ConfigMgr ile RBAC: Güvenlik Rolleri ve Yönetimi
Microsoft Configuration Manager (ConfigMgr veya SCCM), kurumların geniş kapsamlı sistem yönetimi ve güvenlik uygulamalarını etkinleştiren güçlü bir araçtır. Bu araç, yalnızca yazılım dağıtımı, yama yönetimi ve envanter gibi işlevleri içermez, aynı zamanda erişim ve yetkilendirme işlemlerini de içerir. ConfigMgr, Rol Tabanlı Erişim Kontrolü (RBAC) özelliği sayesinde kullanıcı erişimini belirli rollere göre sınırlandırarak güvenliği ve düzeni sağlar.
RBAC Nedir ve Neden Önemlidir?
RBAC, kullanıcıların yalnızca görevlerine uygun olan kaynaklara erişimini sağlayarak güvenliği artıran bir erişim kontrol mekanizmasıdır. ConfigMgr’de RBAC kullanarak, farklı rollerle erişimi sınırlayabilir ve her kullanıcının yalnızca yetkilendirildiği görevleri yerine getirmesini sağlayabilirsiniz. Bu sayede, sistemde yetkisiz işlemlerin yapılmasını engelleyebilir, veri güvenliğini artırabilir ve yönetim yükünü azaltabilirsiniz.
ConfigMgr RBAC Güvenlik Rolleri
ConfigMgr içinde çeşitli güvenlik rolleri vardır. Her rol, belirli işlevler ve yetkiler sağlar. Aşağıda en yaygın kullanılan rolleri ve bu rollerin sağladığı erişim yetkilerini inceleyeceğiz:
- Uygulama Yöneticisi (Application Administrator)
- Uygulama Dağıtım Yöneticisi ve Uygulama Yazarı rollerinin tüm yetkilerine sahiptir
- Sorguları yönetebilir
- Site ayarlarını görüntüleyebilir
- Koleksiyonları yönetebilir
- Kullanıcı cihaz ilişkilendirme ayarlarını düzenleyebilir
- App-V sanal ortamlarını yönetebilir
- Uygulama Yazarı (Application Author)
- Uygulamaları oluşturma, düzenleme ve kullanımdan kaldırma yetkilerine sahiptir
- Paketleri ve App-V sanal ortamlarını yönetebilir
- Uygulama Dağıtım Yöneticisi (Application Deployment Manager)
- Uygulamaları dağıtma yetkisine sahiptir
- Uygulama listesini görüntüleyebilir
- Dağıtımları, uyarıları, şablonları ve programları yönetebilir
- Koleksiyonları ve üyelerini görüntüleyebilir
- Durum mesajlarını, sorguları ve koşullu dağıtım kurallarını inceleyebilir
- Varlık Yöneticisi (Asset Manager)
- Varlık İstihbaratı Senkronizasyon Noktasını yönetir
- Yazılım ve donanım envanterini kontrol eder
- Ölçüm kurallarını düzenler
- Şirket Kaynak Erişim Yöneticisi (Company Resource Access Manager)
- Wi-Fi, VPN ve sertifika profilleri gibi şirket kaynak erişim profillerini oluşturur
- Bu profilleri kullanıcı ve cihazlara dağıtır
- Uyumluluk Ayarları Yöneticisi (Compliance Settings Manager)
- Uyumluluk ayarlarını tanımlar ve izler
- Yapılandırma öğeleri ve temel çizgilerini oluşturur, düzenler ve siler
- Uyumluluk değerlendirmesi başlatabilir
- Uyumsuz bilgisayarlar için düzeltme işlemleri yapabilir
- Endpoint Protection Yöneticisi
- Güvenlik politikalarını tanımlar ve izler
- Endpoint Protection politikalarını oluşturur, düzenler ve siler
- Politikaları koleksiyonlara dağıtır
- Uyarılar oluşturur ve durumu izler
- Tam Yönetici (Full Administrator)
- Configuration Manager’daki tüm yetkilere sahiptir
- İlk kurulumu yapan yönetici otomatik olarak bu role atanır
- Altyapı Yöneticisi (Infrastructure Administrator)
- Sunucu altyapısını oluşturma, silme ve düzenleme yetkilerine sahiptir
- Geçiş görevlerini gerçekleştirebilir
- İşletim Sistemi Dağıtım Yöneticisi (Operating System Deployment Manager)
- İşletim sistemi görüntülerini oluşturur ve dağıtır
- Kurulum paketlerini, görev sıralarını, sürücüleri ve önyükleme görüntülerini yönetir
- Operasyon Yöneticisi (Operations Administrator)
- Güvenlik yönetimi hariç tüm Configuration Manager işlemlerini gerçekleştirebilir
- Salt Okunur Analist (Read-only Analyst)
- Tüm Configuration Manager nesnelerini görüntüleme yetkisine sahiptir
- Uzak Araçlar Operatörü (Remote Tools Operator)
- Uzaktan yönetim araçlarını çalıştırma ve denetleme yetkilerine sahiptir
- Uzaktan Kontrol, Uzaktan Yardım ve Uzak Masaüstü özelliklerini kullanabilir
- AMT güç kontrol seçeneklerini yönetebilir
- Güvenlik Yöneticisi (Security Administrator)
- Yönetici kullanıcıları ekleyip kaldırabilir
- Güvenlik rollerini oluşturur, düzenler ve siler
- Güvenlik kapsamlarını ve koleksiyonları yönetir
- Yazılım Güncelleme Yöneticisi (Software Update Manager)
- Yazılım güncellemelerini tanımlar ve dağıtır
- Güncelleme gruplarını ve dağıtımlarını yönetir
- NAP için yazılım güncellemelerini etkinleştirir
RBAC Güvenlik Rolleri Nasıl Yapılandırılır?
ConfigMgr RBAC güvenlik rollerini yapılandırmak oldukça basittir. Bu adımları takip ederek kullanıcılar için özel erişim izinleri tanımlayabilirsiniz:
Rol Atama:
ConfigMgr konsolunda Administration>Overview > Security > Security Roles, kısmına erişerek yeni bir kullanıcıya mevcut rollerden birini atayabilirsiniz veya yeni bir rol oluşturabilirsiniz.
Güvenlik Kapsamlarını Belirleme:
Kullanıcıya atanan rol ile birlikte hangi nesnelere erişebileceğini belirlemek için güvenlik kapsamlarını da tanımlayabilirsiniz. Bu, ConfigMgr içinde daha sınırlı erişim gerektiren kullanıcılar için idealdir.
Özel Roller Oluşturma:
ConfigMgr’de belirli bir görevi daha özelleştirilmiş bir şekilde sınırlamak istiyorsanız, özel bir rol oluşturabilirsiniz. Bu sayede belirli bir işlemi yapabilecek ancak sistemin diğer işlevlerine erişimi olmayacak bir rol tanımlayabilirsiniz. Bu işlemi de özelleştirmek istediğiniz güvenlik rolüne sağ tıklayın ve Kopyala’ya tıklayın ve özelleştirin.
Bu roller sayesinde, kuruluşunuzdaki farklı görev ve sorumluluklara sahip yöneticiler için uygun yetki seviyelerini belirleyebilir ve güvenli bir yönetim yapısı oluşturabilirsiniz. Her rol, belirli görevler için özel olarak tasarlanmış izinler içerir ve bu sayede “en az ayrıcalık” prensibine uygun bir yönetim sağlanmış olur.
Bu bilgilerin faydalı olması dileğiyle…
Eline sağlık.
Teşekkür ederim.