CategoriesDefenderMicrosoft Security

Secure your Browser with Intune !

Posted on September 28, 2024by Ali Koc

Kurumsal hayatta web tarayıcılarımızın güvenliğinden ne kadar eminiz ? Şirketinizin hangi tarayıcılara izin verildiğine dair bir politikası olmayabilir, bu nedenle dikkate alınması gereken farklı tarayıcılar olabilir. Her web tarayıcısı güvenli midir? Bir web tarayıcısının güvenli olduğuna nasıl emin olabiliriz ?

Günümüzün dijital dünyasında, webde gezinmek hem kişisel hem de profesyonel amaçlar için vazgeçilmez bir etkinlik haline geldi. Ancak, internet kullanımı yaygınlaştıkça, güvenlik açısından riskler de aynı oranda artmaktadır. Web tarayıcıları, özellikle doğru bir şekilde güvenlik önlemleri alınmadığında, kötü amaçlı yazılımlar, kimlik avı saldırıları ve diğer siber tehditler için yaygın bir hedef haline gelir. Şirketlerin cihazlarında web tarayıcıları kullanarak kurumsal verilere erişim sağladığı düşünüldüğünde, tarayıcıların güvenliği büyük bir öncelik haline gelir.

Microsoft Intune ile tarayıcı etkinliklerini güvence altına almakta kritik bir rol oynamaktadır. Intune ile BT yöneticilerine, cihazları güvenli bir şekilde yönetme ve kurumsal kaynaklara erişim sağlayan web trafiğinin kurum politikalarına uygun olmasını sağlama olanağı sunar. Intune ile tarayıcı güvenliğini nasıl sağlayabileceğinizi ve kullanıcılarınızın çevrimiçi etkinliklerini nasıl güvence altına alabileceğinizi detaylı bir şekilde ele alacağız.

Tarayıcı Güvenliği Neden Önemli?

Web Tarayıcılar, kullanıcıların web üzerindeki en çok vakit geçirdiği uygulamalardır ve birçok kurumsal bilgiye erişimin sağlandığı temel platformlardan biridir. Bu nedenle, saldırganlar tarafından hedeflenen öncelikli alanlardan biri haline gelmişlerdir. Örneğin, kötü amaçlı yazılımlar, kötü niyetli eklentiler, kimlik avı saldırıları ve verilerin yanlış ellerde sonlanmasına neden olabilecek güvenlik açıkları, tarayıcı güvenliği sağlanmadığında ciddi tehditler oluşturur.

Tarayıcı güvenliğinin sağlanması, sadece kullanıcıların güvenliğini artırmakla kalmaz, aynı zamanda şirketin veri bütünlüğünü de koruma altına alır. Özellikle uzaktan çalışanlar ve mobil cihazlar üzerinden çalışanların sayısının artması, tarayıcı güvenliğinin önemini daha da artırmaktadır.

Microsoft Intune, cihazların ve tarayıcıların yönetimini bulut üzerinden yaparak, kurumlara kapsamlı bir güvenlik çözümü sunar. Intune ile tarayıcı güvenliğini sağlamanın başlıca yollarını ele alırsak:

Tarayıcı Politikaları ve Kısıtlamaları Uygulama

Intune, şirketin güvenlik politikalarına uygun olarak tarayıcı ayarlarını yapılandırmanıza olanak tanır. Örneğin, belirli sitelere erişimi sınırlayabilir, güvenli olmayan siteleri otomatik olarak engelleyebilir ve kullanıcıların yalnızca belirli tarayıcı uzantılarını yüklemesine izin verebilirsiniz. Bu, kullanıcıların tarayıcılarını yanlışlıkla kötü amaçlı yazılımlara veya kötü niyetli sitelere maruz bırakmasını önler.

Tehditleri İzleme ve Engelleme

Intune, tarayıcı etkinliklerini sürekli izleyerek potansiyel tehditleri tespit edebilir ve bunları engelleyebilir. Kurumsal verilere erişim sırasında kullanıcıların karşılaşabileceği tehditler anında raporlanabilir ve sistemler, bu tehditlere karşı proaktif olarak korunabilir. Ayrıca, kullanıcıların güvenli olmayan bağlantılardan kaçınması için uyarılar alması sağlanabilir.

Güvenli Erişim Politikaları

Microsoft Intune, kullanıcıların sadece güvenli ağlar üzerinden kurumsal kaynaklara erişmesine izin verecek politikalar oluşturmanıza yardımcı olur. Örneğin, VPN üzerinden tarayıcı trafiğini zorunlu kılabilir veya sadece kurumsal güvenlik sertifikalarına sahip sitelere erişimi sınırlandırabilirsiniz. Bu, kullanıcıların halka açık veya güvenli olmayan ağlardan kurumsal verilere erişimini engeller.

Veri Kaybı Önleme (DLP) Politikaları

Tarayıcılar, kullanıcıların verileri indirip yükleyebildiği araçlar olarak veri sızıntısı için potansiyel bir kaynaktır. Intune’un Veri Kaybı Önleme (DLP) entegrasyonu sayesinde, tarayıcı üzerinden hangi verilere erişileceği veya hangi verilerin paylaşılabileceği konusunda sıkı kontrol sağlar. Bu sayede, kullanıcılar kurumsal verileri yanlışlıkla yetkisiz kişilerle paylaşamaz.

Çok Faktörlü Kimlik Doğrulama (MFA) Entegrasyonu

Tarayıcı güvenliğini sağlamak için kullanıcıların web sitelerine erişim sırasında kimliklerini doğrulamalarını gerektiren çok faktörlü kimlik doğrulama (MFA) uygulamaları zorunlu hale getirilebilir. Bu sayede, yalnızca yetkili kişilerin kurumsal kaynaklara tarayıcı üzerinden erişimi sağlanmış olur. MFA entegrasyonu, özellikle kullanıcıların şirket dışından erişim sağladığı durumlarda ekstra bir güvenlik katmanı sunabilirsiniz.

Intune ile Web Tarayacısı GüvenliğiSecurity Baselines for Microsoft Edge

Security Baselines for Microsoft Edge, tarayıcı kullanımında en iyi güvenlik uygulamalarını kolayca hayata geçirmenizi sağlar. Security Baselines, tarayıcı politikalarının yönetimi, kötü amaçlı içeriklerin engellenmesi ve veri sızıntısına karşı koruma gibi birçok alanda güvenlik önlemleri sunar.

Kolay Uygulanabilirlik

Security Baselines, Microsoft’un önerdiği güvenlik yapılandırmalarını hızlı bir şekilde uygulamanızı sağlar. IT yöneticileri, kapsamlı araştırmalar yapmadan Microsoft’un sunduğu en iyi güvenlik politikalarını devreye alabilirler. Bu da zamandan tasarruf sağlar ve güvenlik risklerini hızlı bir şekilde azaltır.

Standartlaştırılmış Güvenlik

Tüm organizasyonda aynı güvenlik politikalarının uygulanması, güvenlik açıklarının ve uyumsuzlukların önüne geçer. Microsoft Edge için belirlenen güvenlik temel çizgileri, tüm kullanıcılarda tutarlı ve standart güvenlik önlemlerinin uygulanmasını sağlar.

Daha Yüksek Güvenlik Seviyesi

Microsoft Security Baselines, politikaları en güncel tehditlere karşı optimize edilmiştir ve yüksek güvenlik sağlar. Özellikle sık güncellenen bu baseline, değişen tehdit ortamına hızlı bir şekilde adapte olmanıza yardımcı olur.

Uyumluluk Gereksinimlerinin Karşılanması

Kurumsal şirketlerin çeşitli güvenlik standartlarına (ISO, GDPR, KVKK gibi) uyum sağlaması gerekebilir. Security Baseline, bu uyumluluk gereksinimlerinin karşılanmasına yardımcı olan yapılandırmaları içerir. Bu sayede, şirketiniz hem güvenliği sağlarken hem de yasal yükümlülükleri yerine getirebilir.

Create seçeneği ile baseline’ı oluşturuyoruz.

İsimlendirme sonrası “next” diyerek ilerliyoruz.

Açılan ekranda maddeleri incelersek,

Allow unconfigured sites to be reloaded in Internet Explorer mode (İnternet Explorer modunda yeniden yüklenmesine izin ver):

  • Disabled: Yapılandırılmamış web sitelerin Internet Explorer modunda yeniden yüklenmesine izin verilmez. Bu seçenek, eski tarayıcı teknolojilerinin kullanımdan kaldırılmasını teşvik eder ve güvenliğinizi artırır.

Allow users to proceed from the HTTPS warning page (HTTPS uyarı sayfasından kullanıcıların devam etmesine izin ver):

  • Disabled: Kullanıcıların HTTPS güvenlik uyarı sayfasından ilerlemesi engellenir. Bu ayar, güvenliği düşük HTTPS bağlantılarının kullanılmasını önler.

Automatically open downloaded MHT or MHTML files from the web in Internet Explorer mode (Web’den indirilen MHT veya MHTML dosyalarını Internet Explorer modunda otomatik olarak aç):

  • Disabled: Web’den indirilen MHT ve MHTML dosyaları Internet Explorer modunda otomatik olarak açılmaz. Bu dosyaların kullanımı genellikle eskiye dayalıdır ve potansiyel güvenlik açıklarına neden olabilir.

Enable browser legacy extension point blocking (Tarayıcı eski uzantı noktası engellemesini etkinleştir):

  • Enabled: Tarayıcıda eski uzantıların kullanılmasını engeller. Eski uzantılar güvenlik açıklarına sebep olabileceğinden, bu seçenek eski teknolojilerin devre dışı bırakılmasına yardımcı olur.

Enable site isolation for every site (Her site için site izolasyonunu etkinleştir):

  • Enabled: Her web sitesi için izole edilmiş işlem kullanır, bu da bir sitenin güvenlik açığının diğer sitelere etkisini azaltır. Site izolasyonu, güvenlik açısından önemli bir tarayıcı özelliğidir.

Enhance images enabled (Görüntü iyileştirme etkinleştir):

  • Disabled: Web sitelerindeki görüntü iyileştirme özelliği devre dışı bırakılır. Görüntü kalitesini artırmaya yönelik iyileştirmeler yapılmaz.

Force WebSQL to be enabled (WebSQL’in etkinleştirilmesini zorla):

  • Disabled: WebSQL devre dışı bırakılır. WebSQL eski bir teknolojidir ve modern uygulamalar tarafından önerilmemektedir, bu da güvenlik risklerini azaltmak için devre dışı bırakılmıştır.

Show the Reload in Internet Explorer mode button in the toolbar (Araç çubuğunda Internet Explorer modunda yeniden yükle düğmesini göster):

  • Disabled: Araç çubuğunda Internet Explorer modunda yeniden yükle düğmesi gösterilmez. Bu, kullanıcıların Internet Explorer moduna kolayca geçmesini engelleyerek güvenliği artırır.

Specifies whether SharedArrayBuffers can be used in a non cross-origin-isolated context (SharedArrayBuffers’ın çapraz köken izolasyonu olmayan bir bağlamda kullanılmasına izin ver):

  • Disabled: SharedArrayBuffers, çapraz köken izolasyonu olmayan bir bağlamda kullanılamaz. Bu seçenek, tarayıcılar arasında paylaşılan veri yapılarını koruma altına alarak güvenliği artırır.

    Extensions (Uzantılar):

    • Control which extensions cannot be installed (Hangi uzantıların yüklenemeyeceğini kontrol et):
      • Enabled: Kullanıcıların belirli uzantıları yüklemesi engellenir. Burada belirlenen uzantı kimlikleri (Extension IDs) ile kullanıcıların hangi uzantıları yükleyemeyeceği kontrol edilir. Eğer yıldız (*) kullanılırsa, tüm uzantılar yasaklanmış olur.

    HTTP Authentication (HTTP Kimlik Doğrulama):

    • Allow Basic authentication for HTTP (HTTP için Temel kimlik doğrulamaya izin ver):
      • Disabled: HTTP için temel (basic) kimlik doğrulaması devre dışı bırakılır. Temel kimlik doğrulama, kullanıcı adı ve şifrenin şifrelenmeden iletilmesi nedeniyle güvenlik riskleri taşır, bu yüzden kapatılması tavsiye edilir.
    • Supported authentication schemes (Desteklenen kimlik doğrulama şemaları):
      • Enabled: Belirtilen kimlik doğrulama şemaları desteklenir. Görselde NTLM (Windows’un yerel kimlik doğrulama protokolü) ve Negotiate (Kerberos) şemaları desteklenmektedir. Bu protokoller, daha güvenli kimlik doğrulama sağlar.

    Native Messaging (Yerel Mesajlaşma):

    • Allow user-level native messaging hosts (installed without admin permissions) (Kullanıcı düzeyinde yerel mesajlaşma sunucularına izin ver):
      • Disabled: Kullanıcıların yönetici izni olmadan yerel mesajlaşma uygulamalarını yüklemesine izin verilmez. Bu ayar, yerel uygulamalardan tarayıcıya veri gönderme işlemini denetler. Güvenliği sağlamak için bu seçeneğin devre dışı bırakılması önerilir.

    Native Messaging

    • Allow user-level native messaging hosts (installed without admin permissions) (Kullanıcı düzeyinde yerel mesajlaşma sunucularına izin ver):
      • Disabled: Kullanıcıların yönetici izni olmadan yerel mesajlaşma sunucularını çalıştırmasına izin verilmez. Bu ayar, kullanıcıların tarayıcıyla etkileşim kuran uygulamaları sınırlandırarak güvenliği artırmayı hedefler.

    Private Network Request Settings

    • Specifies whether to allow insecure websites to make requests to more-private network endpoints (Güvensiz sitelerin daha özel ağ uç noktalarına istek göndermesine izin verilip verilmeyeceğini belirtir):
      • Disabled: Güvensiz web sitelerinin daha özel ağlara istek göndermesi engellenir. Bu, özellikle iç ağ veya VPN gibi daha hassas bağlantılar için güvenliği sağlamak adına önemlidir.

    SmartScreen Settings

    • Configure Microsoft Defender SmartScreen (Microsoft Defender SmartScreen’i yapılandır):
      • Enabled: Microsoft Defender SmartScreen aktif hale getirilir. SmartScreen, kötü amaçlı siteleri ve indirmeleri tespit ederek kullanıcılara uyarılar gönderir, bu da güvenliği artırır.
    • Configure Microsoft Defender SmartScreen to block potentially unwanted apps (Microsoft Defender SmartScreen’in potansiyel istenmeyen uygulamaları engellemesini yapılandır):
      • Enabled: Potansiyel olarak istenmeyen uygulamaların (PUA) indirilmesi ve çalıştırılması Microsoft Defender SmartScreen tarafından engellenir. Bu uygulamalar genellikle adware veya istenmeyen yazılımlar içerir.
    • Prevent bypassing Microsoft Defender SmartScreen prompts for sites (Microsoft Defender SmartScreen uyarılarının atlanmasını önle – siteler için):
      • Enabled: Kullanıcıların SmartScreen uyarılarını geçersiz kılmasını engeller. Bu, kötü amaçlı sitelere karşı ek güvenlik sağlar ve kullanıcıların tehlikeli web sitelerine erişmesini engeller.
    • Prevent bypassing of Microsoft Defender SmartScreen warnings about downloads (Microsoft Defender SmartScreen indirme uyarılarının atlanmasını önle):
      • Enabled: Kullanıcıların Microsoft Defender SmartScreen tarafından verilen indirme uyarılarını atlaması engellenir. Bu, kötü amaçlı yazılımların yanlışlıkla indirilmesinin önüne geçer.

    Typosquatting Checker Settings

    • Configure Edge TyposquattingChecker (Edge Typosquatting Denetleyicisini yapılandır):
      • Enabled: Bu ayar, kullanıcının yanlış yazdığı URL’leri tespit eden Typosquatting denetleyicisini etkinleştirir. Yanlış yazılmış domain adresleri üzerinden kötü niyetli web sitelerine yönlendirilmesini engelleyerek kullanıcıyı korur.

    Yapılan konfigurasyonlar sonrası, grup ataması gerçekleştirerek ilgili cihaz veya kullanıcıları belirleyerek politikayı oluşturuyoruz.

    Kullanıcı deneyimini ölçmek için, Edge tarayıcı adres bölümüne “edge://policy/” yazarak mevcut politikaları görüntüleyebiliriz.

    edge://policy” adresi harika bir kaynaktır çünkü uygulanan tüm ayarları görmenizi sağlar, politikayı detaylarını içeren MS’e bir bağlantı sağlamaktadır.

    İsterseniz bu kontrolleri Regedit (kayıt defteri) üzerinden de kontrol edebilirsiniz.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\providers

    Doğru sağlayıcıyı bulun, varsayılan klasörü genişlettiğinizde Device Key’inin altında alınan politikaları görebilirsiniz.

    Security Diognastic özelliği ile, Smartscreen yeteneğinin kullanımını denetleyebilirsiniz.

    edge://security-diagnostics/” sekmesine girerek mevcut Smartscreen ayarlarını görebilirsiniz.

    Alttaki araçla web sitelerinin SmartScreen tarafından engellenip engellenmeyeceğini kontrol edebilirsiniz.

    Hızlı bir gösterim için, kimlik avı için işaretlenmiş MS’den bir bağlantı kullanacağım. Bağlantıyı kopyalayıp URL’yi kontrol et’e tıklayacağım.

    https://demo.smartscreen.msft.net/phishingdemo.html

    Gördüğümüz üzere SmartScreen’in nasıl çalıştığını bu şekilde test edebiliriz.

    Tarayıcılar, her gün milyonlarca insanın kurumsal kaynaklara eriştiği önemli araçlardır ve güvenli olmadığında büyük riskler doğurabilirler. Microsoft Intune, tarayıcı güvenliğini sağlamanın en etkili yollarından biridir ve kullanıcıların güvenli bir şekilde web üzerinde gezinmelerini sağlarken kurumsal verilerin de korunmasını mümkün kılar.

    Bu rehberde ele aldığımız adımlar, tarayıcılarınızı güvenli hale getirmek için atabileceğiniz başlıca adımlardır. Güçlü güvenlik politikaları ve Intune’un sunduğu araçlarla tarayıcı güvenliğinizi en üst düzeye çıkarabilirsiniz.

    Bir sonraki makalede, diğer tarayıcıları da işliyor olacağız.

    Teşekkürler

    You might also like

    Intune ile Microsoft LAPS !
    December 26, 2023
    Microsoft Entra ID | macOS Platform SSO
    May 13, 2024
    Guest Kullanıcılar için Cihaz Güvenliği Nasıl Sağlanır ?
    September 12, 2024
    Language »