüksek ayrıcalıklı personeli yönetmek için gereken becerilere sahip personel gerektirir.
Mevcut yönetim araçlarıyla PAW'ları yönetme	- Mevcut yönetim altyapısı PAW'ların güvenlik düzeyine getirilmediği sürece PAW'ların güvenliğinin aşılmasına yönelik önemli riskler oluşturur Not: Microsoft, kuruluşunuzun bunu kullanmak için belirli bir nedeni olmadığı sürece bu yaklaşımı genel olarak önerilmez. Deneyimlerimize göre genellikle tüm bu araçları (ve bunların güvenlik bağımlılıklarını) PAW'ların güvenlik düzeyine getirmenin maliyeti yüksektir. - Bu araçların çoğu yapılandırma, yazılım dağıtımı ve güvenlik güncelleştirmelerinin görünürlüğünü ve denetimini sağlar
Yönetici erişimi gerektiren Güvenlik Tarama veya izleme araçları	Yerel yönetici erişimi gerektiren bir hesap veya bir aracı yükleyen herhangi bir aracı içerir. - Araç güvenlik güvencesinin PAW düzeyine getirilmesini gerektirir. - Araç işlevselliğini desteklemek (bağlantı noktalarını açma, Java veya diğer ara yazılımları yükleme vb.) için PAW'ların güvenlik duruşunun düşürülerek güvenlik dengeleme kararı oluşturulması gerekebilir,
Güvenlik bilgileri ve olay yönetimi (SIEM)	SIEM aracısızsa Olay Günlüğü Okuyucuları grubundaki bir hesabı kullanarak, PAW'lardaki olaylara yönetici erişimi olmadan erişebilir SIEM sunucularından gelen trafiğe izin vermek için ağ bağlantı noktalarının açılmasını gerektirir SIEM bir aracı gerektiriyorsa, diğer satıra bakın. Yönetici erişimi gerektiren güvenlik taraması veya izleme araçlarınıkontrol edin.
Windows Olay Yönlendirme	- Güvenlik olaylarını PAW'lardan dış toplayıcıya veya SIEM'ye iletmek için aracısız bir yöntem sağlar - PAW'lardaki olaylara yönetici erişimi olmadan erişebilir - SIEM sunucularından gelen trafiğe izin vermek için ağ bağlantı noktalarının açılmasını gerektirmez

Çalışan PAW'lar

PAW çözümü, temiz kaynak ilkelerine dayalı standartlar kullanılarak çalıştırılmalıdır.

İlgili makaleler

Microsoft Advanced Threat Analytics

Credential Guard ile etki alanından türetilmiş kimlik bilgilerini koruma

Device Guard'a Genel Bakış

Güvenli yönetici iş istasyonlarıyla yüksek değerli varlıkları koruma

Windows Server 2012 için Kerberos Kimlik Doğrulamasındaki Yenilikler

Windows Server 2008 R2'de AD DS için Kimlik Doğrulama Mekanizması Güvencesi Adım Adım Kılavuz

Güvenilen Platform Modülü Teknolojisine Genel Bakış

Sonraki adımlar

Ayrıcalıklı erişimin güvenliğini sağlama