Windows 1118 Mayıs 20267 dakika okuma

Windows 11 Kurumsal Güvenlik: BitLocker, Windows Hello ve Microsoft Defender

Windows 11'in kurumsal güvenlik katmanları olan BitLocker disk şifrelemesi, Windows Hello biyometrik kimlik doğrulaması ve Microsoft Defender Antivirus'u kurumsal ortamda nasıl yönetirsiniz?

Windows 11BitLockerWindows HelloMicrosoft DefenderKurumsal Güvenlik

Windows 11'in Güvenlik Mimarisi

Windows 11, "güvenli varsayılan" (Secure by Default) anlayışıyla tasarlanmıştır. TPM 2.0 ve Secure Boot zorunluluğu, Windows 10'dan farklı olarak bu güvenlik özelliklerinin donanım düzeyinde garanti altına alınmasını sağlar. Kurumsal ortamlarda bu temel, BitLocker, Windows Hello ve Defender ile güçlendirilir.

BitLocker Disk Şifrelemesi

BitLocker, Windows 11 Pro ve Enterprise'da bulunan tam disk şifreleme çözümüdür. AES-XTS-128 veya AES-XTS-256 algoritmalarını kullanır.

BitLocker Kurumsal Yönetim Senaryoları

  • Sessiz Şifreleme (Silent Encryption): Intune veya Group Policy aracılığıyla kullanıcı etkileşimi olmaksızın tüm cihazları otomatik şifreler. BitLocker anahtarları Azure AD veya on-premise AD'e kaydedilir.
  • Kurtarma Anahtarı Yönetimi: Her cihaz için benzersiz kurtarma anahtarı Microsoft Endpoint Manager (Intune) veya AD'de saklanır; kaybolan cihazlar için IT uzaktan kurtarma sağlayabilir.
  • Pre-Boot Authentication: Sunucu gibi yüksek güvenlikli cihazlarda PIN veya USB anahtar gerektiren ön-başlatma kimlik doğrulaması.
  • Network Unlock: Etki alanına bağlı cihazlar kurumsal ağa bağlıyken TPM+PIN yerine ağ üzerinden otomatik kilit açar; kullanıcı deneyimini korur.

BitLocker Politika Önerileri

  • Tüm dizüstü bilgisayarlarda BitLocker zorunlu tutulmalıdır (fiziksel çalınma riski).
  • AES-256 şifreleme tercih edilmelidir (varsayılan AES-128 yerine).
  • Kurtarma anahtarları merkezi olarak AD veya Intune'da saklanmalı; yerel kayıt tercih edilmemelidir.

Windows Hello for Business

Windows Hello, parola yerine PIN, yüz tanıma veya parmak izi kullanarak kimlik doğrulama sunar. Kurumsal versiyon olan Windows Hello for Business ek güvenlik katmanları içerir:

  • Asimetrik Kriptografi: Parola sunucuya gönderilmez; cihaz özel anahtarı TPM'de saklar ve sunucu halka açık anahtarla doğrulama yapar. Kimlik avı (phishing) saldırılarına karşı doğal koruma sağlar.
  • Hibrit Azure AD Join: On-premise AD ve Azure AD'ye birleşik cihazlarda Windows Hello for Business, her iki ortamda da çalışır.
  • Anti-Spoofing: Yüz tanıma özelliği fotoğraf veya video ile kandırılamaması için kızılötesi sensör kullanır (Windows Hello Enhanced Sign-in Security).

Intune ile Windows Hello Politikası

Microsoft Intune üzerinden Windows Hello for Business şu ayarlarla yapılandırılabilir:

  • Minimum PIN uzunluğu (önerilen: 8+)
  • PIN karmaşıklığı (büyük/küçük harf, rakam, özel karakter)
  • Biyometrik zorunluluğu (PIN fallback ile birlikte)
  • PIN süresi ve geçmiş denetimi

Microsoft Defender Antivirus

Windows 11'e dahil gelen Microsoft Defender Antivirus, ek yazılım gerektirmeden gerçek zamanlı koruma sunar:

  • Bulut Tabanlı Koruma: Şüpheli dosyalar Microsoft'un bulut altyapısında anlık analiz edilir; imza güncellemesi beklemeden sıfır gün tehditlere karşı koruma sağlar.
  • Davranış İzleme: Yalnızca bilinen zararlı yazılım imzaları değil; şüpheli davranış desenleri de tespit edilir.
  • Tamper Protection: Zararlı yazılımların Defender'ı devre dışı bırakmasını engeller; Intune veya SCCM olmadan ayarlar değiştirilemez.
  • Controlled Folder Access: Kritik klasörlere (Belgeler, Masaüstü) yetkisiz uygulama erişimini engeller; ransomware koruması için kritik bir katman.

Microsoft Defender for Endpoint (MDE)

Defender Antivirus'un ötesinde, Microsoft 365 E5 veya ayrı lisansla gelen Defender for Endpoint ek EDR (Endpoint Detection & Response) yetenekleri sunar:

  • Tehdit avı (Threat Hunting): Güvenlik analistleri olayları geriye dönük olarak sorgular.
  • Otomatik soruşturma ve yanıt (AIR): Uyarıları analiz eder, saldırı zincirini haritalandırır ve otomatik düzeltme önerir.
  • Attack Surface Reduction (ASR) kuralları: Makro tabanlı saldırılar, credential dumping ve process injection gibi teknikleri proaktif olarak engeller.

Windows Güvenlik Duvarı (Windows Firewall)

  • Domain, Private ve Public profilleri için ayrı kural setleri tanımlanabilir.
  • Intune veya Group Policy ile merkezi kural yönetimi yapılır.
  • Uygulama bazlı filtreleme: Yalnızca belirli uygulamalara ağ erişimi izni verilir.

Sonuç

Windows 11'in yerleşik güvenlik araçları, doğru yapılandırıldığında kurumsal ortamlarda güçlü bir koruma katmanı oluşturur. Lider Network olarak BitLocker politika tasarımı, Windows Hello for Business kurulumu ve Defender for Endpoint yönetimi konularında destek sağlıyoruz.

İlgili Makaleler

Windows 11

Windows 11 24H2 Güncellemesi: Tüm Yeni Özellikler ve Yenilikler

Oku Windows 11

Windows 11 Kurumsal Yönetim: Intune ve Group Policy ile Merkezi Kontrol

Oku Windows 11

Windows 10'dan Windows 11'e Geçiş Rehberi: Kurumsal Upgrade Stratejisi

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi