Bilgi koruma ve bilgi sızıntısı önleme temel güvenlik konularıdır. Belirlenen risklerle başa çıkmanın birçok yolu vardır. Bu makale, bilgi sızıntısının bir numaralı kaynağını kontrol etmek için iki basit çözümü ele almaktadır.
Geleneksel Yaklaşım #1: Windows Aygıt Denetimi
USB depolama aygıtlarının ortaya çıkışından bu yana, Windows yöneticileri Windows aygıtlarına bağlı çevre birimlerini kontrol etmek için bir kayıt defteri ayarı kullanmıştır. Şekil 1’de gösterildiği gibi, kayıt defterini doğrudan güncelleyebilir veya ayarı dağıtmak için GPO’yu kullanabiliriz (Kurumsal dağıtım için daha uygundur).
Şekil 1: Çıkarılabilir Depolama Erişim Politikasını Dağıtmak İçin GPO Kullanımı
Farklı türdeki aygıtları kontrol etmek için başka kayıt defteri anahtarları da mevcuttur. Ancak anahtarın yalnızca Engelle veya İzin Ver’e izin verdiğini ve başka hiçbir şeye izin vermediğini fark edebilirsiniz. Bu yöntem çok esnek değildir. Örneğin, şirket tarafından onaylanan bazı aygıtlara izin vermek isteyebilirsiniz. Bu, Şekil 2’de gösterildiği gibi Aygıt Kısıtlamaları yerine Aygıt Yükleme Kısıtlaması ilkesini uygulayarak gerçekleştirilebilir.
Şekil: 2 Belirli donanım kimliğine erişimi kısıtlamak için Aygıt Yükleme Kısıtlama
Geleneksel Yaklaşım #2: Intune’u Windows Aygıt Denetimiyle Kullanma
Intune’un benimsenmesiyle, kişiler GPO’ları (ve diğer kayıt defteri ayarlarını) Intune yapılandırma profillerine taşıyabilir. Aynı ayar kümesi bir Intune yapılandırma profili kullanılarak dağıtılabilir. Şekil 3, böyle bir politikanın bir örneğini göstermektedir.
GPO’nun artık yürürlükte olmadığında politikalardan etkilenen temel kayıt defteri anahtarlarını geri alacağını, ancak Intune’un bunu yapmayacağını unutmayın. Bu tür kısıtlama politikasını uygularken bu gerçeği göz önünde bulundurun, çünkü ayarları geri almak için başka bir yapılandırma profili kümesini yapılandırmanız gerekebilir.
Modern Yaklaşım #3 : Defender for Endpoint ile Cihaz Denetimini Kullanma
Kurumsal bilgileri korumak ve fidye yazılımı gibi olası saldırıları önlemek için uç noktalar üzerinde daha kısıtlayıcı bir kontrol benimseme ihtiyacı olduğunda, şirketler genellikle cihaz kısıtlamayı tercih etmektedir. Güvenlik ekipleri genellikle kısıtlamaların belirli kullanıcılar veya gruplar için ne zaman kaldırılması gerektiğine dair bazı gelişmiş koşullar ortaya koyarlar. Bu, örneğin hala Donanım Kimliği tabanlı yaklaşımı kullanıyorsak politikanın yönetilmesini çok zorlaştırır. Politikaları birden çok kez kopyalamanız ve bunları farklı kişilere atamanız gerektiğini, ancak her seferinde yeni bir donanım kimliği eklemenin tüm politikaları güncellemesi gerektiğini unutmayın.
Microsoft’un çözümü, Defender for Endpoint paketinin bir parçası olan Aygıt Denetimi politikasıdır. Bu politikalar, Defender for Endpoint lisanslarıyla birlikte Defender for Endpoint’in ortamınıza dağıtılmasını gerektirir. İyi haber şu ki bu özellik Defender for Endpoint Plan 1 veya Business Plan (Microsoft 365 Business Premium’da bulunan) ile çalışır.
Geleneksel Windows aygıt kısıtlama politikaları ile Defender for Endpoint’teki Aygıt Denetimi politikaları arasındaki temel fark, Aygıt Denetimi politikasının koşulları desteklemesidir. Bu, şu gibi şeyler yapmamızı sağlar:
- USB depolama aygıtlarını yalnızca şirket ağının dışındayken engelleyin.
- Salt okunur erişime izin ver.
- Belirli cihaz markalarına/satıcılarına izin verin.
- Belirli türdeki Bluetooth cihazlarını engelleyin.
Şekil 4, USB yazma erişimini engelleyen Aygıt Denetimi politikasının bir örneğidir.
Her politikanın kritik bir ayarı, politika için hedefi tanımlamaktır. Kullanıcıları ve cihazları politika düzeyinde hedefleyebilir veya grup veya kullanıcıların SID veya Entra ID objectId’sini belirterek bireyleri hedefleyebilir veya USB depolama ortamı gibi belirli cihaz türlerini hedefleyebilirsiniz. Daha sonra her politika birden fazla giriş içerebilir ve her giriş belirli bir eylem ve erişim haklarını tanımlar. Burada dikkat edilmesi gereken bir şey, politikayı bir Entra ID grubunda hedeflerseniz, Defender for Endpoint gerektiğinde grup üyeliğini kontrol edeceğinden cihazın her zaman internet erişimi olduğundan emin olun. Bu yüzden genellikle politika içinde hedefleme yapmak yerine Şekil 5’te gösterildiği gibi atamaları kullanabilirsiniz.
Şekil 5: Bir Entra Kimlik Grubuna Aygıt Denetim Politikası Atama
Belirli kullanıcılara, aygıtlara veya gruplara USB erişimini engellemek için bir politika tanımlamak basittir. En zor kısım, tüm kullanıcılara atama yapmak yerine politikaya uygulamak istediğiniz koşulları tanımlamaktır. Bu durumda, önce yeniden kullanılabilir ayarlar oluşturmalıyız.
Yeniden kullanılabilir ayarları, Aygıt Denetimi Eylemleri uygulanırken kullanılacak bir veya daha fazla koşulu belirtmek için bir koşul grubu olarak düşünebilirsiniz. Yeniden kullanılabilir ayarlar, Windows Güvenlik Duvarı gibi diğer politikalarla birlikte kullanılabilir ve bu ayar hakkında daha fazla bilgiyi burada bulabilirsiniz . Ağ konumu, Satıcı Kimliği ve Donanım Kimliği gibi ayarların tümü, Defender for Endpoint’in Aygıt Denetimi ilkesinin uygulanıp uygulanmayacağını belirlemesine olanak tanıyan koşullar olarak kabul edilir. Bir politika eşleşmesi olursa, Defender for Endpoint ilkede tanımlanan eylemi uygular. Intune Yönetim Merkezi’nin yalnızca Şekil 6’da gösterildiği gibi Yazıcılar ve Çıkarılabilir Medya ile ilgili politikalar için yeniden kullanılabilir ayarların tanımlanmasını desteklediğini belirtmek isterim.
Şekil 6: Intune Yönetim Merkezi’nde Çıkarılabilir Depolama Yeniden Kullanılabilir Ayarlarının Eklenmesi.
Microsoft, diğer yeniden kullanılabilir ayar türlerini ancak yeniden kullanılabilir ayarları yalnızca XML ile tanımlayabilir ve Şekil 7’de gösterildiği gibi Özel Profil aracılığıyla Intune’a yükleyebilirsiniz. Tanımladığınız her grup için bir GUID oluşturmanız gerektiğini unutmayın.
Şekil 7’de gösterildiği gibi OMA URI, XML içeriği ve politika tanımlarında aynı GUID’nin kullanıldığından emin olmanız gerekir. Özel Politika ve OMA URI aracılığıyla yeni bir yeniden kullanılabilir ayar tanımlama yapabilir, PowerShell New-Guid cmdlet’i veya guidgenerator.com gibi çevrimiçi bir web sitesi aracılığıyla yeni bir GUID oluşturabilirsiniz .
Şekil 7: Özel Politika ve OMA URI aracılığıyla yeni bir yeniden kullanılabilir ayar tanımlama.
Aşağıda, kullanıcının cihazının genel bir ağa ve çıkarılabilir depolama aygıtlarına bağlı olduğu durumlarda eşleşecek yeniden kullanılabilir ayarın bir tanımı örneği verilmiştir:
OMA URI: ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b<GUID>%7d/GroupData
<Group Id="{<GUID>}" Type="Network" MatchType="MatchAll">
<DescriptorIdList>
<NetworkCategoryId>Public</NetworkCategoryId>
<PrimaryId>RemovableMediaDevices</PrimaryId>
</DescriptorIdList>
</Group>Yeniden kullanılabilir ayarları tanımlamak için özel bir politika kullanırsanız, Şekil 8’de gösterildiği gibi Aygıt Denetimi politikasını tanımlamak için özel bir politika kullanmalısınız. Aşağıda, daha önce tanımlanan yeniden kullanılabilir ayarı kullanan ve Engelle ve Denetim Reddedildi eylemini uygulayan bir örnek tanım bulunmaktadır. Aşağıda <GUID> ile işaretlenen her yer için farklı bir GUID oluşturulması gerektiğini unutmayın.
Şekil 8: Özel Profil ile Cihaz Kontrol Politikasını Tanımlama
OMA URI: ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b<GUID>%7d/RuleData
<PolicyRule Id="{<GUID-Rule>}">
<Name>Block removable storage</Name>
<IncludedIdList>
<GroupId>{<GUID-Reuseable Setting>}</GroupId>
</IncludedIdList>
<ExcludedIdList></ExcludedIdList>
<Entry Id="{<GUID-Entry1>}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>7</AccessMask>
<Entry Id="{<GUID-Entry2>}">
<Type>AuditDenied</Type>
<Options>3</Options>
<AccessMask>6</AccessMask>
</Entry>
</Entry>
</PolicyRule>Defender for Endpoint ile Device Control’ü kullanmak gelişmiş avcılık için tam destek sağlar. Bu, bağlı cihazları ve durumlarını belirlemek için Defedner for Endpoint’te Advanced Hunting’i kullanabileceğimiz anlamına gelir. Windows Device Control’ü kullanmak bazı günlükler üretebilir, ancak Windows Device Control ile ilgili günlükler yalnızca cihazın günlüğüne kaydedilir. Merkezi bir analiz gerçekleştirebilmeniz için günlüğü merkezi bir konuma toplamak için başka yollar uygulamanız gerekecektir.
Defender for Endpoint’te Cihaz Denetiminin Benimsenmesi
Firmaların Windows Device Control yerine Defender for Endpoint’te Device Control kullanmayı tercih etmelerinin temel nedenlerinden biri macOS aygıtlarına yönelik destektir. Her iki platformda da benzer bir politika seti kullanılabilir. Ancak her iki platform için de “aynı politikayı” kullanamayacağınızı unutmayın. İki farklı politika tanımlamalısınız: biri Windows uç noktası için diğeri macOS uç noktası için. Ortak nokta benzer bir sorgu yapısının desteklenmesidir ancak sözdizimi çok farklıdır çünkü macOS JSON tabanlıyken Windows XML tabanlıdır.
Defender for Endpoint ile Device Control’ü kullanmak, örneğin uzun bir donanım kimliği listesinin tutulması artık gerekmediğinden sürdürülebilirliği artırmaya yardımcı olur. Bu, ortamı yönetmeyi çok daha kolay hale getirir. Bu nedenle, Defender for Endpoint lisanslarınız varsa, uç nokta kontrol yönteminizi yeniden gözden geçirmek ve modern bir yönteme geçmek için şimdi tam zamanı 🙂
Saygılarımla.