Neden cihaz kontrolüne ihtiyaç duyarız ?
Sistemizde, cihazlar ve bağlı oldukları işletim sistemi kaynaklı olarak güvenlik ve data güvenliği konusunda zafiyetler oluşabilir. Bu zafiyetleri azaltmak ve cihaz uyumluluğu ile güvenli ve takip edilebilir bir yapı kurulması ihtiyaç duyulmaktadır.
Device Control özelliğine ihtiyaç duyduğumuz çok fazla istek vardır.
Bazılarını sıralarsak;
• Kullanılmayan veya istenmeyen donanımların devre dışı bırakılması.
• Çıkarılabilir disklerin günlük yazma ve okuma verilerinin denetlenmesi.
• Envanter yetkisi ve kontrolünün yapılması.
• …
Kuruluşların cihaz kontrolü konusunda net bir yönerge ile hareket etmeleri gerekmektedir. Son kullanıcı üzerinde yaratacağı etki ile farkındalığında arttırılması hedeflenmelidir.
Identifying devices
Tüm donanımsal cihazların kendilerine has kimlikleri bulunmaktadır. Bu cihazların tanımlanması ve cihaz bazlı politikaların uygulanması gelen taleplerin detaylandırılması ve takip açısından da fayda sağlayacaktır. Cihazları tanımlamak için Device Manager ‘dan yararlanabilirsiniz.
Bazı cihaz sınıfları kullanılmak istenmeyebilir ve gereksinimlerinize bağlı olarak tamamen engellenebilir.
- CDROM
- FDC
- FloopyDisk
- SmartCardReader
- TapeDrive …..
Microsoft politikalarını uygularken, ClassGUID değeri kullanılması önerilmektedir
Reusable Settings
Reusable Settings grupları, birden fazla ilke için kullanılabilecek bir dizi cihaz attributelarını tanımlar ve yalnızca tek bir yerden yönetilebilir olduğu için kullanışlıdır. Bunu oluşturmak için:
Intune admin center’a giriş yaptıktan sonra Endpoint Security>Attack surface reduction ve üst menüden Reusable settings seçeneğini seçiyoruz.
Ad ve açıklama belirtiyoruz ve Device Control bölümünden removable storage eklemesi gerçekleştiriyoruz. Burada birden fazla ekleme yapılabilir. Edit Instance seçeneği ile, düzenleme işlemlerini sağlayabilirsiniz.
Create Device control policy
Device Control Policy, Intune’da ve Endpoint Security başlığı altında Saldırı Yüzeyini Azaltma (ASR)’ın bir parçasıdır. Tüm ayar ve konfigürasyonları bu başlık altından yapılacaktır.
Removable cihazların kontrolleri esas alındığında belirli cihazlara izin verilmesi veya belirli cihazların engellenmesi yönündeki talepleri, Cihaz ClassGUID değerleri baz alınarak politikaların oluşturulması en iyi yöntem olacaktır. Envanter Kontrolü için, özellikle depolama ve cihaz türlerinin listelenmesine izin vermek için, çoğunlukla HardwareID özelliği altında yer alan VID_PID (vendor and product ID) değerlerinin kullanılması önerilmektedir.
Microsoft Security Baseline’lar bizler için birer ölçek olarak görülebilir, ancak burada Microsoft Security Configuration Framework’ler referans alınmalıdır ve bu bağlamda değerlendirilmelidir.