Defender for Cloud üzerinde Defender Server Plan 1 yada 2 ‘nin Sunucular için Defender for Endpoint lisansı sağladığını söylemeştik. Defender for Endpoint’in varsayılan güvenlik politikaları kimi ortamlar için yeterli olsada genelde büyük yapılarda tüm kontrolün güvenlik ekibinde olması istenir.
Defender for Endpoint kullandığınızda, dahil olan cihazlardaki Defender güvenlik ayarlarını, Microsoft Intune ve Microsoft 365 Defender portalından Intune’a kayıt (enrollment) olmadan yönetebilirsiniz. Bu yetenek Defender for Endpoint security settings management olarakta bilinmekte.
- Intune portal: https://intune.microsoft.com/
- Microsoft 365 Defender Portal: https://security.microsoft.com/
Dilerseniz bu ayarları Configuration Manager, GPO hatta PowerShell ile de yönetebilirsiniz. Bu yazının devamında Intune ile Endpoint Security profillerinin (Security Baselines yada Device Configuration profillerine değinmeyeceğiz) Windows Server’lar için nasil yönetebileceğimizi inceleyeceğiz.
Not: Güvenlik ayarları yönetimi Kalıcı olmayan olmayan VDI yada AVD (Non-persistent desktops) ve Domain Controller için desteklenmemektedir. Bu sistemlere ilgili ayarları uygulamak için Group Policy kullanarabilirsiniz. Güvenlik ayarlarını yönetmek için GPO ayarlarına aşağıdaki linklerden erişebilirsiniz:
- https://learn.microsoft.com/en-gb/windows/client-management/mdm/defender-csp#configurationdisablesshparsing
- https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-defender#allowbehaviormonitoring
Bu Güvenlik Politikaları Nelerdir ?
- Antivirus: Defender Güncellemeleri, Antivirus istisnaları, Windows Defender Security Center ayarları ve Defender Endpoint – AV politikalarını yönetebilirsiniz.
- Firewall: Windows Güvenlik duvarı ve kurallarını yönetebilirsiniz.
- Endpoint detection and response: Microsoft Defender EDR (Endpoint Detection and Response) ayarlarını yönetmenizi sağlar.
- Attack surface reduction Endpoint ASR (Attack Surface Reduction) kurallarını ve cihaz kontrol ayarlarını yönetebilirsiniz
Microsoft Defender’a yalnızca Defender for Server (Defender for Cloud’un bir parçası olarak) aracılığıyla erişiminiz varsa, güvenlik ayarları kullanılamaz. En az bir tane aktif Microsoft Defender for Endpoint (user) lisansınızın olması gerekir.
Nasıl Çalışır ?
1.Azure üyeliğimiz üzerinde Defender for Cloud -> Defender for Server planı aktif ettikten sonra sunuclara otomatik olarak MDE extention’ı yüklenir. Şirket içi sunucular için bu extension Azure Arc ile bağlantıktan sonra yüklenir. Bundan sonrasında artık sunucunuz Microsoft Defender for Endpoint kullanmaya hazır demektir.
2.Cihazlar Intune ile iletişim kurar. Bu iletişim, Microsoft Intune’un cihazlara giriş yaptıklarında hedeflenen ilkeleri dağıtmasını sağlar.
3.Microsoft Entra ID’de her cihaz için bir kayıt oluşturulur:
- Hybrid Join olarak kayıt olan cihazlar için bu kayıt kullanılır.
- Kaydı yapılmamış cihazlar için Microsoft Entra ID’de sentetik bir cihaz kimliği oluşturularak cihazın ilkeleri alabilmesi sağlanır. Sentetik kayıt, hybrid kayıt gereksinimide ortadan kaldırır.
4.Defender for Endpoint ilkenin durumunu Microsoft Intune’a geri bildirir
