Sıfır Güven Değerlendirmesi'ni kullanmaya başlama

Sıfır Güven Değerlendirmesi kiracı yapılandırmanızı denetler ve genel bakışta açıklandığı gibi güvenliği iyileştirmenin yollarını önerir.

Önkoşullar

• PowerShell 7. Yüklemek için bkz. Windows, Linux ve macOS'ta PowerShell yükleme.
• gerekli izinlere ilk kez bağlanmak ve onay vermek için Genel Yönetici olmanız gerekir.
  • Sonraki çalıştırmalar Genel Okuyucu rolünü kullanabilir.
• Sıfır Güven Değerlendirmesi'nin önceki bir sürümünü yüklediyseniz devam etmeden önce kaldırın .

PowerShell modüllerini yükleme

Değerlendirmeyi yüklemek veya güncelleştirmek ve Microsoft Graph'a ve kiracınıza bağlanmak için bu adımları izleyin.

1. Yeni bir PowerShell 7 penceresi açın.

2. Modülü yüklemek ZeroTrustAssessment için aşağıdaki komutu çalıştırın:

   Install-Module ZeroTrustAssessment -Scope CurrentUser
   

Microsoft Graph ve Microsoft Azure'a bağlanma

Sıfır Güven Değerlendirmesi modülünü çalıştırmak için Microsoft Graph ve Microsoft Azure'a bağlanırsınız. Sıfır Güven Değerlendirmesi modülü önce Microsoft Graph'a, sonra da Microsoft Azure'a bağlanır.

Microsoft Graph'a bağlanmak için şu komutu çalıştırın:

Connect-ZtAssessment

Microsoft Graph PowerShell kullanarak bağlandığınızda bu izinler istenir:

• AuditLog.Read.All
• CrossTenantInformation.ReadBasic.All
• DeviceManagementApps.Read.All
• DeviceManagementConfiguration.Read.All
• DeviceManagementManagedDevices.Read.All
• DeviceManagementRBAC.Read.All
• DeviceManagementServiceConfig.Read.All
• Directory.Read.All
• DirectoryRecommendations.Read.All
• EntitlementManagement.Read.All
• IdentityRiskEvent.Read.All
• KimlikRiskliKullanıcı.Oku.Tümünü
• Politika.Okuma.Tümü
• Politika.Okuma.KosulluErisim
• Policy.Read.PermissionGrant
• PrivilegedAccess.Read.AzureAD
• Raporlar.Okuma.Tümü
• RoleManagement.Read.All
• UserAuthenticationMethod.Read.All

Uyarı

Onay istemi yalnızca Microsoft Graph PowerShell uygulamasının bu izinlere sahip olmaması durumunda görüntülenir. Bir sonraki bağlantınızda izinleri yeniden onaylamanız gerekmez.

Microsoft Graph'ta oturum açın

1. Microsoft Graph'ta Genel Yönetici olarak oturum açın.
2. Kabul Etseçin.

Microsoft Azure'da oturum açma

Microsoft Azure oturum açma için ikinci bir pencere açılır. İstendiğinde Microsoft Azure'da Genel Yönetici olarak oturum açın.

Denetim ve oturum açma günlüklerinin dışarı aktarılıp aktarılamını denetlemek için Microsoft Azure oturum açma işlemi gereklidir. Microsoft Azure yoksa, oturum açmadan pencereyi kapatın ve uyarıyı dikkate almayın. Değerlendirme, Microsoft Azure'a dayalı testi atlar.

Birden çok aboneliğiniz varsa, istendiğinde bir kiracı ve abonelik seçin.

Değerlendirmeyi çalıştırma

Sıfır Güven Değerlendirmesi salt okunurdur. Çalışır ve tüm verileri masaüstünde yerel olarak depolar. Değerlendirme raporunu güvenli bir şekilde depolamak ve değerlendirme tamamlandıktan sonra oluşturulan klasörü ve içeriğini yerel sürücüden silmek iyi bir uygulamadır.

İlk çalıştırmada izinler için Genel Yönetici onayı sağladıktan sonra, sonraki çalıştırmalar Genel Okuyucu olarak gerçekleştirilebilir.

Değerlendirmeyi çalıştırmak için şu komutu kullanın:

Invoke-ZtAssessment

Değerlendirme sonuçları geçerli çalışma klasörüne .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlkaydeder. Değerlendirme tamamlandıktan sonra rapor varsayılan tarayıcıda otomatik olarak açılır.

Dikkat

Rapor ve dışarı aktarma klasörü, tehdit aktörlerinin avantajlarını elde etmek için kullanabilecekleri hassas kiracı bilgilerini içerir. Raporu ve klasörü yalnızca kuruluşunuzdaki yetkili personelle paylaşın.

-Path Değerlendirme raporunu depolamak için özel bir konum sağlamak için parametresini kullanın. Örneğin, aşağıdaki komut raporu klasörüne C:/MyAssessment01/ZeroTrustAssessmentReport.htmlkaydeder:

Invoke-ZtAssessment -Path C:\MyAssessment01

Tip

Büyük kiracılar için Sıfır Güven Değerlendirmesi'nin çalıştırılması 24 saatten fazla sürebilir. Değerlendirme çalışırken, uyarıları veya hataları günlüğe kaydedse bile değerlendirmeyi durdurmayın.

Değerlendirme sonuçlarını gözden geçirme

Değerlendirme çalıştırıldıktan sonra rapor varsayılan tarayıcınızda Genel Bakış sekmesini açar. Genel Bakış sekmesinde kiracıyla ilgili sıfır güven bilgileri gösterilir.

Kimlik ve Cihazlar sekmeleri, kiracıda çalıştırılacak testlerin sonuçlarının listesini gösterir. Sonuçlar, her testin Risk ve sonuç Durumunu gösterir.

Test hakkında daha fazla ayrıntı görmek için bir sonuç seçin. Ayrıntılarda nelerin test edildiği açıklanır ve kiracı yapılandırmasını ele almak için önerilen düzeltme eylemleri listelenmiştir. Her denetimde kullanılan terimlerden bazıları hakkında daha fazla ayrıntı için sözlüğümüze bakın.

Sıfır Güven Değerlendirmesi modülünü kaldırma

Sıfır Güven Değerlendirmesi modülünü kaldırmak için:

1. PowerShell modülünü kaldırın.
2. Sıfır Güven Değerlendirmesi modülünün oluşturduğu klasörü silin.

FAQs

Önceki sürümleri kaldırma

Önceki modüllerin tüm sürümlerinin kaldırıldığından emin olmak için aşağıdaki komutları çalıştırın

Uninstall-Module ZeroTrustAssessment -Force -AllVersions

PowerShell'i yeniden başlatın ve en son sürümü yükleyin.

Microsoft.Graph.Authentication dosyası veya derlemesi yüklenemedi

Microsoft Graph PowerShell'in çakışan sürümleri yüklü olduğunda bu hata oluşur.

Bu hatayı düzeltmek için sisteminizde yüklü olan tüm Microsoft Graph PowerShell modüllerini kaldırmanızı öneririz. Temizlemeyi çalıştırmak için uninstall-graph.merill.net gibi bir yardımcı modül kullanabilirsiniz.

Microsoft Graph'ı kaldırırken Sıfır Güven Değerlendirmesi'nin tüm sürümlerini de kaldırmanız, PowerShell'i yeniden başlatmanız ve ardından en son sürümü yüklemeniz gerekir.

Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph

Betiğin ne yaptığını nasıl bilebilirim?

Bu değerlendirmenin kodu açık kaynaktır. adresinden https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell inceleyin.

"'DuckDB.NET.Data.DuckDBConnectionStringBuilder' için tür başlatıcı bir özel durum oluşturdu" istisnasını neden aldım?

Yeni bir Windows yüklemesinde aşağıdaki hatayı görebilirsiniz:

'DuckDB.NET.Data.DuckDBConnectionStringBuilder' için tür başlatıcısı bir istisna fırlattı. İç özel durum: 'duckdb' DLL'si veya bağımlılıklarından biri yüklenemiyor: Belirtilen modül bulunamadı. (0x8007007E) İç özel durum türü: DllNotFoundException

Bu hata, içermeyen Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64bir sistemde çalıştırdığınız için oluşur. VCRedist genellikle Microsoft Office veya Microsoft Entra Connect Sync gibi Microsoft ürünlerini yüklediğinizde yüklenir. Yeni bir cihaz kullanıyorsanız bu bileşeni el ile yüklemeniz gerekebilir. Bkz . En son Microsoft Visual C++ Yeniden Dağıtılabilir sürümü.

ARM64 cihazlarında Windows desteği şu anda kullanılamıyor.

Nasıl destek alabilirim?

Sıfır Güven Değerlendirmesi GitHub deposunda destek sorunları oluşturun.

İlgili içerik

• Sıfır Güven değerlendirmesi terminolojisi
• Microsoft Entra'yi daha fazla güvenlik için yapılandırma
• Microsoft Intune'u daha fazla güvenlik için yapılandırma