Bugün, Windows 365’in kutudan çıktığı anda hangi güvenlik özelliklerini sağladığına ve Bulut PC’lerinizi güvence altına almak için yapabileceğiniz ek eylemlere ilişkin ayrıntılardan bahsedeceğim. Hem Windows 365 Business hem de Windows 365 Enterprise için kılavuzu inceleyeceğiz.
Windows 365 ‘ten bahsetmeden önce, şimdiye kadar gördüğümüz en karmaşık siber güvenlik ortamında gezinirken, her kuruluşun kendi güvenliğini sağlamak için neler yapabileceklerini bilmek istediğini görüyoruz. Fiziksel PC’deki benzerleri gibi tüm Bulut PC’ler, ilk çalıştırma deneyiminden başlayarak aygıtın güvenliğini sağlayan Microsoft Defender ile birlikte gelir.
Windows 365 Business
Windows 365 Business, özellikle merkezi BT yönetim çözümleri veya BT personeli olmayan kuruluşlar olmak üzere daha küçük işletmeler için tasarlanmıştır. Sonuç olarak, Windows 365 Business, son kullanıcılara Bulut Bilgisayarları için yerel yönetici hakları verir. Bu, birçok küçük işletmede olana benzer: kullanıcılar bir perakendeciden kendileri fiziksel bir PC satın alırlar ve bu cihaz için yerel yönetici haklarını ellerinde tutarlar.
Belirli bir senaryo için Business’ı kullanmak isteyen bir BT departmanıysanız, bu kullanıcıları cihazlarında standart kullanıcılar olarak ayarlamak için standart BT güvenlik uygulamalarını izlemelisiniz. Bu yaklaşım için Microsoft Endpoint Manager’ı (Microsoft 365 İş Ekstra’nın bir parçası) kullanmak istiyorsanız şunları yapmanız gerekir:
- Otomatik kaydı kullanarak cihazları Microsoft Endpoint Manager’a kaydolacak şekilde yapılandırın.
- Yerel Yöneticiler grubunu yönetin. Azure Active Directory kullanarak bunun nasıl yapılacağı hakkında daha fazla ayrıntı için (Azure AD, Azure AD’ye katılmış cihazlarda yerel yöneticiler grubunu nasıl yöneteceğinize bakın.)
- Microsoft Defender Attack yüzey azaltma (ASR) kurallarını etkinleştirmeyi düşünün. ASR kuralları, Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını engellemek gibi belirli güvenlik sorunlarına yönelik kapsamlı savunma azaltma önlemleridir. ASR kurallarının nasıl etkinleştirileceğine ilişkin ayrıntılar için bkz. Saldırı yüzeyi azaltma kurallarını etkinleştirme.
- MFA’nın Windows 365’e erişmesini sağlama dahil olmak üzere Microsoft 365 İş Ekstra kurumsal güvenlik kılavuzunu inceleyin.
Windows 365 Enterprise
BT yönetimi merceğinden bakıldığında Business ve Enterprise arasında bazı dikkate değer farklılıklar vardır. Enterprise’ı özel BT ekipleri olan kuruluşlar için, Microsoft Endpoint Manager tarafından sağlanan yönetim ve güvenlik etrafında tasarlanmıştır. Kutudan çıktığı anda, Enterprise’daki tüm Bulut Bilgisayarlar:
- Microsoft Defender Antivirus uyarılarının raporlanması ve tam Microsoft Defender for Endpoint yeteneklerine katılma yeteneği ile Microsoft Endpoint Manager’a kayıtlıdır.
- Yöneticilerin kullanıcı bazında istisnalar yapabilmesi için son kullanıcıları standart kullanıcılar olarak yapılandırın.
Tüm Enterprise kullanıcılarının şunları yapmasını öneririm:
- Yerel yönetici ayrıcalıklarını kullanarak Bulut PC’lerde kimlerin oturum açabileceğini sınırlama da dahil olmak üzere standart Windows 10 güvenlik uygulamalarını izleyin.
- Microsoft Endpoint Manager’dan Bulut PC’lere güvenlik temel hattını dağıtın ve tüm Bulut PC’ler dahil olmak üzere uç noktalara derinlemesine savunma sağlamak için Microsoft Defender’dan yararlanın. Windows 365 güvenlik temeli, yukarıda yer alan ASR kurallarını etkinleştirir.
- Çok faktörlü kimlik doğrulama (MFA) ve kullanıcı/oturum açma riskini azaltma dahil olmak üzere Bulut PC’lere güvenli kimlik doğrulaması yapmak için Azure AD koşullu erişimini dağıtın.
Güvenilir Başlatma
Son olarak, Windows 365’te güvenilir başlatmadan henüz yararlanılamadığını söylemek istiyorum. Güvenilir başlatma, Azure’da sanal makinelerin güvenliğini artıran (TPM 2.0’ı etkinleştirme ve güvenli önyükleme gibi) bir dizi teknolojidir. Lansmanında duyurulduğu gibi, Windows 11’i bu takvim yılında genel kullanıma sunulduktan sonra güvenilir başlatma kullanılabilir olacak .
