Kurumsal iş cihazları için Dev Drive güvenlik ilkesini yapılandırma

Kuruluş düzeyindeki yöneticiler genellikle bir kuruluştaki birçok farklı Windows cihazında güvenliği yönetmekle sorumludur. Yeni Windows sürümlerinde kullanılabilir duruma geldikçe yeni özelliklerin etkinleştirilip etkinleştirilmediğini denetleyebilen ilkeleri yapılandırmanın birden çok yolu vardır. Bu kılavuz, Windows 11 Dev Drive depolama birimi özellikleri hakkında önemli bilgileri ve geliştiricilerin dosya sistemi filtreleri ekleme üzerinde güvenlik ve denetim sağlarken performans açısından iyileştirilmiş depolama biçimini kullanmasını sağlamak üzere kuruluşunuz için Grup İlkesi'ni yapılandırmayı kapsar.

Grup İlkesi'ni etkinleştirme yönergelerini tercih ettiğiniz ilke yönetim aracını kullanarak aşağıda bulabilirsiniz:

• Microsoft Intune,
• Microsoft Configuration Manager (ConfigMgr, eski adıyla MEMCM/SCCM) veya
• Windows 11 Yerel Grup İlkesi Düzenleyicisi.

Önkoşullar

• Windows 11, Derleme #10.0.22621.2338 veya üzeri (Windows güncelleştirmelerini denetleyin)
• 16 gb bellek önerin (en az 8 gb)
• En az 50 gb boş disk alanı
• Geliştirme Sürücüleri tüm Windows SKU sürümlerinde kullanılabilir.

Geçici kurumsal özellik denetimi Dev Drive'ı devre dışı bırakır

Windows 11 için sürekli yenilik sağlamak üzere aylık toplu güncelleştirme ile yeni özellikler ve iyileştirmeler kullanıma sunulmuştur. Kuruluşlara planlama ve hazırlık için zaman tanımak için bu yeni özelliklerden bazıları Windows 11'de Geçici kurumsal özellik denetimi kullanılarak varsayılan olarak geçici olarak kapatılır.

Windows güncelleştirmeleri ilkeler tarafından yönetilen cihazlar için Dev Drive otomatik olarak devre dışı bırakılır. Geliştirme Sürücüsü oluşturma özelliğini devre dışı bırakmak, güvenlik yöneticilerinin yeni ilke güncelleştirmelerine karar vermeleri ve dağıtmaları için yalnızca geçici bir süre sağlar. Bu ilke güncelleştirmelerini belirleme ve yapılandırma yönergeleri aşağıda özetlenmiştir.

Dev Drive depolama etkinleştirme ve virüsten koruma filtresi güvenliği için Grup İlkesini belirleme

Grup İlkesi, kuruluş yöneticilerinin iş cihazlarının ayarlarını yönetmesine ve kullanıcı hesaplarının (yerel yöneticiler) iş ortamında hangi ayar değişiklikleri yapmasına izin verileceğini denetlemesine olanak tanıyan bir Windows özelliğidir.

Hem Microsoft Defender hem de üçüncü taraf virüsten koruma filtreleri de dahil olmak üzere virüsten koruma filtreleri varsayılan olarak bir Dev Drive'a eklenir. Dev Drive depolama birimleri için varsayılan ayarlar, yerel cihaz yöneticilerinin hangi filtrelerin eklendiğini denetlemesine de olanak sağlar. Bu, yerel bir cihaz yöneticisinin sistemi varsayılan virüsten koruma filtrelerini kaldıracak şekilde yapılandırabileceği ve böylece Dev Drive'a hiçbir virüsten koruma filtresi eklenmeyebileceği anlamına gelir. Bu bir sorunsa, Dev Drive etkinleştirildiğinde virüsten koruma filtrelerinin bağlı kalmasını sağlamak için Grup İlkesi yapılandırılabilir. Ayrıca, izin verilen bir dosya sistemi filtre listesi tanımlanabilir.

Dev Drive'ı etkinleştirmek için Grup İlkesi'ni güncelleştirme

Dev Drive'ı Etkinleştir ilke ayarları şunlardır:

• Yapılandırılmadı: Varsayılan olarak, Grup İlkesi'nde bir kuruluş yöneticisi tarafından etkinleştirilene kadar Geçici kurumsal özellik denetim ilkesi altında Dev Drive depolama birimi seçeneği kapatılır.
• Etkin: Etkinleştirme, Dev Drive depolama birimleri oluşturma seçeneğini açar.
• Seçenekler - Virüsten koruma filtresinin Dev Drive'ları korumasına izin ver: Geliştirici senaryolarında performans için en iyi duruma getirilmiş Geliştirme Sürücüleri, yerel yöneticinin (kullanıcı hesabı) hangi dosya sistemi filtrelerinin eklendiğini seçmesine olanak tanır. Bu, "Virüsten koruma filtresinin Dev Drives'ı korumasına izin ver" seçeneği işaretli olmadığı sürece yerel yöneticilerin varsayılan virüsten koruma özelliklerini ayırmasına da olanak tanır. Bu seçeneğin işaretlenmesi, varsayılan virüsten koruma filtrelerini bağlı kalmaya zorlar.
• Devre dışı: Bu ayarın devre dışı bırakılması, Dev Drive depolama birimleri oluşturma ve kullanma özelliğini kapatır.

Geliştirme Sürücüsü filtre bağlama ilkesini güncelleştirme

Buna ek olarak, kuruluş yöneticilerine Bir Dev Drive'a hangi filtrelerin eklenebileceği üzerinde denetim sunan bir Dev Drive filtre ekleme ilkesi ayarı vardır. Ayarları şunlardır:

• Yapılandırılmamış: Varsayılan olarak Dev Drive, performans için optimize edilmiştir; Microsoft Defender ve üçüncü taraf virüsten koruma filtreleri eklenmiştir, ancak başka dosya sistemi filtresi yoktur. Bu varsayılan ayar, yerel yöneticilerin varsayılan virüsten koruma filtreleri dahil olmak üzere filtreler eklemesine veya ayırmasına olanak tanır. Yukarıdaki Dev Drive'ı Etkinleştir ilkesinde isteğe bağlı "Virüsten koruma filtresinin Dev Drive'ları korumasına izin ver" seçeneğinin işaretlenmesi, başka bir filtre ilkesi tanımlanmasa bile virüsten koruma filtrelerinin bağlı kalmaya zorlar.
• Etkin: Yerel yöneticilerin (kullanıcı hesapları) filtreleri eklemesine veya ayırmasına izin verilir. Filtre listesi eklemek, kuruluş yöneticilerinin (Grup İlkesi Etki Alanı düzeyinde) hangi filtrelerin eklenebileceğini tanımlamasını sağlar. Filtre listesi dahil edilmemesi, herhangi bir filtrenin eklenmesini sağlar.
• Devre dışı: Yerel yöneticilerin (kullanıcı hesapları) filtre eklemesine veya ayırmasına izin verilmez.

Dev Drive özelliğini etkinleştirmenin ve Grup İlkesi'ni güncelleştirmenin birkaç yolu vardır:

• Microsoft Intune kullanarak Grup İlkesini güncelleştirme
• Microsoft Configuration Manager kullanarak Grup İlkesini güncelleştirme
• Windows 11 Yerel Grup İlkesi Düzenleyicisi'ni kullanarak Grup İlkesini Güncelleştirme

Dev Drive için Grup İlkesi'ni güncelleştirmek için Microsoft Intune'u kullanma

Grup İlkesi'ni güncelleştirmek ve Microsoft Intune kullanarak Dev Drive'ı etkinleştirmek için):

1. Intune portalını (https://endpoint.microsoft.com) açın ve kimlik bilgilerinizle oturum açın.

2. Profil oluşturma:

   1. Cihazlar > Windows > Yapılandırma profilleri > Profil oluşturma
   2. Platform > Windows 10 ve üzerini seçin
   3. Profil türü Ayarlar kataloğu'nu > seçin

   

3. Özel bir profil adı ve açıklaması ayarlayın.

   

4. Dev Drive ile ilgili ayarları yapılandırın:

   1. Ayarlar seçicide "Geliştirme Sürücüsü" araması yapın veya "Yönetim Şablonları\Sistem\Dosya Sistemi" bölümüne gidin
   2. Dev Drive ile ilgili ilkeleri seçin: Dev Drive'ı etkinleştirme ve Virüsten koruma filtresinin Dev Drive'ı korumasına izin ver, Dev Drive filtre ekleme ilkesi ve Filtre listesi

   

5. Dev Drive politikası ayarlarını yapılandırın, Kapsam etiketleri ve Atamalarının kalan yapılandırmasını tamamlayın ve Oluştur seçin.

   

Geliştirme Sürücüsü için Grup İlkesi'ni güncelleştirmek için Microsoft Configuration Manager'ı kullanma

Grup İlkesi'ni güncelleştirmek ve Microsoft Configuration Manager'ı (ConfigMgr, eski adıYLA MEMCM/SCCM) kullanarak Dev Drive'ı etkinleştirmek için aşağıdaki PowerShell betiklerini kullanabilirsiniz. (Configuration Manager nedir?)

Configuration Manager konsolu, ağınızdaki tüm bilgisayarlarda Grup İlkesi ayarlarını güncelleştirmek için PowerShell betiklerini çalıştırmaya yönelik tümleşik bir özellik içerir.

1. Microsoft Configuration Manager konsolunu açın. Yazılım Kitaplığı>Betikler>Betik Oluştur seçin.

   

2. Betik adını (örneğin, Dev Drive demo), açıklamayı (Geliştirme Sürücüsü ayarlarını etkinleştirmek için demo yapılandırması), dili (PowerShell), zaman aşımı süresini (saniye olarak 180) girin ve şablon olarak kullanmak için aşağıdaki "Dev Drive demo" betiği örneğini yapıştırın.

   ######
   #ConfigMgr Management of Dev Drive
   #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
   #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
   ######
   
   Function Set-RegistryKeyValue{
   param (
   $KeyPath,
   $ValueName,
   $Value,
   $PropertyType,
   $LogFile
   )
   Try {
       If (!(Test-path $KeyPath)) {
       $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
       ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       Else {
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
       If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
       Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
       }
       Catch {
       $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
       Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
       }
   }
   $ExecutionTime = Get-Date
   $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
   $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
   Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
   Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
   #Set up a Dev Drive
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
   $ExecutionTime = Get-Date
   Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
   --------------------
   

3. Yeni bir betik eklerken bunu seçip onaylamanız gerekir. Onay durumu "Onay bekleniyor" olan "Onaylandı" olarak değişir.

4. Onaylandıktan sonra tek bir cihaza veya cihaz koleksiyonuna sağ tıklayın ve Betiği çalıştır'ı seçin.

   

5. Betik Çalıştırma Sihirbazı'nın komut dosyası sayfasına gelin ve listeden komut dosyanızı seçin (örneğimizde Dev Drive demo). Yalnızca onaylanan betikler görüntülenir. İleri'yi seçin ve sihirbazı tamamlayın.

Grup İlkesi ayarlarının doğru güncelleştirildiğini denetlemek için bkz. FsUtil ile ilkeleri sorgulama .

Daha fazla bilgi edinmek için bkz. Configuration Manager konsolundan PowerShell betikleri oluşturma ve çalıştırma.

Dev Drive için Grup İlkesi'ni güncelleştirmek için Windows 11 Yerel Grup İlkesi Düzenleyicisi'ni kullanma

Windows 11 Yerel Grup İlkesi Düzenleyicisi'ni kullanarak Grup İlkesi'ni güncelleştirmek ve Dev Drive'ı etkinleştirmek için:

1. Windows Denetim Masası'nda Yerel Grup İlkesi Düzenleyicisi'ni açın.

   

2. Bilgisayar Yapılandırması'nın altında Yönetim Şablonları>Sistem>Dosya Sistemi'ni seçin ve Ayar listesinde Geliştirme sürücüsünü etkinleştir'i seçin.

   

3. Grup İlkesinizde Dev Drive'ı etkinleştirmek için Etkin'i seçin.

   

Bu filtre ekleme ilkesini güncelleştirmek için Windows Denetim Masası'ndaki Yerel Grup İlkesi Düzenleyicisi'ndenDev Drive filtre ekleme ilkesi'ni seçin.

FsUtil ile sorgu ilkeleri

FSUtil, Geliştirme Sürücüsü için yapılandırılan Grup İlkesini sorgulamak için kullanılabilir. Aşağıda, şu şekilde yapılandırılmış bir Dev Drive Grup İlkesi için FsUtil sorgusunun çıktısı gösterilmektedir:

• Geliştirme Sürücüsünü Etkinleştirme
• Microsoft Defender Virüsten Koruma filtrelerinin Dev Drive'ları korumasına izin ver (WdFilter)
• FileInfo minifilter , Filtre listesine izin verilen filtre olarak eklendi

FSUtil komutunu girin:

fsutil devdrv query

Sonuç:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Bu sorgu, ekli filtreleri görmek için belirli bir Geliştirme Sürücüsünde çalıştırılabilir. Komutu belirli bir Geliştirme Sürücüsünde çalıştırmak için şu komutu girin:

fsutil devdrv query d:

Sonuç:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Ek kaynaklar

• Windows 11'de sürekli yenilik sunma (Microsoft Desteği)

• Windows 11'de geçici kurumsal özellik denetimi

• Ek Windows Update ayarlarını yönetme (Windows Dağıtımı)