Ayrıcalıklı erişim dağıtımı

Bu belge güvenli hesaplar, iş istasyonları ve cihazlar ve arabirim güvenliği (koşullu erişim ilkesi ile) dahil olmak üzere ayrıcalıklı erişim stratejisinin teknik bileşenlerini uygulama konusunda size yol gösterir.

Güvenlik düzeyi profillerinin özeti

Bu kılavuz, üç güvenlik düzeyi için de tüm profilleri ayarlar ve Ayrıcalıklı erişim güvenlik düzeyleri kılavuzuna göre kuruluş rollerinize atanmalıdır. Microsoft, bunları hızlı modernizasyon planında (RAMP) açıklanan sırayla yapılandırmanızı önerir

Lisans gereksinimleri

Bu kılavuzda ele alınan kavramlar, Microsoft 365 Kurumsal E5 veya eşdeğer bir ürüne sahip olduğunuzu varsayar. Bu kılavuzdaki önerilerden bazıları diğer lisanslarla uygulanabilir. Daha fazla bilgi için Microsoft 365 Kurumsal lisanslama bölümüne bakın.

Lisans sağlamayı otomatikleştirmek için kullanıcılarınız için grup tabanlı lisanslama yapmayı göz önünde bulundurun.

Microsoft Entra yapılandırması

Microsoft Entra ID, yönetici iş istasyonlarınız için kullanıcıları, grupları ve cihazları yönetir. Kimlik hizmetlerini ve özelliklerini bir yönetici hesabıyla etkinleştirin.

Güvenli iş istasyonu yönetici hesabını oluşturduğunuzda, hesabı geçerli iş istasyonunuzda kullanıma sunarsınız. Bu ilk yapılandırmayı ve tüm genel yapılandırmayı yapmak için bilinen güvenli bir cihaz kullandığınızdan emin olun. İlk kez saldırı riskini azaltmak için kötü amaçlı yazılım bulaşmalarını önleme yönergelerini izleyin.

En azından yöneticileriniz için çok faktörlü kimlik doğrulaması gerektir. Uygulama kılavuzu için bkz . Koşullu Erişim: Yöneticiler için MFA gerektirme.

Microsoft Entra kullanıcıları ve grupları

  1. Azure portalından Microsoft Entra IDKullanıcılarYeni kullanıcı bölümüne gidin.

  2. Şunları girin:

    • Ad - Güvenli İş İstasyonu Kullanıcısı
    • Kullanıcı adı - secure-ws-user@contoso.com
    • Dizin rolü - Sınırlı yönetici ve Intune Yöneticisi rolünü seçin.
    • Kullanım Konumu - Örneğin Birleşik Krallık veya listeden istediğiniz konum.

  3. Oluştur'u belirleyin.

Cihaz yöneticisi kullanıcınızı oluşturun.

  1. Şunları girin:

    • Ad - Güvenli İş İstasyonu Yöneticisi
    • Kullanıcı adı - secure-ws-admin@contoso.com
    • Dizin rolü - Sınırlı yönetici ve Intune Yöneticisi rolünü seçin.
    • Kullanım Konumu - Örneğin Birleşik Krallık veya listeden istediğiniz konum.

  2. Oluştur'u belirleyin.

Ardından dört grup oluşturacaksınız: Güvenli İş İstasyonu Kullanıcıları, Güvenli İş İstasyonu Yöneticileri, Acil Durum BreakGlass ve Güvenli İş İstasyonu Cihazları.

Azure portalından Microsoft Entra ID'ye, Gruplar, Yeni grup'a göz atın.

  1. İş istasyonu kullanıcıları grubu için, kullanıcılara lisans sağlamayı otomatikleştirmek için grup tabanlı lisanslama yapılandırmak isteyebilirsiniz.

  2. İş istasyonu kullanıcıları grubu için şunu girin:

    • Grup türü - Güvenlik
    • Grup adı - İş İstasyonu Kullanıcılarının Güvenliğini Sağlama
    • Üyelik türü - Atanan

  3. Güvenli iş istasyonu kullanıcınızı ekleyin: secure-ws-user@contoso.com

  4. Güvenli iş istasyonları kullanan diğer tüm kullanıcıları ekleyebilirsiniz.

  5. Oluştur'u belirleyin.

  6. Privileged Workstation Admins grubu için aşağıdakini girin:

    • Grup türü - Güvenlik
    • Grup adı - Güvenli İş İstasyonu Yöneticileri
    • Üyelik türü - Atanan

  7. Güvenli iş istasyonu kullanıcınızı ekleyin: secure-ws-admin@contoso.com

  8. Güvenli iş istasyonlarını yöneten diğer tüm kullanıcıları ekleyebilirsiniz.

  9. Oluştur'u belirleyin.

  10. Acil Durum BreakGlass grubu için şunu girin:

    • Grup türü - Güvenlik
    • Grup adı - Acil Durum BreakGlass
    • Üyelik türü - Atanan

  11. Oluştur'u belirleyin.

  12. Bu gruba Acil Durum Erişim hesapları ekleyin.

  13. İş istasyonu cihazları grubu için şunu girin:

    • Grup türü - Güvenlik
    • Grup adı - Güvenli İş İstasyonu Cihazları
    • Üyelik türü - Dinamik Cihaz
    • Dinamik Üyelik kuralları - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Oluştur'u belirleyin.

Microsoft Entra cihaz yapılandırması

Cihazları Microsoft Entra Id'ye kimlerin katabileceğini belirtme

Yönetim güvenlik grubunuzun cihazları etki alanınıza eklemesine izin vermek için Active Directory'de cihazlarınızı yapılandırın. Bu ayarı Azure portalından yapılandırmak için:

  1. Microsoft Entra ID>Cihazlar>Cihaz ayarları kısmına gidin.
  2. Kullanıcılar cihazları Microsoft Entra Id'ye katabilir'in altında Seçili'yi seçin ve ardından "Güvenli İş İstasyonu Kullanıcıları" grubunu seçin.

Yerel yönetici haklarını kaldırma

Bu yöntem VIP, DevOps ve Privileged iş istasyonları kullanıcılarının makinelerinde yönetici haklarına sahip olmamasını gerektirir. Bu ayarı Azure portalından yapılandırmak için:

  1. Microsoft Entra ID>Cihazlar>Cihaz ayarları gidin.
  2. Ek yerel yöneticiler'in altında Yok'u seçin Microsoft Entra'ya katılmış cihazlarda.

Yerel yöneticiler grubunun üyelerini yönetme hakkında ayrıntılı bilgi için Bkz. Microsoft Entra'ya katılmış cihazlarda yerel yöneticiler grubunu yönetme.

Cihazlara katılmak için çok faktörlü kimlik doğrulaması gerektir

Cihazları Microsoft Entra ID'ye ekleme sürecini daha da güçlendirmek için:

  1. Microsoft Entra ID>Cihazlar>Cihaz ayarları sekmesine gidin.
  2. Cihazlara katılmak için Çok Faktörlü Kimlik Doğrulama Gerektir'in altında Evet'i seçin.
  3. Kaydet'i seçin.

Mobil cihaz yönetimini yapılandırma

Azure portalından:

  1. Microsoft Entra ID>, Mobilite (MDM ve MAM)> ve Microsoft Intune sayfalarına göz atın.
  2. MDM kullanıcı kapsamı ayarını Tümü olarak değiştirin.
  3. Kaydet'i seçin.

Bu adımlar, Microsoft Intune ile tüm cihazları yönetmenize olanak sağlar. Daha fazla bilgi için bkz. Windows 10/11 cihazları için otomatik kaydı ayarlama. Intune yapılandırma ve uyumluluk ilkelerini gelecekteki bir adımda oluşturacaksınız.

Microsoft Entra Koşullu Erişim

Microsoft Entra Koşullu Erişim, ayrıcalıklı yönetim görevlerini uyumlu cihazlarla kısıtlamaya yardımcı olabilir. Güvenli İş İstasyonu Kullanıcıları grubunun önceden tanımlanmış üyeleri, bulut uygulamalarında oturum açarken çok faktörlü kimlik doğrulaması gerçekleştirmek için gereklidir. En iyi yöntemlerden biri, acil durum erişim hesaplarını ilkenin dışında tutmaktır. Daha fazla bilgi için bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.

Koşullu Erişim yalnızca güvenli iş istasyonuna Azure portalına erişme olanağı sağlar

Kuruluşlar, Privileged Users'ın PAW olmayan cihazlardan bulut yönetimi arabirimlerine, portallarına ve PowerShell'e bağlanabilmesini engellemelidir.

Yetkisiz cihazların bulut yönetimi arabirimlerine erişmesini engellemek için Koşullu Erişim: Cihazlar için Filtreler (önizleme) makalesindeki yönergeleri izleyin. Bu özelliği dağıtırken dikkate almanız gereken acil durum erişim hesabı işlevselliği önemlidir. Bu hesaplar yalnızca aşırı durumlar için ve politika aracılığıyla yönetilerek kullanılmalıdır.

Not

Koşullu Erişim ilkesini atlayan bir kullanıcı grubu oluşturmanız ve acil durum kullanıcınızı eklemeniz gerekir. Örneğimiz için Acil Durum BreakGlass adlı bir güvenlik grubuna sahibiz.

Bu ilke kümesi, Yöneticilerinizin belirli bir cihaz öznitelik değeri sunabilen bir cihaz kullanması, MFA'nın memnun kalmasını ve cihazın Microsoft Intune ve Uç Nokta için Microsoft Defender tarafından uyumlu olarak işaretlenmesini sağlar.

Kuruluşlar, ortamlarında eski kimlik doğrulama protokollerini engellemeyi de göz önünde bulundurmalıdır. Eski kimlik doğrulama protokollerini engelleme hakkında daha fazla bilgi için, Nasıl yapılır: Koşullu Erişim ile Microsoft Entra Id'de eski kimlik doğrulamasını engelleme makalesine bakın.

Microsoft Intune yapılandırması

Cihaz Kayıt Reddetme (Kendi Cihazını Getir - BYOD)

Örneğimizde BYOD cihazlarına izin verilmemesi tavsiye edilir. Intune BYOD (Kendi Cihazını Getir) kaydını kullanmak, kullanıcıların güven Unsunu az veya hiç taşımayan cihazları kaydetmelerine olanak tanır. Ancak, yeni cihazlar satın almak için sınırlı bütçesi olan, mevcut donanım filosunu kullanmayı düşünen veya Windows dışı cihazları göz önünde bulunduran kuruluşlar, Kurumsal profil dağıtımı için Intune'daki Cihazını Kendin Getir (BYOD) özelliğini değerlendirebilirler.

Aşağıdaki kılavuz, BYOD erişimini yasaklayan dağıtımların kayıtlarını yapılandırmak için hazırlanmıştır.

BYOD'u önleyen kayıt kısıtlamalarını belirleme

  1. Microsoft Intune yönetim merkezindeCihazlar>Kayıt kısıtlamaları> varsayılan kısıtlamayı seçmek için Tüm Kullanıcılar
  2. Özellikler Platform ayarları Düzenle
  3. Windows MDM dışında Tüm türler için Engelle'yi seçin.
  4. Kişisel öğelere ait tüm öğeler için Engelle'yi seçin.

Autopilot dağıtım profilini oluşturun

Bir cihaz grubu oluşturduktan sonra Autopilot cihazlarını yapılandırmak için bir dağıtım profili oluşturmanız gerekir.

  1. Microsoft Intune yönetim merkezinde, Cihaz kaydı, Windows kaydı, Dağıtım Profilleri ve Profil Oluştur'u seçin.

  2. Şunları girin:

    • Ad - Güvenli iş istasyonu dağıtım profili.
    • Açıklama - Güvenli iş istasyonlarının dağıtımı.
    • Hedeflenen tüm cihazları Autopilot olarak dönüştür seçeneğini Evet olarak ayarlayın. Bu ayar listedeki tüm cihazların Autopilot dağıtım hizmetine kaydedilmesini sağlar. Kaydın işlenmesi için 48 saat izin verin.

  3. İleri'yi seçin.

    • Dağıtım modu için Kendi Kendine Dağıtma (Önizleme) seçeneğini belirleyin. Bu profile sahip cihazlar, cihazı kaydeden kullanıcıyla ilişkilendirilir. Dağıtım sırasında, şunları eklemek için Kendi Kendine Dağıtım modu özelliklerini kullanmanız önerilir:
      • Cihazı Intune Microsoft Entra otomatik MDM kaydına kaydeder ve cihazda yalnızca tüm ilkeler, uygulamalar, sertifikalar ve ağ profilleri sağlanana kadar cihaza erişim izni verir.
      • Cihazı kaydetmek için kullanıcı kimlik bilgileri gereklidir. Cihazı Kendi Kendine Dağıtma modunda dağıtmanın, dizüstü bilgisayarları paylaşılan bir modelde dağıtmanıza olanak sağladığını unutmayın. Cihaz bir kullanıcıya ilk kez atanana kadar kullanıcı ataması gerçekleşmez. Sonuç olarak, bir kullanıcı ataması tamamlanana kadar BitLocker gibi kullanıcı ilkeleri etkinleştirilmez. Güvenli bir cihazda oturum açma hakkında daha fazla bilgi için bkz . Seçili profiller.
    • Dil (Bölge), Kullanıcı hesabı türü standardını seçin.

  4. İleri'yi seçin.

    • Önceden yapılandırılmış bir kapsam etiketi seçin.

  5. İleri'yi seçin.

  6. Atamalar>, Atama Yap>Seçili Gruplara'yı Seçin. Eklenecek grupları seçin bölümünde İş İstasyonu Cihazlarının Güvenliğini Sağla'yı seçin.

  7. İleri'yi seçin.

  8. Profili oluşturmak için Oluştur’u seçin. Autopilot dağıtım profili artık cihazlara atanmaya hazır.

Autopilot'ta cihaz kaydı, cihaz türüne ve rolüne göre farklı bir kullanıcı deneyimi sağlar. Dağıtım örneğimizde güvenli cihazların toplu olarak dağıtıldığı ve paylaşılabildiği ancak ilk kez kullanıldığında cihazın bir kullanıcıya atandığı bir model gösterilmektedir. Daha fazla bilgi için bkz. Windows Autopilot kaydolma işlemi.

Kayıt Durumu Sayfası

Kayıt Durumu Sayfası (ESP), yeni bir cihaz kaydedildikten sonra sağlama ilerleme durumunu görüntüler. Cihazların kullanımdan önce tamamen yapılandırıldığından emin olmak için Intune, tüm uygulamalar ve profiller yüklenene kadar cihaz kullanımını engellemeye yönelik bir araç sağlar.

Kayıt durumu sayfası profili oluşturma ve atama

  1. Microsoft Intune yönetim merkezindeCihazlar>Windows>Windows kaydı>Kayıt Durumu Sayfası>Profil oluştur.
  2. Ad ve Açıklama girin.
  3. Oluştur’u seçin.
  4. Kayıt Durumu Sayfası listesinde yeni profili seçin.
  5. Uygulama profili yükleme ilerleme durumunu göster'i Evet olarak ayarlayın.
  6. Tüm uygulamalar ve profiller yüklenene kadar Cihaz kullanımını engelle seçeneğini Evet olarak ayarlayın.
  7. Atamalar'ı seçin>Grupları seçin> grubu seçinSecure Workstation>Seç>Kaydet.
  8. Ayarlar'a tıklayın, bu profile uygulamak istediğiniz ayarları seçin ve Kaydet.

Windows Update'i yapılandırma

Windows 10'un güncel tutulması, yapabileceğiniz en önemli şeylerden biridir. Windows'un güvenli bir durumda kalmasını sağlamak için, güncelleştirmelerin iş istasyonlarına uygulanma hızını yönetmek için bir güncelleştirme halkası dağıtırsınız.

Bu kılavuz, yeni bir güncelleştirme halkası oluşturmanızı ve aşağıdaki varsayılan ayarları değiştirmenizi önerir:

  1. Microsoft Intune yönetim merkezindeCihazlar>Yazılım güncellemeleri>Windows 10 Güncelleme Halkaları.

  2. Şunları girin:

    • Ad - Azure tarafından yönetilen iş istasyonu güncelleştirmeleri
    • Servis kanalı - Yarı yıllık kanal
    • Kalite güncelleştirmesi erteleme (gün) - 3
    • Özellik güncelleştirme erteleme süresi (gün) - 3
    • Otomatik güncelleştirme davranışı - Son kullanıcı denetimi olmadan otomatik yükleme ve yeniden başlatma
    • Kullanıcının Windows güncelleştirmelerini duraklatmasını engelle - Engelle
    • Çalışma saatleri dışında yeniden başlatmak için kullanıcının onayını gerektir - Gerekli
    • Kullanıcının yeniden başlatılmasına izin ver (etkin yeniden başlatma) - Gerekli
    • Otomatik yeniden başlatmadan sonra kullanıcıları etkin yeniden başlatmaya geçiş (gün) - 3
    • Ertelendi yeniden başlatma anımsatıcısı (gün) - 3
    • Bekleyen yeniden başlatmaların son tarihini ayarla (gün) - 3

  3. Oluştur'u belirleyin.

  4. Atamalar sekmesinde Güvenli İş İstasyonları grubunu ekleyin.

Windows Update ilkeleri hakkında daha fazla bilgi için bkz Politika CSP - Güncelleştirme.

Uç Nokta için Microsoft Defender Intune tümleştirmesi

Uç Nokta için Microsoft Defender ve Microsoft Intune, güvenlik ihlallerini önlemeye yardımcı olmak için birlikte çalışır. Ayrıca ihlallerin etkisini sınırlayabilirler. Bu özellikler gerçek zamanlı tehdit algılama sağlar ve uç nokta cihazlarının kapsamlı bir şekilde denetlenmesini ve günlüğe kaydedilmesini sağlar.

Uç Nokta ve Microsoft Intune için Windows Defender tümleştirmesini yapılandırmak için:

  1. Microsoft Intune yönetim merkezindeUç Nokta Güvenliği>Microsoft Defender ATP’yi seçin.

  2. 1. adımda Windows Defender ATP'yi Yapılandırma'nın altında, Windows Defender Güvenlik Merkezi'nde Windows Defender ATP'yi Microsoft Intune'a bağlama'yı seçin.

  3. Windows Defender Güvenlik Merkezi'nde:

    1. AyarlarGelişmiş özellikler.
    2. Microsoft Intune bağlantısı için Açık'ı seçin.
    3. Tercihleri kaydet'i seçin.

  4. Bağlantı kurulduktan sonra Microsoft Intune dönün ve üstteki Refresh öğesini seçin.

  5. Windows cihazlar sürüm 19042.450 ve üzeri (20H2) Windows Defender ATP'yi Açık olarak ayarlayın.

  6. Kaydet'i seçin.

Windows cihazlarını eklemek için cihaz yapılandırma profilini oluşturma

  1. Microsoft Intune yönetim merkezinde oturum açın, Uç nokta güvenliği>Uç nokta algılama ve yanıt>Profil oluştur seçeneğini belirleyin.

  2. Platform için Windows 10 ve Üzeri'yi seçin.

  3. Profil türü için Uç nokta algılama ve yanıt'ı ve ardından Oluştur'u seçin.

  4. Temel Bilgiler sayfasında, Ad alanına PAW - Defender for Endpoint girin ve profil için Açıklama (isteğe bağlı) ekleyin, ardından İleri'yi seçin.

  5. Yapılandırma ayarları sayfasında, Uç Nokta Algılama ve Yanıt bölümünde aşağıdaki seçeneği yapılandırın:

    • Tüm dosyalar için örnek paylaşım: Microsoft Defender Gelişmiş Tehdit Koruması Örnek Paylaşımı yapılandırma parametresini döndürür veya ayarlar.

      Microsoft Endpoint Configuration Manager'ı kullanarak Windows 10 makinelerinin eklenmesi, bu Microsoft Defender ATP ayarları hakkında daha fazla ayrıntı içerir.

  6. Kapsam etiketleri sayfasını açmak için İleri'yi seçin. Kapsam etiketleri isteğe bağlıdır. Devam etmek için İleri'yi seçin.

  7. Atamalar sayfasında Güvenli İş İstasyonu grubu'na tıklayın. Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama sayfasına bakın.

    İleri'yi seçin.

  8. Gözden Geçir + oluştur sayfasında, işiniz bittiğinde Oluştur'u seçin. Yeni profil, oluşturduğunuz profil için ilke türünü seçtiğinizde listede görüntülenir. Tamam'a tıklayın ve ardından profili oluşturan değişikliklerinizi kaydetmek için Oluştur'a tıklayın.

Daha fazla bilgi için bkz . Windows Defender Gelişmiş Tehdit Koruması.

İş istasyonu profili sağlamlaştırmayı bitirin.

Çözümün sağlamlaştırma işlemini başarıyla tamamlamak için uygun betiği indirip yürütebilirsiniz. İstediğiniz profil düzeyine yönelik indirme bağlantılarını bulun:

Profil İndirme konumu Dosya adı
Kurumsal https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Özelleştirilmiş https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
Ayrıcalıklı https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Not

Yönetici haklarının ve erişimin kaldırılmasının yanı sıra Uygulama yürütme denetimi (AppLocker) dağıtılan ilke profilleri tarafından yönetilir.

Betik başarıyla çalıştırıldıktan sonra Intune'da profil ve ilke güncellemeleri yapabilirsiniz. Betikler sizin için ilkeler ve profiller oluşturur, ancak ilkeleri Secure Workstations cihaz grubunuz için atamanız gerekir.

  • Betikler tarafından oluşturulan Intune cihaz yapılandırma profillerini burada bulabilirsiniz: Azure portalı>Microsoft Intune>Cihaz yapılandırması>Profiller.
  • Betikler tarafından oluşturulan Intune cihaz uyumluluk ilkelerini burada bulabilirsiniz: Azure portalı>Microsoft Intune>Cihaz Uyumluluğu>İlkeler.

Tüm geçerli Intune profillerini karşılaştırmak ve profillerin değerlendirilmesi için dışarı aktarmak için DeviceConfiguration GitHub deposundan Intune veri dışarı aktarma betiğini DeviceConfiguration_Export.ps1çalıştırın.

Microsoft Defender Güvenlik Duvarı için Endpoint Protection Yapılandırma Profili'nde kurallar ayarlama

Windows Güvenlik Duvarı ilke ayarları Endpoint Protection Yapılandırma Profili'ne eklenir. Aşağıdaki tabloda uygulanan ilkenin davranışı açıklanmıştır.

Profil Gelen Trafik Kuralları Giden Kuralları Birleştirme davranışı
Girişim Blok İzin ver İzin ver
Özelleştirilmiş Blok İzin ver Blok
Ayrıcalıklı Blok Blok Blok

Kurumsal: Bu yapılandırma, windows yüklemesinin varsayılan davranışını yansıtan en izinli yapılandırmadır. Yerel kuralların birleştirilmesine izin verilir olarak ayarlandığından, yerel ilke kurallarında açıkça tanımlanan kurallar dışında tüm gelen trafik engellenir. Tüm giden trafiğe izin verilir.

Özelleştirilmiş: Bu yapılandırma, cihazdaki tüm yerel olarak tanımlanmış kuralları yoksaydığı için daha kısıtlayıcıdır. Yerel olarak tanımlanmış kurallar da dahil olmak üzere tüm gelen trafik engellenir. İlke, Teslim İyileştirme'nin tasarlandığı gibi çalışmasına izin vermek için iki kural içerir. Tüm giden trafiğe izin verilir.

Ayrıcalıklı: Yerel olarak tanımlanmış kurallar da dahil olmak üzere tüm gelen trafik engellenir. Politika, Teslim İyileştirme'nin tasarlandığı gibi çalışabilmesi için iki kural içerir. Giden trafik, DNS, DHCP, NTP, NSCI, HTTP ve HTTPS trafiğine izin veren açık kurallar dışında da engellenir. Bu yapılandırma yalnızca cihazın ağa sunduğu saldırı yüzeyini azaltmakla sınırlı değildir, cihazın kurabileceği giden bağlantıları yalnızca bulut hizmetlerini yönetmek için gereken bağlantılarla sınırlar.

Kural Yön Eylem Uygulama /Hizmet Protokol Yerel Bağlantı Noktaları Uzak Bağlantı Noktaları
World Wide Web Services (HTTP Trafik Çıkışı) Dışa Yönelik İzin ver Tümü TCP Tüm bağlantı noktaları 80
World Wide Web Services (HTTPS Trafik Çıkışı) Dışa Yönelik İzin ver Tümü TCP Tüm bağlantı noktaları 443
Çekirdek Ağ - IPv6 için Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCPV6-Out) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe TCP 546 547
Çekirdek Ağ - IPv6 için Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCPV6-Out) Dışa Yönelik İzin ver Dhcp TCP 546 547
Çekirdek Ağ - IPv6 için Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP-Out) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe TCP 68 67
Çekirdek Ağ - IPv6 için Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP-Out) Dışa Yönelik İzin ver Dhcp TCP 68 67
Çekirdek Ağ - DNS (UDP-Out) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe UDP Tüm Bağlantı Noktaları 53
Çekirdek Ağ - DNS (UDP-Out) Dışa Yönelik İzin ver Dnscache UDP Tüm Bağlantı Noktaları 53
Çekirdek Ağ - DNS (TCP-Out) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe TCP Tüm Bağlantı Noktaları 53
Çekirdek Ağ - DNS (TCP-Out) Dışa Yönelik İzin ver Dnscache TCP Tüm Bağlantı Noktaları 53
NSCI Sondası (TCP-Out) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe TCP Tüm bağlantı noktaları 80
NSCI Sondası - DNS (TCP-Out) Dışa Yönelik İzin ver NlaSvc TCP Tüm bağlantı noktaları 80
Windows Saati (UDP-Giden) Dışa Yönelik İzin ver %SystemRoot%\system32\svchost.exe TCP Tüm bağlantı noktaları 80
Windows Zaman Sonda - DNS (UDP-Out) Dışa Yönelik İzin ver W32Time UDP Tüm bağlantı noktaları 123
Teslim İyileştirme (TCP-In) Gelen Trafik İzin ver %SystemRoot%\system32\svchost.exe TCP 7680 Tüm bağlantı noktaları
Teslim İyileştirme (TCP-In) Gelen İstek İzin ver DoSvc TCP 7680 Tüm bağlantı noktaları
Teslim İyileştirme (UDP-In) Gelen İzin ver %SystemRoot%\system32\svchost.exe UDP (Kullanıcı Datagram Protokolü) 7680 Tüm bağlantı noktaları
Teslim İyileştirme (UDP-In) Giriş İzin ver DoSvc UDP 7680 Tüm bağlantı noktaları

Not

Microsoft Defender Güvenlik Duvarı yapılandırmasında her kural için tanımlanmış iki kural vardır. Gelen ve giden kuralları Windows Hizmetleri'ne kısıtlamak için( örneğin DNS İstemcisi, hizmet adı, DNSCache ve yürütülebilir yol, C:\Windows\System32\svchost.exe), Grup İlkesi kullanılarak mümkün olan tek bir kural yerine ayrı bir kural olarak tanımlanmalıdır.

İzin verilen ve engellenen hizmetleriniz için gerektiğinde hem gelen hem de giden kuralların yönetiminde ek değişiklikler yapabilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarı yapılandırma hizmeti.

URL kilit proxy'si

Kısıtlayıcı URL trafik yönetimi şunları içerir:

  • Seçili Azure ve Azure Cloud Shell dahil Microsoft hizmetleri dışındaki tüm giden trafiği ve self servis parola sıfırlamaya izin verme özelliğini reddedin.
  • Privileged profili, aşağıdaki URL Lock Proxy yapılandırmasını kullanarak cihazın bağlanabileceği İnternet üzerindeki uç noktaları kısıtlar.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride listesinde listelenen uç noktalar, Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak ve Azure veya Office 365 yönetim arabirimlerine erişmek için gereken uç noktalarla sınırlıdır. Diğer bulut hizmetlerini genişletmek için yönetim URL'sini listeye ekleyin. Bu yaklaşım, ayrıcalıklı kullanıcıları İnternet tabanlı saldırılara karşı korumak için daha geniş İnternet erişimini sınırlandırmak için tasarlanmıştır. Bu yaklaşımın çok kısıtlayıcı olduğu kabul edilirse ayrıcalıklı rol için aşağıdaki yaklaşımı kullanmayı göz önünde bulundurun.

Bulut için Microsoft Defender Uygulamalarında, kısıtlanmış URL listesi yerine onaylı URL'leri etkinleştirin (çoğuna izin ver).

Rol dağıtımlarımızda Kurumsal ve Özel dağıtımlarda, tüm web taramasının kesin olarak reddedilmesinin istenmediği durumlarda, Microsoft Defender for Cloud Apps gibi bir bulut erişim güvenlik aracı (CASB) kullanarak riskli ve sorgulanabilir web sitelerine erişimin engellenmesi önerilir. Çözüm, seçilmiş uygulamaları ve web sitelerini engellemenin basit bir yolunu ele alır. Bu çözüm, Engelleme Listesi 'ni (DBL) koruyan Spamhaus Projesi gibi sitelerden blok listesine erişim sağlamaya benzer: engelleme siteleri için uygulanacak gelişmiş bir kural kümesi olarak kullanmak için iyi bir kaynaktır.

Çözüm size aşağıdakileri sağlar:

  • Görünürlük: tüm bulut hizmetlerini algılama; her birine bir risk derecelendirmesi atamak; oturum açabilen tüm kullanıcıları ve Microsoft dışı uygulamaları tanımlama
  • Veri güvenliği: hassas bilgileri (DLP) tanımlama ve denetleme; içerikte sınıflandırma etiketlerine yanıt verme
  • Tehdit koruması: uyarlamalı erişim denetimi (AAC) sunar; kullanıcı ve varlık davranışı analizi (UEBA) sağlama; kötü amaçlı yazılımları azaltma
  • Uyumluluk: Bulut idaresini göstermek için raporlar ve panolar sağlama; veri yerleşimi ve mevzuat uyumluluğu gereksinimlerine uymaya yönelik yardım çabaları

Riskli URL'lere erişimi engellemek için Bulut için Defender Uygulamalarını etkinleştirin ve Defender ATP'ye bağlanın:

  • Microsoft Defender Güvenlik Merkezi> Ayarlar > Gelişmiş özellikler sekmesinde, Microsoft Defender for Cloud Apps tümleştirmesini >AÇIK konumuna getirin
  • Microsoft Defender Güvenlik Merkezi Ayarlar Gelişmiş özelliklerde, Özel ağ göstergelerini AÇIK yapın.
  • Microsoft Defender for Cloud Apps portalı'nda> Ayarlar > Uç Nokta için Microsoft Defender > Uygulama erişimini zorla seçeneğini belirleyin

Yerel uygulamaları yönetme

Güvenli iş istasyonu, üretkenlik uygulamaları dahil olmak üzere yerel uygulamalar kaldırıldığında gerçekten sağlamlaştırılmış duruma geçer. Burada, kod depolarını yönetmek üzere GitHub için Azure DevOps bağlantısına izin vermek için Visual Studio Code ekleyebilirsiniz.

Özel uygulamalar için Şirket Portalı yapılandırma

Şirket Portalı Intune tarafından yönetilen bir kopyası, güvenli iş istasyonlarının kullanıcılarına gönderebileceğiniz ek araçlara isteğe bağlı erişim sağlar.

Güvenli modda uygulama yüklemesi, Şirket Portalı tarafından teslim edilen yönetilen uygulamalarla sınırlıdır. Ancak Şirket Portalı yüklemek için Microsoft Store'a erişim gerekir. Güvenli çözümünüzde, Windows 10 Şirket Portalı uygulamasını Autopilot tarafından sağlanan cihazlar için ekler ve atarsınız.

Not

Şirket Portalı uygulamasını Autopilot profilini atamak için kullanılan Güvenli İş İstasyonu Cihaz Etiketi grubuna atadığınızdan emin olun.

Intune kullanarak uygulamaları dağıtma

Bazı durumlarda güvenli iş istasyonunda Microsoft Visual Studio Code gibi uygulamalar gereklidir. Aşağıdaki örnek, Microsoft Visual Studio Code'u Güvenli İş İstasyonu Kullanıcıları güvenlik grubundaki kullanıcılara yüklemeye yönelik yönergeler sağlar.

Visual Studio Code bir EXE paketi olarak sağlandığından, .intunewin kullanılarak Microsoft Intune kullanılarak dağıtım için biçim dosyası olarak paketlenmesi gerekir.

Microsoft Win32 İçerik Hazırlama Aracı'nı yerel olarak bir iş istasyonuna indirin ve C:\Packages gibi paketleme için bir dizine kopyalayın. Ardından C:\Packages altında bir Kaynak ve Çıkış dizini oluşturun.

Microsoft Visual Studio Code'u paketleme

  1. Windows 64 bit için visual studio code çevrimdışı yükleyicisini indirin.
  2. İndirilen Visual Studio Code exe dosyasını şuraya kopyalayın: C:\Packages\Source
  3. Bir PowerShell konsolu açın ve C:\Packages konumuna gidin
  4. .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 yazın
  5. Yeni çıkış klasörünü oluşturmak için yazın Y . Visual Studio Code için intunewin dosyası bu klasörde oluşturulur.

VS Code'ı Microsoft Intune'a yükleme

  1. Microsoft Intune yönetim merkezindeUygulamalar>Windows>Ekle
  2. Uygulama türünü seçin altında Windows uygulaması (Win32) seçeneğini belirleyin
  3. Uygulama paketi dosyasını seçe tıklayın, Bir dosya seçe tıklayın ve ardından C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 içinden VSCodeUserSetup-x64-1.51.1.intunewin öğesini seçin. Tamam’a tıklayın.
  4. "Ad alanına Visual Studio Code 1.51.1 yazın"
  5. Açıklama alanına Visual Studio Code için bir açıklama girin
  6. Yayımcı Alanına Microsoft Corporation Girin
  7. Logo için resmi indirin https://jsarray.com/images/page-icons/visual-studio-code.png ve seçin. İleri'yi seçin
  8. VSCodeSetup-x64-1.51.1.exe /SILENT değerini Install komut alanına girin
  9. C:\Program Files\Microsoft VS Code\unins000.exe öğesini Uninstall komutu alanına girin
  10. "Cihaz Yeniden Başlatma davranışı açılan listesinden Dönüş kodlarına göre davranışı belirle'yi seçin." İleri'yi seçin
  11. İşletim sistemi mimarisi onay kutusu açılan listesinden 64 bit'i seçin
  12. Minimum işletim sistemi açılır listesinden Windows 10 1903'ü seçin. İleri'yi seçin
  13. Kurallar formatı açılır listesinden Algılama kurallarını el ile yapılandır 'ı seçin
  14. Ekle'ye tıklayın ve ardından Kural türü açılır listesinden Dosya'yı seçin
  15. Path alanına C:\Program Files\Microsoft VS Code girin
  16. unins000.exe ifadesini Dosya veya klasör alanına girin
  17. Açılan listeden Dosya veya klasör var'ı seçin, Tamam'ı ve ardından İleri'yi seçin
  18. Bu pakette bağımlılık olmadığından İleri'yi seçin
  19. Kayıtlı cihazlar için kullanılabilir altında Grup Ekle'yi seçin ve Privileged Users grubunu ekleyin. Grubu onaylamak için Seç'e tıklayın. İleri'yi seçin
  20. Oluştur seçeneğine tıklayın

Özel uygulamalar ve ayarlar oluşturmak için PowerShell kullanma

Önerdiğimiz bazı yapılandırma ayarları vardır, bunların arasında PowerShell kullanılarak ayarlanması gereken iki Defender for Endpoint önerisi de bulunmaktadır. Bu yapılandırma değişiklikleri Intune'daki ilkeler aracılığıyla ayarlanamaz.

Konak yönetimi özelliklerini genişletmek için PowerShell'i de kullanabilirsiniz. GitHub'dan PAW-DeviceConfig.ps1 betiği, aşağıdaki ayarları yapılandıran örnek bir betiktir:

  • Internet Explorer'ı kaldırır
  • PowerShell 2.0'ı kaldırır
  • Windows Medya Oynatıcı kaldırır
  • Çalışma Klasörleri İstemcisini Kaldırır
  • XPS Yazdırmayı Kaldırır
  • Hazırda Beklet'i etkinleştirir ve yapılandırır
  • AppLocker DLL kural işlemeyi etkinleştirmek için kayıt defteri düzeltmesi uygular
  • Endpoint Manager kullanılarak ayarlanamayan iki Uç Nokta için Microsoft Defender önerisi için kayıt defteri ayarlarını uygular.
    • Bir ağın konumunu ayarlarken kullanıcıların yükseltmesini gerektir
    • Ağ kimlik bilgilerinin kaydedilmesini engelleme
  • Ağ Konumunu Devre Dışı Bırakma Sihirbazı - Kullanıcıların ağ konumunu Özel olarak ayarlamasını önler ve bu nedenle Windows Güvenlik Duvarı'nda kullanıma sunulan saldırı yüzeyini artırır
  • Windows Saati'ni NTP kullanacak şekilde yapılandırıp Otomatik Saat hizmetini Otomatik olarak ayarlar
  • Cihazı kullanıma hazır, ayrıcalıklı bir iş istasyonu olarak kolayca tanımlamak için masaüstü arka planını indirir ve belirli bir görüntüye ayarlar.

GitHub'dan PAW-DeviceConfig.ps1 betiği.

  1. Betik PAW-DeviceConfig.ps1'i yerel bir cihaza indir.
  2. Azure portalına gidin. Microsoft Intune, Cihaz yapılandırma, PowerShell komut dosyaları ve Ekle seçeneklerine göz atın. v Betik için bir Ad sağlayın ve Betik konumunu belirtin.
  3. Yapılandır'yı seçin.
    1. Oturum açmış kimlik bilgilerini kullanarak bu betiği çalıştırma seçeneğini Hayır olarak ayarlayın.
    2. Tamam'ı seçin.
  4. Oluştur'u belirleyin.
  5. Atamaları Seç>Grupları Seç
    1. Güvenli İş İstasyonları güvenlik grubunu ekleyin.
    2. Kaydet'i seçin.

dağıtımınızı ilk cihazınızla doğrulama ve test etme

Bu kayıt, fiziksel bir bilgi işlem cihazı kullandığınızı varsayar. Satın alma sürecinin bir parçası olarak OEM, Bayi, dağıtımcı veya iş ortağının cihazları Windows Autopilot'a kaydetmesi önerilir.

Ancak test için bir test senaryosu olarak Sanal Makineler kurmak mümkündür. Ancak bu istemciye katılma yöntemine izin vermek için kişisel olarak katılmış cihazların kaydının düzeltilmesi gerekir.

Bu yöntem, daha önce kaydedilmemiş Sanal Makineler veya fiziksel cihazlar için çalışır.

  1. Cihazı başlatın ve kullanıcı adı iletişim kutusunun sunulmasını bekleyin
  2. Komut istemini görüntülemek için basın SHIFT + F10
  3. PowerShell yazın, ardından Enter tuşuna basın
  4. Set-ExecutionPolicy RemoteSigned yazın, ardından Enter tuşuna basın
  5. Install-Script Get-WindowsAutopilotInfo yazın, ardından Enter tuşuna basın
  6. PATH ortam değişikliğini kabul etmek için Enter yazın Y ve enter tuşuna basın
  7. NuGet sağlayıcısını yüklemek için Y yazın ve Enter tuşuna basın
  8. Depoya güvenmek için yazın Y
  9. Tür Çalıştırması Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Sanal Makineden veya Fiziksel cihazdan CSV'yi kopyalama

Cihazları Autopilot'a aktarma

  1. Microsoft Intune yönetim merkezinde, Cihazlar>Windows Cihazlar>Windows kaydı>Cihazlar

  2. İçeri Aktar'ı seçin ve CSV dosyanızı seçin.

  3. Bekleyin: Group Tag öğesinin PAW olarak güncellenmesini ve Profile Status öğesinin Assigned olarak değiştirilmesini.

    Not

    Grup Etiketi, Cihazı grubunun bir üyesi yapmak için Güvenli İş İstasyonu dinamik grubu tarafından kullanılır,

  4. Cihazı Güvenli İş İstasyonları güvenlik grubuna ekleyin.

  5. Yapılandırmak istediğiniz Windows 10 cihazında Windows Ayarları>Güncelleştirme ve Güvenlik>Kurtarma bölümüne gidin.

    1. Başlarken seçeneğini Bu bilgisayarı sıfırla altında seçin.
    2. Cihazı sıfırlamak ve yapılandırılan profil ve uyumluluk ilkeleriyle yeniden yapılandırmak için istemleri izleyin.

Cihazı yapılandırdıktan sonra bir gözden geçirmeyi tamamlayın ve yapılandırmayı denetleyin. Dağıtımınıza devam etmeden önce ilk cihazın doğru yapılandırıldığını onaylayın.

Cihaz atama

Cihazları ve kullanıcıları atamak için, seçili profilleri güvenlik grubunuzla eşlemeniz gerekir. Hizmet için izin gerektiren tüm yeni kullanıcıların da güvenlik grubuna eklenmesi gerekir.

Güvenlik olaylarını izlemek ve yanıtlamak için Uç Nokta için Microsoft Defender kullanma

  • Güvenlik açıklarını ve yanlış yapılandırmaları sürekli gözlemleyin ve izleyin
  • Vahşi yaşamda dinamik tehditlere öncelik vermek için Uç Nokta için Microsoft Defender kullanma
  • güvenlik açıklarının uç noktada algılama ve yanıtlama (EDR) uyarılarıyla bağıntısını sağlayın
  • Araştırma sırasında makine düzeyindeki güvenlik açığını belirlemek için panoyu kullanma
  • Düzeltmeleri Intune'a gönderme

Microsoft Defender Güvenlik Merkezi yapılandırın. Tehdit ve Güvenlik Açığı Yönetimi panosu genel bakışı sayfasında yönergeleri kullanma.

Gelişmiş Tehdit Avcılığı kullanarak uygulama etkinliğini izleme

Özelleştirilmiş iş istasyonundan başlayarak AppLocker, bir iş istasyonundaki uygulama etkinliğini izlemek için etkinleştirilir. Varsayılan olarak Uç Nokta için Defender, AppLocker olaylarını yakalar ve Hangi uygulamaların, betiklerin, DLL dosyalarının AppLocker tarafından engellendiğini belirlemek için Gelişmiş Tehdit Avcılığı Sorguları kullanılabilir.

Not

Özelleştirilmiş ve Ayrıcalıklı iş istasyonu profilleri AppLocker ilkelerini içerir. İlkelerin dağıtımı, istemcideki uygulama etkinliğini izlemek için gereklidir.

Microsoft Defender Güvenlik Merkezi Gelişmiş Tehdit Avcılığı bölmesinde AppLocker olaylarını döndürmek için aşağıdaki sorguyu kullanın

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

İzleme

  • Pozlama Puanınızı nasıl gözden geçireceğinizi öğrenin
  • Güvenlik önerisini gözden geçirin
  • Güvenlik düzeltmelerini yönetme
  • uç noktada algılama ve yanıtlama yönetme
  • Intune profil izleme ile profilleri izleyin.

Sonraki adımlar

  • Last updated on