Gelişmiş Kimlik Avı Koruması, kullanıcıları kimlik avı saldırılarından korumak için tasarlanmış Microsoft ortamlarında (Windows 10/11, Microsoft Defender) bulunan bir güvenlik özelliğidir. Kullanıcıları kimlik bilgilerini veya hassas bilgilerini tehlikeye atabilecek eylemlere karşı uyarmak için Windows Defender SmartScreen teknolojisiyle birlikte çalışmaktadır.
Aşağıdaki senaryolarda aktif olarak koruma sağlar:
Zayıf Parola Kullanımı : Kullanıcılar zayıf bir parola oluşturmaya çalıştıklarında onları uyarır.
Kimlik Bilgilerinin Platformlar Arası Yeniden Kullanılması : Saklanan Windows parolaları üçüncü taraf uygulamalarda veya web sitelerinde yeniden kullanıldığında kullanıcıları uyarır.
Kimlik Avı Sitelerini Algılama : Kullanıcılar şüpheli veya kimlik avı sitelerine bilgi girmeye çalıştıklarında onları engeller ve uyarır.
Parola Yeniden Kullanımı : Parolalar birden fazla platformda yeniden kullanıldığında uyarı verir.
Bu özellik, parola güvenliğini artırması ve kullanıcıların siber güvenlik riskleri konusunda farkındalığını artırması nedeniyle kuruluşlar açısından özellikle değerlidir .
Gelişmiş Kimlik Avı Koruması Nasıl Etkinleştirilir
Platform için “Windows 10 ve Üzeri” seçeneğini ve Profil Türü için “Ayarlar Kataloğu” seçeneğini seçiyoruz
Service Enabled: Bu seçenek, Gelişmiş Kimlik Avı Koruması’nın temel işlevini etkinleştirerek sistemin kimlik avı tehditlerine karşı kullanıcı etkinliklerini izlemesini sağlar. Etkinleştirildiğinde, kullanıcıları ve kimlik bilgilerini olası kimlik avı girişimlerinden korumak için şüpheli eylemlerin algılanmasını, engellenmesini veya uyarılarla işaretlenmesini sağlar.
Notify Unsafe App: Bu özellik, kullanıcılar güvenli olmayan veya potansiyel olarak zararlı olarak işaretlenen uygulamalarla etkileşime girdiklerinde onları bilgilendirir. Kimlik bilgilerini çalmaya, güvenlik açıklarını istismar etmeye veya hassas bilgilere erişmeye çalışabilecek uygulamaları belirleyerek kullanıcıların bu tür uygulamaları çalıştırmaktan kaçınmasına yardımcı olur.
Notify Password Reuse: Bu ayar, kullanıcıları farklı platformlar, web siteleri veya uygulamalar arasında kaydedilmiş veya bilinen parolaları yeniden kullanmaya çalışırlarsa uyarır. Kullanıcıları her hesap için benzersiz parolalar kullanmaya teşvik ederek kimlik bilgisi doldurma saldırıları gibi parola yeniden kullanımıyla ilişkili riskleri önler.
Notify Malicious: Bu seçenek, kullanıcıları kimlik avı web siteleri veya zararlı bağlantılar gibi kötü amaçlı içeriklerle karşılaştıklarında uyarır, kullanıcıların potansiyel olarak zararlı kaynaklarla etkileşime girmesini önlemeye yardımcı olmak ve kimlik bilgilerini ve verilerini korumak için gerçek zamanlı uyarılar sağlar.
Automatic Data Collection: Bu özellik, kimlik avı girişimleri ve şüpheli faaliyetlerle ilgili verilerin otomatik olarak toplanmasını sağlar. Toplanan bilgiler, tespit algoritmalarını geliştirmek, sistem korumasını iyileştirmek ve kimlik avı ve kötü amaçlı içeriklere karşı genel savunmaları güçlendirmek için kullanılır.
ve Son olarak Politikayı gruplara veya kullanıcılara atadıktan sonra oluştururuz.
Kullanıcı Deneyimi
Kullanıcı Deneyimi açısından , Gelişmiş Kimlik Avı Koruması özelliği çeşitli avantajlar ve potansiyel zorluklar sunmaktadır.
Çekirdek hizmeti etkinleştirmek, kullanıcıların kimlik avı tehditlerinden korunmasını sağlayarak, uygulamalar ve web siteleriyle etkileşim kurarken gönül rahatlığı sağlar. Özellik, arka planda çalışır ve minimum kullanıcı katılımı gerektirir; bu, bilişsel yükü azalttığı için UX’in olumlu bir yönüdür.
Güvenli olmayan uygulamalarla ilgili bildirimler kullanıcı güvenini ve farkındalığını artırır. Ancak sık veya aşırı teknik uyarılar, teknik olmayan kullanıcılar için “bildirim yorgunluğuna” veya kafa karışıklığına yol açabilir. Olumlu bir deneyim sağlamak için bildirimlerin dili ve tonu açık ve eyleme geçirilebilir olmalıdır.
Bu özellik, kullanıcıları kimlik bilgisi doldurma saldırılarından korurken güvenli şifre uygulamaları hakkında bilgilendirir. Sorunsuz bir şekilde uygulanırsa, güveni ve farkındalığı artırır. Ancak, güçlü şifreler oluşturma veya yönetme konusunda hiçbir rehberlik sağlanmazsa, şifre yeniden kullanımı için tekrarlanan uyarılar kullanıcıları hayal kırıklığına uğratabilir.
Kötü amaçlı içerikle ilgili gerçek zamanlı uyarılar, riskli eylemleri önleyerek kullanıcılara anında değer sağlar. Olumlu bir UX sürdürmek için, bu bildirimler kullanıcıları gereksiz yere alarma geçirmekten kaçınacak ve net sonraki adımları sağlayacak şekilde tasarlanmalıdır (örneğin, “Devam etmeyin” veya “Bu sitenin neden işaretlendiğini öğrenin”).
Otomatik veri toplama arka planda çalışır ve kullanıcı deneyimini doğrudan etkilemez. Ancak, hangi verilerin toplandığı ve nasıl kullanıldığı konusunda şeffaflık, kullanıcı güvenini korumak için kritik öneme sahiptir. Kullanıcılara net gizlilik politikaları sağlamak, özellik hakkındaki algılarını iyileştirir.
Gelişmiş Kimlik Avı Koruması bir kullanıcının Windows parolasını bir web sitesine veya uygulamaya girdiğini tespit ederse, kullanıcıya parolasını değiştirmesi yönünde uyarı veren bir uyarı ve istem gösterilir.
Eğer şifre sadece not defteri gibi bir uygulamaya girilmişse, koruma kullanıcının şifresini o dosyadan silmesini öneriyor.
Microsoft güvenlik sertifikaları her zaman gündemde olan bir konu olmuştur ve SC serisi Learn modülleri bu sertifikaları almak isteyen herkes için harika bir kaynaktır. Bu modüller sadece değerli bilgiler sağlamakla kalmaz, aynı zamanda kendi başlarına mükemmel eğitim araçları olarak da hizmet eder.
Bu kaynakların ne kadar değerli olduğunu, eğitimlerin ne kadar işlevsel olduğunu test etme imkanım oldu ve inanın gerçekten para ile satın alınamayacak kadar değerli bir çok eğitim bulunmakta.
Bu eğitimlere ulaşabilmeniz için aşağıda linklerini iletiyorum.
Microsoft, Windows Server 2025’in genel kullanıma sunulduğunu duyurdu. Yeni sürüm, gelişmiş güvenlik özellikleri, performans iyileştirmeleri ve bulut uyumluluğu gibi yeniliklerle, işletmelere daha güçlü ve esnek bir altyapı sağlıyor.
💡 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 𝐒𝐞𝐫𝐯𝐞𝐫 2025’in öne çıkan özelliklerini incelersek;
✔️ Windows Server 2025, siber güvenliği güçlendiren yeni özellikler sunuyor. Active Directory ve SMB (Server Message Block) protokolü geliştirmeleri sayesinde, kimlik doğrulama ve dosya paylaşımı daha güvenli hale geliyor. Ayrıca dMSA (Distributed Managed Service Account) ile hizmet hesapları daha güvenli bir şekilde yönetiliyor. Bu yeni güvenlik özellikleri, özellikle veri ihlallerine karşı koruma sağlama ve yetkisiz erişim riskini azaltma konusunda öne çıkıyor. ✔️ Yeni Windows Server sürümü, Azure Arc ile entegre çalışan Hotpatching özelliğini içeriyor. Bu özellik, sunucuların yeniden başlatılmasına gerek kalmadan güncellemelerin yapılmasını sağlıyor. SDN (Software-Defined Networking) çoklu site desteği ve merkezi ağ politikası yönetimi ile hibrit bulut ortamlarında yönetim esnekliği sunuluyor. Böylece, kurumlar hem yerel hem de bulut ortamlarını tek bir platformda yönetme avantajına sahip oluyor. ✔️Hyper-V sanallaştırma platformuna gelen GPU desteği ve NVMe (Non-Volatile Memory Express) tabanlı depolama performansındaki %60 artış sayesinde, yapay zeka ve makine öğrenimi uygulamaları için optimize edilmiş bir altyapı sunuluyor. Bu geliştirmeler, özellikle ağır veri işleme ve analitik gerektiren iş yüklerinde performans artışı sağlıyor. ✔️Depolama alanında da önemli yenilikler mevcut. Storage Spaces Direct ve ReFS (Resilient File System) sıkıştırma özellikleri ile verilerin daha verimli depolanması sağlanıyor. Ayrıca, NVMe performansındaki %60’lık iyileştirme, hızlı ve güvenilir bir depolama altyapısı sunarak iş yüklerinin daha verimli yönetilmesine olanak tanıyor. ✔️Windows Server 2025, yönetim süreçlerini kolaylaştırmak ve hızlandırmak amacıyla Windows Admin Center üzerinden güncellemeler getiriyor. Yöneticiler, sunucularını daha hızlı ve güvenilir bir şekilde yönetebilirken, PowerShell ve Azure Arc ile otomasyon seçenekleri, rutin işlemleri daha hızlı gerçekleştirmeye olanak tanıyor. ✔️Yeni sürümde, hibrit bulut desteği ile bulut tabanlı uygulamaları yerel sunucularla daha entegre çalıştırma imkanı sunuluyor. Azure Kubernetes Services (AKS) entegrasyonu, bulut uygulamaları ve konteyner yönetimi için yüksek düzeyde bir ölçeklenebilirlik sağlıyor.
🔥🔥 Windows Server 2025, güçlü güvenlik önlemleri, gelişmiş performans özellikleri ve bulut entegrasyonu ile işletmelere çok yönlü bir çözüm sunuyor. Microsoft’un bu yeni sürümü, kurumların dijital dönüşüm yolculuklarını hızlandırırken, verimlilik ve güvenliği en üst seviyeye çıkarmayı hedefliyor.
Geçtiğimiz günlerde bir uygulama yayınlamıştım. İlgili Posta linkten ulaşabilirsiniz. ( https://lnkd.in/dhdPqZcR )
Şimdi yenilikler ile Version 1.1’i yayınlıyorum.
𝐀𝐓𝐀 𝐈𝐧𝐭𝐮𝐧𝐞 𝐃𝐞𝐯𝐢𝐜𝐞 𝐂𝐡𝐞𝐜𝐤𝐞𝐫 𝐯1.1
Mevcut tenantınıza yapacağınız bir authorization işlemi sonrası kullanıcı bazlı veya cihaz bazlı veya toplu olarak tüm cihazları listeleyebileceksiniz.
Bu tool sayesinde 𝐂𝐨𝐦𝐩𝐥𝐢𝐚𝐧𝐜𝐞 𝐒𝐭𝐚𝐭𝐮𝐬 , 𝐋𝐚𝐬𝐭 𝐬𝐲𝐧𝐜 𝐝𝐚𝐭𝐞, 𝐒𝐞𝐫𝐢𝐚𝐥 𝐧𝐮𝐦𝐛𝐞𝐫 gibi ve daha da arttırılabilir bu çıktılar sayesinde cihazlarınıza erişebilecek ve aynı zamanda bu cihazlarda aksiyon alabileceksiniz. Uygulamanın ilk versiyonunda aksiyon alamıyorduk yaptığım güncelleme ile artık aksiyon da alabiliyoruz.
Nedir bu aksiyonlar ?
✔️Sync
✔️Delete
✔️Retire
✔️Wipe
Bu aksiyonları isterseniz tek bir cihaza, isterseniz toplu olarak da uygulayabilirsiniz.
🔥Güncellenen arayüz ile sayesinde daha sade ve kullanışlı hale getirildi.
Bu uygulama sayesinde, anlık olarak intune üzerinde çalışma yaparken zamandan ve efordan ciddi tasarruflar sağlamanızı amaçlıyorum.
Öncelikle,
Uygulama kayıt işlemi sağlanmalıdır.
Portal.azure.com adresine girerek “App registration” bölümüne giriniz.
Ardından açılan ekranda ‘Yeni Kayıt’ butonuna tıklayın.
Bir isim veriyoruz ve mevcut ayarlarla kaydediyoruz.
Açılan ekranda Application ID ve Tenant ID bilgilerini not ediyoruz. Daha sonra sol panelde bulunan API Permisson bölümüne girerek izinleri tanımlıyoruz.
macOS cihazları kurumsal ortamlara giderek daha fazla entegre hale geldikçe, güvenliklerinin sağlanması çok önemli bir hal aldı. Kritik güvenlik katmanlarından biri, gelen ağ trafiğini kontrol eden ve yetkisiz erişimi engellemeye yardımcı olan macOS Firewall’dur. Microsoft Intune, kayıtlı tüm macOS cihazlarında güvenlik duvarını etkinleştirme de dahil olmak üzere güvenlik ayarlarını yönetme ve yapılandırma yolu sağlar. Bu blog yazısında, Intune kullanarak macOS güvenlik duvarını etkinleştirme ve yapılandırma adımlarında size rehberlik edeceğim.
macOS’ta güvenlik duvarı, sisteminizi yetkisiz erişim ve hizmet engelleme saldırılarından koruyan önemli bir güvenlik özelliğidir. Ayrıca, Gizli Mod (Stealth Mode) adlı bir ayarı da içerir. Bu ayar etkinleştirildiğinde, macOS bilgisayarınız ICMP/Ping gibi sorgu taleplerine yanıt vermeyerek gizli kalır, ancak yetkilendirilmiş uygulamalara gelen istekleri kabul etmeye devam eder.
macOS güvenlik duvarı, cihazınız ve potansiyel kötü amaçlı gelen ağ bağlantıları arasında bir koruma katmanı oluşturur. Güvenlik duvarını yapılandırarak:
İstenmeyen erişimi kısıtlayabilirsiniz.
Yalnızca güvenilir uygulamaların ağ üzerinden iletişim kurmasına izin verebilirsiniz.
Şirket ortamınızdaki genel ağ güvenliğini artırabilirsiniz.
Varsayılan olarak, macOS’un yerleşik güvenlik duvarı devre dışıdır çünkü Apple, sistemin güvenliğini bir dizi katmanlı koruma ile sağlar. Sistem bütünlüğü koruması, sandboxing, Gatekeeper ve XProtect gibi özellikler, zararlı yazılımların çalışmasını ya da başlatılmasını önlemek amacıyla bu koruma katmanlarını sunar. Özel bir ağ kullanıyorsanız ve bu ağ, dahili bir güvenlik duvarı bulunan bir yönlendirici (router) tarafından korunuyorsa, birçok kullanıcı macOS güvenlik duvarını etkinleştirmeye ihtiyaç duymayabilir.
Ancak, macOS güvenlik duvarını etkinleştirmek, özellikle kullanıcıların sıkça halka açık veya güvensiz ağlara bağlandığı durumlarda ekstra bir güvenlik katmanı sağlar. Bu, Mac üzerindeki potansiyel olarak savunmasız hizmetlere gelen bağlantıları engelleyebilir.
Apple’ın yerleşik güvenlik önlemleri güçlü olsa da, güvenlik duvarının belirli durumlarda, özellikle halka açık ya da daha az güvenli ortamlarda etkinleştirilmesi önerilir. macOS cihazlarınız Intune’a kaydedildiyse, güvenlik duvarını merkezi olarak Intune yönetim merkezi üzerinden etkinleştirebilir ve yönetebilirsiniz.
İki farklı method ile MacOS Firewall’u etkinleştirebiliriz.
Endpoint Security Profile
Device Confugration Policies
İlk olarak Endpoint Securit Profil ile etkinleştirebiliriz.
İlgili politika içerisinde, Firewall’ı etkinleştirebilirsiniz. Ayrıca gelen bağlantı isteklerini engelleyebilir, Gizli modu aktifleştirebilir ve Güvenlik duvarı uygulamalarının white/black list yapılandırmalarını sağlayabilirsiniz.
Enable Firewall – Güvenlik duvarını etkinleştirmek için Not Configured durumundan Yes olarak ayarlıyoruz..
Block all incoming connection – Yes’i seçiyoruz.
Enable stealth mode – Yes’i seçiyoruz.
Firewall apps : Block all incoming connection seçerseniz ve airdrop vb. gibi bazı temel uygulamaların internetten gelen bağlantılara ihtiyaç duydukları için çalışmadığını fark ederseniz, bunu kolayca düzeltebilirsiniz. Ekle’ye tıklayarak ve gelen bağlantılar altında Allow seçerek Paket Kimliğini giriyoruz. Benzer şekilde, belirli uygulamalar için gelen bağlantıları engellemeniz gerekiyorsa, açılır menüden Block seçerek uygulamanın Paket Kimliğini girerek bir kural oluşturabilirsiniz.
İlgili cihazlara Assign ediyoruz.
Diğer bir method olan Device Configuration Profile’lerini kullanarak yapıyoruz.
İlk olarak, Intune admin center ‘a giriş yapıyoruz ve > Devices > macOS > Configuration > Create > New Policy seçeneğini seçiyoruz.
Profile Type olarak “Settings Catalog” seçerek devam ediyoruz.
İsimlendirmeyi yapıyoruz
Configuration Settings bölümüne geldiğimizde “Add Settings” seçeneği ile ekleme yapıyoruz.
Açılan ekranda, “Firewall” olarak aratarak Networking > Firewall seçeneğini seçiyoruz.
Select all these settings seçeneğini seçerek devam ediyoruz.
Allow Signed – Yerleşik yazılımın gelen bağlantıları almasına izin verir. macOS 12.3 ve sonrasında kullanılabilir.
Allow Signed App – İndirilen imzalı yazılımların gelen bağlantıları almasına izin verir. macOS 12.3 ve sonrasında kullanılabilir.
Applications – Gelen bağlantılara izin verme veya engelleme kuralı oluşturmak için +Add tıklayarak ve gelen bağlantılar altında Allow seçerek Paket Kimliğini giriyoruz.
Block All incoming – Bu, DHCP, IPSec gibi temel İnternet hizmetleri için gerekli olanlar dışında gelen tüm bağlantıları engeller. Bu, tüm paylaşım hizmetlerini engeller.
Enable Firewall – macOS’un yerleşik güvenlik duvarını etkinleştirir.
Enable Logging – True olarak işaretli ise, günlüğe kaydetmeyi etkinleştirir. macOS 12 ve sonrasında kullanılabilir.
Enable Stealth Mode – Gizli modu etkinleştirmek, bilgisayarın araştırma isteklerine yanıt vermesini önler. Bilgisayar, yetkili uygulamalar için gelen isteklere yanıt vermeye devam eder.
Logging Option – Bu, günlük kaydının türünü belirtir. Kısıtlanmış, kısa veya ayrıntılı olmak üzere üç seçeneğiniz vardır.
Assignments bölümünde ilgili gruba assign ederek kayıt ediyoruz.
User Interface inceledimizde,
İlgili Mac cihazında,
Ayarlar>Ağ seçeneğine geçtiğimizde Firewall’ın etkin olduğunu ve kapatılmak istendiğinde engellendiğini görüyoruz.
Firewall uygulama detaylarına ulaşmak için ise aşağıda bulunan “Options” seçeneğine tıklayarak detayları görüntüleyebiliriz.
İşlemler sonrası artık macOS cihazlarımızda güvenlik duvarını etkinleştirdik.
Microsoft Intune kullanarak macOS güvenlik duvarını etkinleştirmek ve yapılandırmak, kurumsal cihazlarınızın güvenliğini artırmak için önemli bir adımdır. Intune sayesinde, tüm macOS cihazlarınızda tutarlı güvenlik yapılandırmaları sağlayabilir, yetkisiz erişimleri önleyebilir ve şirket ağınızı koruma altına alabilirsiniz. Bu rehberdeki adımları takip ederek, güvenlik duvarı ayarlarını merkezi olarak yönetebilir ve cihazlarınızı daha güvenli hale getirebilirsiniz.
Kurumsal hayatta web tarayıcılarımızın güvenliğinden ne kadar eminiz ? Şirketinizin hangi tarayıcılara izin verildiğine dair bir politikası olmayabilir, bu nedenle dikkate alınması gereken farklı tarayıcılar olabilir. Her web tarayıcısı güvenli midir? Bir web tarayıcısının güvenli olduğuna nasıl emin olabiliriz ?
Günümüzün dijital dünyasında, webde gezinmek hem kişisel hem de profesyonel amaçlar için vazgeçilmez bir etkinlik haline geldi. Ancak, internet kullanımı yaygınlaştıkça, güvenlik açısından riskler de aynı oranda artmaktadır. Web tarayıcıları, özellikle doğru bir şekilde güvenlik önlemleri alınmadığında, kötü amaçlı yazılımlar, kimlik avı saldırıları ve diğer siber tehditler için yaygın bir hedef haline gelir. Şirketlerin cihazlarında web tarayıcıları kullanarak kurumsal verilere erişim sağladığı düşünüldüğünde, tarayıcıların güvenliği büyük bir öncelik haline gelir.
Günümüzde sistemlerimize bağlanan cihazların güvenliğini kontrol etmek artık bizler için vazgeçilmez bir güvenlik bakış açısı olmuş durumda. Zero Trust bakış açısında “her zaman doğrula” mantığı ile sistemize dahil olan tüm cihazların güvenliğinden emin olmalıyız.
Günümüzde birçok kurum, kullanıcılarının şirket kaynaklarına erişmesine izin vermeden önce yönetilen ve uyumlu cihazlardan çalışmalarını şartlarını koşuyor. Ancak, başka bir kuruluş tarafından yönetilen cihazlardan çalıştıkları için misafir kullanıcılarda bu politikayı uygulamak o kadar basit değil. O cihazları yönetemeyeceğimiz için bu tarz uyumluluk politikalarını da uygulayamayız. Bu sebeple bu cihazların sistemimize dahil olmaları konusunda daha dikkatli olmalıyız.
Tenantlar arası erişim ayarlarını yapılandırarak, diğer Microsoft Entra tenantlarından gelen compliant ve managed cihazlara güvenebiliriz. Bir nevi karşı tarafın politikasını kendimiz için de kullanabiliriz.
Configure Cross-Tenant Settings
Microsoft Entra admin center giriş yaparak External Identities > Cross-tenant Access Settings bölümüne giriyoruz.
Daha sonra Add Organization diyerek ilgili tenantı ekliyoruz.
Ekleme yapıldıktan sonra aşağıdaki gibi görmeliyiz.
Daha sonra eklenmiş olan tenant detaylarına tıkladığımızda aşağıdaki gibi bir ekran ile karşılacağız.
Üst panelde bulunan Trust Settings seçeneğine geçiyoruz.
Default settings ile değil, Customize Settings seçeneği ile ilerliyoruz ve aşağıda bulunan;
• Trust Multifactor Authentication from Microsoft Entra Tenants,
• Trust Compliant Devices
• Trust Microsoft Entra Hybrid Joined Devices
seçeneklerini işaretleyerek kaydediyoruz.
Gerçekleştirilen ayarlar sonrasında, diğer Microsoft Entra tenantlarından gelen harici talepleri kabul edebilir ve bunlara güvenebilirsiniz. Çünkü burada aslında gelen cihazların mevcut tenantlarda “Compliant” olduğunu, MFA kullandığını ve sistemlerine dahil Entra Hybrid Joined olduğunu şart koşmuş olduk. Uyumlu bir cihaz için yapılan talep, BitLocker’ı olmayan bir cihazdan veya gerçek zamanlı koruması devre dışı bırakılmış bir cihazdan geliyor olabilir. Bu nedenle, bunu yalnızca güvenilir iş ortakları için veya şirketinizin birden fazla tenantı varsa yapılandırmak gerekmektedir.
Bu çalışma, guest userların ortamınıza erişmeden önce compliant veya managed bir cihazdan oturum açmasını gerektiren etkin bir Conditional Access politikasına ihtiyaç duymaktadır. (https://medium.com/p/2251d9a9e93f)
Yapılan işlem sonrası kullanıcıların yaşacağı senaryoya göz atarsak, guest kullanıcı ortama uyumlu olmayan veya yönetilmeyen bir cihazdan erişmeye çalışırsa, bunu yapamayacak ve aşağıdaki hata mesajını alacaktır.
Ayrıca Sign-in loglarını incelediğinizde doğrudan neden log-in olamadığını görüntülüyor olacağız.
Eğer Guest User, compliant veya managed bir cihazdan oturum açmaya kalktığında sign-in loglarında başarılı log-in işlemini de görüyor olacağız.
Sonuç olarak, Guest kullanıcılar için cihaz güvenliğini sağlamak, organizasyonların dijital güvenlik stratejilerinde kritik bir rol oynamaktadır. Misafir kullanıcılar genellikle dış kaynaklardan geldiği için güvenlik riski oluşturabilir ve bu risklerin yönetilmemesi, hassas verilere yetkisiz erişim gibi ciddi sorunlara yol açabilir. Ancak doğru şekilde yapılandırılmış Device Trust politikaları ve Koşullu Erişim (Conditional Access) çözümleri ile bu riskleri minimuma indirmek mümkündür.
Cihazların Intune ile yönetilmesi, MFA gibi ek güvenlik katmanlarının uygulanması ve uyumluluk politikalarının kullanılması, guest kullanıcıların erişimini sadece güvenli ve yönetilen cihazlarla sınırlamayı sağlayarak olası tehditleri ortadan kaldırır. Bu adımlar, hem organizasyonların güvenlik duruşunu güçlendirecek hem de Zero Trust ilkelerine uygun olarak güvenlik risklerini minimize edecektir. Guest kullanıcılar için güvenli cihaz erişimini zorunlu kılmak, modern dijital iş dünyasında güvenliği sağlamanın en etkili yollarından biridir.
Günümüzün dijital dünyasında, hassas verilerin korunması işletmeler için hayati önem taşımaktadır. Özellikle finansal, sağlık, ve kamu hizmetleri gibi sektörlerde veri güvenliği, yalnızca yasal bir zorunluluk değil, aynı zamanda itibarın korunması için de kritik bir unsurdur. Bu yazıda, Microsoft Purview’un Exact Data Match (EDM) Classifier özelliğini ele alarak, hassas verilerin nasıl daha etkili bir şekilde korunabileceğine dair derinlemesine bir bakış sunacağız.
Microsoft Purview Veri Kaybı Önleme (DLP) politikalarını veya Microsoft Purview Bilgi Koruması otomatik etiketleme politikalarını yapılandırırken Hassas Bilgi Türlerinden (SIT’ler) yararlanmak çok önemlidir.
SIT’ler, metindeki belirli kalıpları tanıyarak hassas verileri tanımlamada önemli bir rol oynar . Bu kalıplar, anahtar sözcükler, karakter yakınlığı ve güven düzeyleri gibi kanıtlarla desteklenir
Genel kalıplar yerine tam veya tama yakın veri değerlerine odaklanan özel bir Hassas Bilgi Türüne duyulan ihtiyacı göz önünde bulundurduğunuzda , Microsoft Purview güçlü bir çözüm sunuyor: Exact Data Match (EDM) tabanlı sınıflandırma.
EDM Classifier Nedir ve Neden Önemlidir?
Microsoft Purview EDM Classifier, hassas verilerin tespiti ve korunması için geliştirilmiş bir sınıflandırma aracıdır. Geleneksel sınıflandırma yöntemlerinden farklı olarak, EDM Classifier, yapılandırılmış veri kümeleri üzerinden tam eşleşmeleri belirleyebilir. Bu özellik, özellikle veri sızıntısı riskini en aza indirmek ve uyumluluk gereksinimlerini karşılamak için büyük bir avantaj sağlar.
EDM Classifier’ın temel farkı, sadece belirli bir veri yapısının veya düzeninin tespit edilmesine değil, aynı zamanda bu verinin tam bir eşleşme olup olmadığının kontrol edilmesine dayanır. Örneğin, bir sosyal güvenlik numarası veya kredi kartı numarası, yalnızca formatı tanımlanarak değil, aynı zamanda o numaranın kesin bir eşleşme olup olmadığı kontrol edilerek sınıflandırılabilir.
EDM Classifier Nasıl Çalışır?
EDM Classifier’ın çalışmasını anlamak için birkaç temel adımı inceleyebiliriz:
Data Set’lerin Hazırlanması: EDM Classifier kullanımı için ilk adım, hassas olarak tanımlamak istediğiniz verilerin bulunduğu yapılandırılmış bir data set hazırlamaktır. Bu data setler, genellikle CSV formatında olan ve hassas verileri (örneğin, müşteri kimlik numaraları, sağlık kayıtları) içeren bir dosya olabilir.
Hashleme ve Yükleme: Hazırlanan veri kümesi, EDM şeması oluşturulmadan önce hash algoritmaları kullanılarak şifrelenir. Bu süreç, verilerin yalnızca tam eşleşme durumunda tanımlanmasını sağlar ve veri güvenliğini artırır. Hashlenmiş veri kümesi, Microsoft Purview portalına yüklenir ve EDM şeması oluşturulur.
EDM Şeması Oluşturma ve Yayınlama: Microsoft Purview’da yeni bir EDM şeması oluşturduktan sonra, bu şema, şirketin veri yönetim stratejisine uygun olarak yapılandırılır ve yayına alınır. Yayına alındıktan sonra, bu şema, veri sınıflandırma ve koruma politikalarında aktif olarak kullanılabilir.
Poliçelerin Uygulanması ve İzleme: EDM Classifier etkinleştirildikten sonra, organizasyonun veri koruma politikalarına uygun olarak çeşitli veri kaynağı ve depolama alanlarında izleme ve politikalar uygulanır. Bu politikalar, hassas verilerin belirlenen kurallara göre sınıflandırılmasını ve korunmasını sağlar.
EDM Classifier kullanmanın bir dizi önemli avantajı vardır:
False Positive Oranının Düşürülmesi: Geleneksel sınıflandırma yöntemleri, bazen hassas olmayan verileri yanlışlıkla hassas olarak sınıflandırabilir. EDM, yalnızca tam eşleşmeler üzerine kurulu olduğu için yanlış pozitif oranını büyük ölçüde azaltır.
Yüksek Güvenlik ve Gizlilik: Veri kümesinin hashlenmiş haliyle çalıştığı için, verilerin kendisi asla açığa çıkmaz. Bu, veri güvenliği ve gizliliği açısından kritik bir avantajdır.
Uyumluluk Kolaylığı: Birçok sektör, düzenleyici gereksinimlere uyum sağlamak zorundadır. EDM Classifier, belirli veri türlerinin korunmasını sağlayarak bu uyumluluğu destekler.
Örneğin bir bankacılık kuruluşunun, müşteri hesap numaralarının kuruluşun sınırları dışında paylaşılmasını engellemesi gerekir. Müşteri banka hesap kayıtlarına dayalı tam eşleşme araması yapmak için Exact Data Match (EDM) tabanlı hassas bilgi türünü yapılandırırlar.
Müşteri hesabı EDM hassas bilgi türü, hesap numarasını, hesap türünü ve müşteri bilgilerini (ad, e-posta adresi, telefon numarası) algılamak üzere yapılandırılmıştır. Office 365 ve Microsoft Cloud App Security DLP ilkeleri, müşteri hesabı EDM hassas bilgi türünü içeren içeriğin paylaşımını algılamak ve engellemek üzere yapılandırılmıştır. Bu sayede kullanılan EDM ile SIT’ler belirlenerek ortamda kullanılabilir.
EDM Classifier Kurulum ve Yapılandırma İşlemleri
Lisans Gereksinimleri
Gelişmiş bir sınıflandırma yeteneği olarak, EDM aşağıdaki aboneliklerde bir hak olarak yer almaktadır:
Ofis 365 E5
Microsoft 365 E5
Microsoft 365 Compliance
Office 365 Advanced Compliance
‘de açıklanan görevleri gerçekleştirmek için Global Administrator, Compliance Administrator veya Exchange Online Administrator olmanız gerekir. DLP izinleri hakkında daha fazla bilgi edinmek için İzinler bölümüne bakabilirsiniz.
Microsoft Purview’da EDM sınıflandırıcısını oluşturun
Microsoft Purview > Data Classification > Classification> EDM Classification Creating
Bir ad ve açıklama girin
Örnek dosyayı yükleyin (şemayı otomatik olarak tanımlar)
VEYA: Şemayı manuel olarak tanımlayın
Yüklenen verileri ve sütun adlarını doğrulayın
Birincil öğeyi belirtin (en fazla 10)
Benzersiz olan birincil öğeleri seçin: örneğin: SSN, adlar veya doğum tarihi değil
Verilerin büyük/küçük harfe duyarlı olup olmadığını veya ayırıcıları yoksaymak isteyip istemediğinizi belirtin
2 kural Yüksek ve Orta güvenirlikle otomatik olarak oluşturulur
Gerekirse kuralları özelleştirin
EDM sınıflandırıcı oluşturulduktan sonra, açılır menüden şema adını not edin (Adım 5’te kullanılır)
Not: M365’te ‘Güvenlik’ grubunu oluşturun: EDM_DataUploaders. Bu Güvenlik grubuna veriyi karma haline getirecek ve yükleyecek üyeleri ekleyin.
Data Setlerinizi oluşturun ve CSV formatında kaydedin. Veri kümesinde bulunan her sütun, sınıflandırılacak hassas veri türlerini temsil etmelidir. Örneğin, müşteri adları, kredi kartı numaraları veya sosyal güvenlik numaraları
Örnek yükleme dosyası sütunlarının gerçek/son yükleme dosyasında kullanılan sütunlarla eşleşmesi gerekir. Kaynak verileri CSV veya TSV biçiminde toplanmalıdır.
Örnek dosyayı 2,5 MB’ın altında tutulmalıdır. Gerçek yükleme dosyası için sınırlar şunlardır:
100 milyon satıra kadar hassas veri
Veri kaynağı başına 32 sütuna (alan) kadar
Aranabilir olarak işaretlenmiş en fazla on sütun (alan)
Oluşturulan Data Set’i yükleyebiliriz.
Hashleme Süreci Verilerinizin güvenliğini sağlamak için, EDM şemanıza yüklemeden önce verilerinizi hashleyin. Microsoft Purview, bu hashleme sürecini otomatik olarak yönetebilir veya bu işlemi manuel olarak da yapabilirsiniz.
Aşağıdaki adımlar örnek bir dizin konumu kullanır, kesinlikle takip edilmesi gerekmez. Bu süreç, cihazları hazırlamak ve yetkilendirmek için tek seferlik bir kurulumdur
Bir dizin oluşturun: C:\EDM
Şu dizinde bir klasör oluşturun: C:\EDM\Hash
Karma verileriniz otomatik olarak burada oluşturulur
Şu dizinde bir klasör oluşturun: C:\EDM\Data
Düz metin yükleme dosyanızı buraya yerleştirin
PowerShell’i yönetici olarak çalıştırın, dizini EDM yükleme aracı konumuna değiştirin ve aşağıdakileri çalıştırın (Unutmayın: PowerShell’de, yürütülebilir bir dosyayı çalıştırmanız gerekiyorsa her komuttan önce bir nokta ve eğik çizgi eklemeniz gerekir)
EdmUploadAgent.exe /Yetkilendir
Kimlik doğrulaması yapmanız istenecektir, bu hesabın daha önce oluşturulan M365 Güvenlik grubuna eklendiğinden emin olun (Adım 3’e bakın)
Şemanızı indirin, XML dosyasının adını not edin (Adım 6’da kullanılacak)
EdmuploadAgent.exe /SaveSchema /DataStoreName <şema adıyla değiştirin> /OutputDir c:\EDM\Data\
Şemayı Yayınlayın ve Politika Tanımlayın Şemanızı yayına aldıktan sonra, bu şema üzerinden politikalar oluşturun. Bu politikalar, belirli veri kümelerinin nasıl izleneceğini ve korunacağını belirler.
Sürekli İzleme ve Optimizasyon EDM şemanızın ve politikalarınızın etkinliğini düzenli olarak izleyin. Gerektiğinde veri kümenizi güncelleyerek ve şemanızı optimize ederek EDM’nin hassas veri koruma yeteneklerini en üst düzeye çıkarın.
EDM Neden Önemlidir ?
Düzenli Veri Güncellemesi: Veri kümeleri zamanla değişebilir, bu nedenle EDM şemanızı düzenli olarak güncellemek, sınıflandırma doğruluğunu artırmak için önemlidir.
Sıkı Uyumluluk Kontrolleri: Düzenleyici gereksinimlerin sürekli değiştiği bir dünyada, EDM politikalarınızı düzenli olarak gözden geçirmek ve güncellemek esastır.
Eğitim ve Farkındalık: Çalışanlarınıza EDM Classifier ve veri güvenliği politikaları hakkında eğitim verin. Bu, organizasyon genelinde veri güvenliği bilincini artıracaktır.
EDM işlevselliğini uyumluluk çerçevenize sorunsuz bir şekilde entegre ederek , kuruluşlar veri yönetimi stratejilerini güçlendirebilir , riskleri azaltabilir ve paydaşlarla güven oluşturabilir. GDPR kapsamında bireysel gizlilik haklarını korumaya yönelik proaktif bir bağlılık gösteren EDM , kuruluşların hassas verileri doğru ve güvenli bir şekilde işlemesini sağlar .
Microsoft Purview EDM Classifier, hassas verilerin korunmasında güçlü bir araçtır. Tam eşleşme yöntemiyle çalışan bu özellik, yanlış pozitifleri en aza indirir ve veri güvenliğini artırır. Organizasyonlar, EDM Classifier kullanarak veri sızıntılarına karşı daha etkin bir koruma sağlayabilir ve düzenleyici gereksinimlere uyumlarını sürdürebilir. Sonuç olarak, EDM Classifier, Microsoft Purview’un veri yönetimi stratejisinin ayrılmaz bir parçasıdır ve hassas verilerin korunmasında önemli bir rol oynar.
Veri güvenliği ve uyumluluk, modern işletmelerin en kritik önceliklerinden biridir. Microsoft Information Barriers, bu konuda yenilikçi bir çözüm sunarak kuruluşların belirli kullanıcı grupları arasında iletişim ve işbirliğini sınırlandırmasına olanak tanır. Bu özellik, özellikle finansal hizmetler, sağlık hizmetleri ve diğer yüksek düzenlemeli sektörler için büyük önem taşır. Peki, Microsoft Information Barriers nedir ve nasıl çalışır?
Microsoft Information Barriers, Microsoft 365 içerisinde sunulan bir güvenlik ve uyumluluk özelliğidir. Bu özellik, belirli kullanıcı grupları arasında iletişimi ve veri paylaşımını sınırlayarak, hassas bilgilerin yetkisiz erişim ve paylaşımını önlemeyi amaçlar.
Potansiyel Çıkar Çatışmalarını Önleme: Kuruluş içerisinde belirli departmanlar arasında bilgi akışını sınırlayarak, çıkar çatışmalarını önler.
Düzenleyici Uyumluluğu Sağlama: Finansal ve sağlık hizmetleri gibi sıkı düzenlemelere tabi sektörlerde, bilgi akışını kontrol ederek uyumluluğu sağlar.
Veri Güvenliğini Artırma: Hassas bilgilerin yanlış ellere geçmesini önleyerek veri güvenliğini artırır.
Nasıl Çalışır?
Microsoft Information Barriers, belirli kullanıcılar veya gruplar arasında iletişimi sınırlandıran politikalar oluşturmanıza olanak tanır. Bu politikalar, Microsoft Teams, SharePoint, OneDrive ve Exchange gibi Microsoft 365 uygulamalarında geçerlidir. Information Barriers, aşağıdaki adımlarla uygulanır:
Politika Tanımlama: Yönetici, hangi kullanıcı gruplarının birbirleriyle iletişim kurabileceğini veya kuramayacağını belirleyen politikaları tanımlar.
Uygulama: Tanımlanan politikalar, Microsoft 365 hizmetlerine entegre edilerek, belirli kullanıcılar arasında iletişimi sınırlandırır.
İzleme ve Denetleme: Politikaların etkili bir şekilde uygulandığını ve düzenlemelere uyulduğunu doğrulamak için izleme ve denetleme araçları kullanılır.
Information Barriers politikaları uygulandığında, diğer belirli kullanıcılarla iletişim kurmaması veya dosya paylaşmaması gereken kişiler bu kullanıcıları bulamaz, seçemez, sohbet edemez veya arayamaz. Bilgi bariyerleriyle, yetkisiz iletişimi ve iş birliğini önlemek için kontroller uygulanır.
Information Barriers, Microsoft Teams (sohbetler ve kanallar), SharePoint Online ve OneDrive için geçerlidir. Microsoft Teams’de, bilgi engeli politikaları aşağıdaki türden yetkisiz iletişimleri belirler ve engeller;
Searching for a user
Adding a member to a team
Starting a chat session with someone
Starting a group chat
Inviting someone to join a meeting
Sharing a screen
Placing a call
Sharing a file with another user
Access to file through sharing link
İlgili kişiler etkinliği engellemek için bir Information Barriers politikasına dahil edilirse, devam edemezler. Ayrıca, potansiyel olarak, bir Information Barriers politikasına dahil edilen herkes Microsoft Teams’de başkalarıyla iletişim kurmaktan engellenebilir. Bilgi bariyeri politikalarından etkilenen kişiler aynı ekibin veya grup sohbetinin parçası olduğunda, bu sohbet oturumlarından kaldırılabilir ve grupla daha fazla iletişime izin verilmeyebilir.
Required licenses
Microsoft 365 E5/A5 subscription
Office 365 E5/A5/A3/A1 subscription
Office 365 Advanced Compliance add-on
Microsoft 365 E3/A3/A1 subscription + the Microsoft 365 E5/A5 Compliance add-on
Microsoft 365 E3/A3/A1 subscription + the Microsoft 365 E5/A5 Insider Risk Management add-on
Kullanım Senaryoları
Finansal Hizmetler
Bir finans kuruluşu, yatırım bankacılığı ve perakende bankacılık departmanları arasında bilgi paylaşımını sınırlayarak, içeriden bilgi sızmasını önleyebilir. Bu, çıkar çatışmalarını ve düzenleyici ihlalleri önlemek için kritik bir adımdır.
Sağlık Hizmetleri
Bir sağlık hizmeti sağlayıcısı, hasta bilgilerini sadece yetkili tıbbi personel ve bakım ekipleriyle sınırlı tutarak, hasta mahremiyetini ve veri güvenliğini sağlar.
Hukuk Firmaları
Bir hukuk firması, farklı davalarda çalışan ekipler arasında bilgi akışını sınırlayarak, müvekkil gizliliğini koruyabilir ve çıkar çatışmalarını önleyebilir.
Information barrıers polıcy nasıl devreye alınır ?
Powershell ile Devreye Alma;
PowerShell Modülünü Yükleme ve Bağlanma
Öncelikle, Microsoft 365 Compliance PowerShell modülünü yükleyin:
Bu adımlar, Microsoft Information Barriers’ı PowerShell kullanarak devreye almanıza yardımcı olacaktır.
GUI(Graphical User Interface) Kullanılarak Devreye Alınması
Microsoft Information Barriers’ı GUI (Graphical User Interface) kullanarak devreye almak için Microsoft 365 Compliance Center’ı kullanabilirsiniz. İşte adım adım yönergeler:
Yönetici kimlik bilgilerinizi kullanarak oturum açın.
Adım 2: Information Barriers Menüsüne Erişim
Sol taraftaki navigasyon menüsünde, “Solutions” altında “Information barriers” seçeneğine tıklayın.
Adım 3: Segmentler Oluşturma
“Segments” sekmesine gidin.
“New segment” butonuna tıklayın. Segmentin adını ve tanımını girin.
Kullanıcı grubunu tanımlamak için filtreleri belirleyin. Örneğin, “User Principal Name” alanını kullanarak girdiyi yaparak segmentlerini oluşturabilirsiniz. “Save” butonuna tıklayarak segmenti kaydedebilirsiniz.
Adım 4: Politikalar Oluşturulması ve Uygulanması
“Policies” sekmesine gidin.
“Create policy” butonuna tıklayın.
Politika için bir ad ve tanım girin. Segmentler kısmından az önce oluşturmul olduğumuz segmenti giriyoruz.
Communication and Collaboration kısmında diğer segmenti seçerek “Blocked” seçeneği ile ilerliyoruz.
Politikamız oluşturuldu, şimdi Policy Apply menüsüne geçerek politikamızı dağıtıyoruz.
Bu noktada bir hatayla karşılaşabilirsiniz, tekrar policy ekranına gelerek deneyebilirsiniz.
Tekrar denediğimizde, sorunsuz çalıştırıyoruz.
yaklaşık yarım saat kadar bekledikten sonra progress sürecinin tamamlandığını görüyoruz.
Son kullanıcı tarafında test ettiğimizde segmentler arası iletinin iletilmediğini görüyoruz.
Microsoft Information Barriers, kuruluşların veri güvenliği ve uyumluluk hedeflerine ulaşmalarına yardımcı olan güçlü bir araçtır. Belirli kullanıcı grupları arasında iletişimi ve veri paylaşımını sınırlandırarak, hassas bilgilerin korunmasını sağlar ve düzenleyici gereksinimlere uyumu destekler. Özellikle yüksek düzenlemeli sektörlerde faaliyet gösteren kuruluşlar için, Information Barriers vazgeçilmez bir çözüm sunar.
Dijital çağda, güvenli iletişim ve kimlik doğrulama, herhangi bir bilişim altyapısının temel unsurlarından biridir. Public Key Infrastructure (PKI), bu güvenliği sağlamak için kullanılan bir teknolojidir. Bu makalede, PKI’nin ne olduğunu, nasıl çalıştığını ve Microsoft’un PKI çözümlerini inceleyeceğiz.
PKI Nedir?
Public Key Infrastructure (PKI), dijital sertifikalar ve açık anahtar şifrelemesi kullanarak güvenli elektronik iletileri, kimlik doğrulamayı ve veri bütünlüğünü sağlayan bir çerçevedir. PKI, çeşitli bileşenlerden oluşur ve bu bileşenler birlikte çalışarak güvenli bir dijital ortam sağlar. HTTPS’teki Authentication için kullanılan dijital sertifikaların üretilmesi, dağıtılması ve kimlik doğrulaması aşamasında kullanılabilmesi için gerekli altyapıyı sağlamaktadır.
Public Key Infrastructure, çok çeşitli uygulamalarda özellikleri kullanır, ancak en çok dijital platformları ve hizmetleri korumak için kullanılır. Yaygın bir dağıtım, veri aktarımlarının korunmasıdır, böylece bir ağ üzerinden gönderilen bilgiler yalnızca hedeflenen alıcı tarafından görüntülenebilir.
Güvensiz ağ üzerinden aldığı sertifikanın gerçekten beyan edilen partiye ait olup olmadığını doğrulamak isteyen istemci aşağıdaki şekildeki gibi sertifika üzerindeki imzaları hiyerarşi içerisinde en yukarı kök sertifikaya kadar takip eder.
Sertifika Yetkilisi (CA): Dijital sertifikalar veren ve doğrulayan otoritedir. Bir CA, kullanıcıların veya cihazların kimliklerini doğrular ve bu doğrulamayı dijital bir sertifika ile belgelendirir.
Kayıt Yetkilisi (RA): Sertifika talep eden kişilerin veya cihazların kimliklerini doğrulayan ve CA’ya bu talepleri ileten otoritedir.
Dijital Sertifikalar: Açık anahtar ve sertifika sahibinin kimlik bilgilerini içeren dijital belgeler. Bu sertifikalar, sertifika sahibinin kimliğini doğrulamak için kullanılır.
Açık ve Gizli Anahtarlar: Açık anahtar şifrelemesinin temelini oluşturur. Açık anahtar, herkese açık olarak paylaşılırken, gizli anahtar yalnızca sahibi tarafından bilinir.
Sertifika İptal Listesi (CRL): Artık güvenilir olmayan veya iptal edilen sertifikaların listesi.
PKI Nasıl Çalışır?
PKI, iki ana süreç üzerine kuruludur: şifreleme ve kimlik doğrulama.
Şifreleme: PKI, açık anahtar şifrelemesi kullanarak verileri güvenli hale getirir. Bir kullanıcı, bir mesajı alıcının açık anahtarı ile şifreler ve alıcı bu mesajı kendi gizli anahtarı ile çözer.
Kimlik Doğrulama: PKI, dijital sertifikalar kullanarak kullanıcıların ve cihazların kimliklerini doğrular. CA tarafından verilen dijital sertifikalar, bir kullanıcının veya cihazın kimliğini güvenilir bir şekilde doğrular.
PKI’nın nasıl çalıştığını adım adım detaylandırılmış bir şekilde açıklarsam:
Anahtar Çiftinin Oluşturulması
PKI’de, her kullanıcı (veya cihaz) bir açık anahtar ve bir özel anahtar olmak üzere iki anahtar oluşturur:
Açık Anahtar (Public Key): Herkesle paylaşılabilen anahtardır.
Özel Anahtar (Private Key): Sadece sahibinin bildiği ve gizli tutulan anahtardır.
Dijital Sertifika Oluşturma
Bir kullanıcı veya cihaz, açık anahtarını içeren bir dijital sertifika almak için Sertifika Otoritesine (CA) başvurur. Bu süreçte şunlar gerçekleşir:
Sertifika İsteği (Certificate Signing Request, CSR): Kullanıcı, açık anahtarını ve kimlik bilgilerini içeren bir CSR oluşturur ve CA’ya gönderir.
Doğrulama: CA, başvuruda bulunan kişinin veya cihazın kimliğini doğrular.
Sertifikanın İmzalanması: Kimlik doğrulama başarılı olursa, CA dijital sertifikayı oluşturur ve kendi özel anahtarı ile imzalar. Bu dijital sertifika, kullanıcının kimlik bilgilerini ve açık anahtarını içerir.
Sertifikanın Dağıtılması
Dijital sertifika, sahibine ve gerektiğinde diğer taraflara güvenli bir şekilde iletilir. Bu sertifika, sahibinin kimliğini doğrulamak ve iletişimi şifrelemek için kullanılabilir.
Kimlik Doğrulama
PKI’nin önemli bir kullanımı, kimlik doğrulamadır. Bu, dijital sertifikalar ve dijital imzalar aracılığıyla gerçekleştirilir:
Dijital İmza: Bir mesaj veya belge, gönderenin özel anahtarı kullanılarak dijital olarak imzalanır. Bu, mesajın veya belgenin kaynağını ve bütünlüğünü doğrular.
İmza Doğrulama: Alıcı, dijital imzayı gönderenin açık anahtarı ile doğrular. Eğer doğrulama başarılı olursa, mesajın veya belgenin gerçekten göndericiden geldiği ve değişmediği anlaşılır.
Şifreleme ve Şifre Çözme
PKI ayrıca şifreleme ve şifre çözme işlemlerinde de kullanılır:
Şifreleme: Gönderen, alıcının açık anahtarını kullanarak bir mesajı şifreler.
Şifre Çözme: Alıcı, kendi özel anahtarı ile mesajı çözer. Bu, mesajın sadece alıcı tarafından okunabilmesini sağlar.
Sertifika İptali ve Yenileme
Sertifikalar belirli bir süre için geçerlidir ve süresi dolduğunda veya güvenli olmadığı düşünüldüğünde iptal edilebilir:
Sertifika İptal Listesi (CRL): CA, iptal edilen sertifikaların listesini tutar ve yayınlar.
Online Sertifika Durumu Protokolü (OCSP): Daha dinamik bir yöntem olan OCSP, belirli bir sertifikanın geçerli olup olmadığını kontrol etmek için kullanılır.
Güven Zinciri (Chain of Trust)
PKI’de, güven zinciri önemlidir. CA’lar, kök sertifikalarına dayanan ara sertifikalar çıkararak güven zincirini oluşturur. Kök CA, ara CA’ları ve onların çıkardığı son kullanıcı sertifikalarını doğrular. Bu güven zinciri, sertifikaların doğrulanmasında kritik bir rol oynar.
PKI, güvenli iletişim ve kimlik doğrulama sağlamak için kriptografi, dijital sertifikalar ve güvenilir üçüncü tarafları kullanarak karmaşık ama etkili bir altyapı sunar. PKI, günümüzde internet güvenliği, e-posta güvenliği, kod imzalama ve daha birçok alanda yaygın olarak kullanılmaktadır.
Microsoft PKI Nedir ?
Microsoft PKI (Public Key Infrastructure), Windows Server işletim sistemi ve Active Directory hizmetleri kullanılarak yönetilen bir PKI çözümüdür. Microsoft PKI, sertifika hizmetleri, güvenlik politikaları ve dijital sertifika yönetimi ile güvenli iletişim ve kimlik doğrulama sağlar.
Active Directory Certificate Services (AD CS)
Microsoft PKI’nin temel bileşeni olan AD CS, dijital sertifikaların oluşturulmasını, yönetilmesini ve dağıtılmasını sağlayan bir hizmettir. AD CS şu bileşenleri içerir:
Sertifika Yetkilisi (CA): Sertifikaları imzalar ve dağıtır. Birincil CA (kök CA) ve alt CA (ara CA) olarak yapılandırılabilir.
Online Responder: Sertifikaların geçerliliğini kontrol etmek için OCSP (Online Certificate Status Protocol) yanıtlarını sağlar.
Sertifika Kayıt Noktası (Enrollment Point): Kullanıcıların ve cihazların sertifika taleplerini kabul eder ve işler.
Sertifika Yetkilisi Hiyerarşisi
Microsoft PKI, güvenlik ve yönetim kolaylığı için bir CA hiyerarşisi kullanır:
Kök CA: En üst seviyedeki CA’dır ve kendi kendine imzalıdır. Güven zincirinin başlangıç noktasıdır.
Ara CA: Kök CA tarafından imzalanan sertifikaları çıkarır. Ara CA’lar, sertifika yönetimini dağıtarak güvenliği artırır ve ölçeklenebilirliği sağlar.
Sertifika Şablonları
Microsoft PKI, farklı türde sertifikalar oluşturmak için sertifika şablonları kullanır. Bu şablonlar, belirli kullanıcı veya cihaz gereksinimlerine göre özelleştirilebilir:
Kullanıcı Sertifikaları: E-posta şifreleme, dijital imza ve kimlik doğrulama için kullanılır.
Cihaz Sertifikaları: Sunucu kimlik doğrulama, VPN erişimi ve ağ güvenliği için kullanılır.
Kod İmza Sertifikaları: Yazılım ve kodların bütünlüğünü ve kaynağını doğrulamak için kullanılır.
Sertifika Kayıt ve Yönetim
Microsoft PKI, sertifikaların kayıt ve yönetimi için çeşitli yöntemler sunar:
Otomatik Kayıt: Grup ilkeleri kullanılarak kullanıcı ve cihazlar için otomatik olarak sertifika alınır ve yenilenir.
Manuel Kayıt: Kullanıcılar veya yöneticiler, sertifika taleplerini manuel olarak yapar.
Web Kayıt: Web tabanlı arayüz kullanılarak sertifika talepleri yapılabilir.
Sertifika İptali ve Yenileme
Microsoft PKI, sertifikaların iptal edilmesi ve yenilenmesi için araçlar sağlar:
Sertifika İptal Listesi (CRL): İptal edilen sertifikaların listesini yayınlar.
Online Sertifika Durumu Protokolü (OCSP): Dinamik olarak sertifikaların geçerliliğini kontrol eder.
Güvenlik Politikaları ve Denetim
Microsoft PKI, sertifikaların güvenli yönetimi için çeşitli güvenlik politikaları ve denetim mekanizmaları içerir:
Politika Modülleri: Sertifika talep ve onay süreçlerini kontrol eder.
Denetim ve İzleme: Sertifika işlemlerini ve CA etkinliklerini izler ve denetler.
Entegrasyon ve Uyumluluk
Microsoft PKI, diğer Microsoft ürünleri ve hizmetleriyle entegre çalışabilir:
Active Directory: Kullanıcı ve cihaz kimlik doğrulaması için entegre olur.
Exchange Server: E-posta güvenliği için dijital imzalar ve şifreleme sağlar.
System Center Configuration Manager (SCCM): Cihaz yönetimi ve sertifika dağıtımı için entegre olarak kullanılır.
Kurulum ve Yönetim
Microsoft PKI’nin kurulumu ve yönetimi için adımlar şunlardır:
Kurulum: Windows Server üzerinde AD CS rolü eklenir ve yapılandırılır.
Yönetim: Sertifika Şablonları, Kayıt Noktaları, CRL ve OCSP yönetimi yapılır.
Denetim: Güvenlik politikaları ve denetim günlükleri izlenir.
Microsoft Cloud PKI Mimarisi;
A – Microsoft Intune B – Microsoft Cloud PKI hizmetleri B.1 – Microsoft Bulut PKI hizmeti B.2 – Microsoft Cloud PKI SCEP hizmeti B.3 – Microsoft Cloud PKI SCEP doğrulama hizmeti
İlk etapta bir Intune Administrator veya Global Administrator bazı izinleri ayarlaması gerekmektedir.
Microsoft Intune’da kök ve veren CA’lar için gerekli Bulut PKI sertifika yetkilisini oluşturulmalıdır.
Kök ve veren CA’lar için gerekli trust sertifikası profillerini oluşturulmalı ve atanmalıdır.
Gerekli platforma özgü SCEP sertifika profillerini oluşturulmalı ve atanmalıdır.
SCEP Profil Adımları;
Cihaz, Intune hizmetine bağlanarak kimlik doğrulama sürecini başlatır. Bu bağlantı, cihazın güvenilen sertifikaları ve SCEP (Simple Certificate Enrollment Protocol) profillerini alması için gereklidir.
Cihaz, aldığı SCEP profiline dayanarak bir Sertifika İmzalama İsteği (CSR) oluşturur. Bu süreçte cihaz üzerinde bir özel anahtar üretilir ve bu anahtar cihazdan asla ayrılmaz, yani cihazın güvenlik sınırları içinde kalır.
Cihaz, oluşturduğu CSR ve SCEP sınamasını buluttaki SCEP hizmetine gönderir. SCEP profiline bağlı olarak, bu işlem SCEP URI özelliği kullanılarak gerçekleştirilir. Gönderilen SCEP sınaması, Intune SCEP RA (Registration Authority) anahtarları kullanılarak şifrelenir ve imzalanır.
Bulutta yer alan SCEP doğrulama hizmeti, CSR’yi SCEP sınaması ile karşılaştırarak doğrular. Bu doğrulama süreci, isteğin kayıtlı ve yönetilen bir cihazdan geldiğini teyit eder. Aynı zamanda SCEP sınamasının etkilenmemesini ve SCEP profilinde beklenen değerlerle eşleşmesini sağlar. Eğer bu denetimlerden herhangi biri başarısız olursa, sertifika isteği reddedilir.
CSR doğrulandıktan sonra, SCEP doğrulama hizmeti (kayıt yetkilisi), Veren CA’ya (Certificate Authority) CSR’yi imzalaması için istekte bulunur. Bu işlem, cihazın güvenilen bir sertifika alabilmesi için kritik bir adımdır.
CA tarafından imzalanan sertifika, Intune MDM (Mobile Device Management) aracılığıyla cihaza geri gönderilir. Cihaz, aldığı bu imzalı sertifikayı kullanarak güvenli iletişim ve kimlik doğrulama işlemlerini gerçekleştirebilir.
Bu konuyu takip eden bir sonraki makalede bir Microsoft Cloud PKI adımlarını bir demo çalışması ile işliyor olacağız.
