Intune Endpoint Protection profili aracılığıyla yönetebileceğiniz Windows ayarları

Not

Intune, bu makalede listelenen ayarlardan daha fazla ayarı destekleyemeyebilir. Tüm ayarlar belgelenmez ve belgelenmez. Yapılandırabileceğiniz ayarları görmek için bir cihaz yapılandırma ilkesi oluşturun ve Ayarlar Kataloğu'nu seçin. Daha fazla bilgi için Ayarlar kataloğu'na gidin.

Microsoft Intune, cihazlarınızı korumaya yardımcı olacak birçok ayar içerir. Bu makalede, cihaz yapılandırması Uç nokta koruma şablonundaki ayarlar açıklanmaktadır. Cihaz güvenliğini yönetmek için, doğrudan cihaz güvenliğinin alt kümelerine odaklanan uç nokta güvenlik ilkelerini de kullanabilirsiniz. Microsoft Defender Virüsten Koruma'yı yapılandırmak için bkz. Windows cihaz kısıtlamaları veya uç nokta güvenliği Virüsten koruma ilkesini kullanma.

Başlamadan önce

Bir uç nokta koruma cihazı yapılandırma profili oluşturun.

Yapılandırma hizmeti sağlayıcıları (CSP' ler) hakkında daha fazla bilgi için bkz . Yapılandırma hizmeti sağlayıcısı başvurusu.

Microsoft Defender Application Guard

Microsoft Edge için Microsoft Defender Application Guard ortamınızı kuruluşunuz tarafından güvenilmeyen sitelerden korur. Application Guard ile, yalıtılmış ağ sınırınızda olmayan siteler bir Hyper-V sanal gözatma oturumunda açılır. Güvenilen siteler, Cihaz Yapılandırması'nda yapılandırılan bir ağ sınırı tarafından tanımlanır. Daha fazla bilgi için bkz. Windows cihazlarında ağ sınırı oluşturma.

Application Guard yalnızca 64 bit Windows cihazları için kullanılabilir. Bu profilin kullanılması, Application Guard etkinleştirmek için bir Win32 bileşeni yükler.

• Application Guard
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/AllowWindowsDefenderApplicationGuard

  • Edge için etkinleştirildi - Güvenilmeyen siteleri Hyper-V sanallaştırılmış gözatma kapsayıcısında açan bu özelliği açar.
  • Yapılandırılmadı - Cihazda herhangi bir site (güvenilir ve güvenilmeyen) açılabilir.

• Pano davranışı
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/PanoAyarlar

  Yerel bilgisayarla Application Guard sanal tarayıcısı arasında hangi kopyalama ve yapıştırma eylemlerine izin verileceğini seçin.

  • Yapılandırılmadı
  • Yalnızca bilgisayardan tarayıcıya kopyalama ve yapıştırmaya izin ver
  • Yalnızca tarayıcıdan bilgisayara kopyalama ve yapıştırmaya izin ver
  • Bilgisayar ve tarayıcı arasında kopyalama ve yapıştırmaya izin ver
  • Bilgisayar ve tarayıcı arasında kopyalama ve yapıştırmayı engelleme

• Pano içeriği
  Bu ayar yalnızca Pano davranışıizin verme ayarlarından birine ayarlandığında kullanılabilir.
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/PanoDosya Türü

  İzin verilen pano içeriğini seçin.

  • Yapılandırılmadı
  • Metin
  • Görüntü
  • Metin ve resimler

• Kurumsal sitelerdeki dış içerik
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/BlockNonEnterpriseContent

  • Engelle - Onaylanmamış web sitelerinin içeriğinin yüklenmesini engelleyin.
  • Yapılandırılmadı - Kuruluş dışı siteler cihazda açılabilir.

• Sanal tarayıcıdan yazdırma
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/PrintingSettings

  • İzin Ver - Seçilen içeriğin sanal tarayıcıdan yazdırılmasına izin verir.
  • Yapılandırılmadı Tüm yazdırma özelliklerini devre dışı bırakın.

  Yazdırmaya izin ver'i kullandığınızda aşağıdaki ayarı yapılandırabilirsiniz:

  • Yazdırma türleri Aşağıdaki seçeneklerden birini veya birkaçını seçin:
    • PDF
    • XPS
    • Yerel yazıcılar
    • Ağ yazıcıları

• Günlükleri toplama
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Audit/AuditApplicationGuard

  • İzin Ver - bir Application Guard gözatma oturumunda gerçekleşen olaylar için günlükleri toplayın.
  • Yapılandırılmadı - Gözatma oturumu içinde hiçbir günlük toplamayın.

• Kullanıcı tarafından oluşturulan tarayıcı verilerini saklama
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/AllowPersistence

  • Izin Application Guard sanal gözatma oturumu sırasında oluşturulan kullanıcı verilerini (parolalar, sık kullanılanlar ve tanımlama bilgileri gibi) kaydedin.
  • Yapılandırılmadı Cihaz yeniden başlatıldığında veya kullanıcı oturumu kapattığında kullanıcı tarafından indirilen dosyaları ve verileri atın.

• Grafik hızlandırma
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/AllowVirtualGPU

  • Etkinleştir - Sanal grafik işleme birimine erişim elde ederek yoğun grafik kullanımlı web sitelerini ve videoları daha hızlı yükleyin.
  • Yapılandırılmadı Grafik için cihazın CPU'sunu kullanın; Sanal grafik işleme birimini kullanmayın.

• Dosyaları konak dosya sistemine indirme
  Varsayılan: Yapılandırılmadı
  Application Guard CSP: Ayarlar/SaveFilesToHost

  • Etkinleştir - Kullanıcılar sanallaştırılmış tarayıcıdan konak işletim sistemine dosya indirebilir.
  • Yapılandırılmadı - Dosyaları cihazda yerel tutar ve dosyaları konak dosya sistemine indirmez.

Windows Güvenlik Duvarı

Genel ayarlar

Bu ayarlar tüm ağ türleri için geçerlidir.

• Dosya Aktarım Protokolü
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Global/DisableStatefulFtp

  • Engelle - Durum bilgisi olan FTP'yi devre dışı bırakın.
  • Yapılandırılmadı - Güvenlik duvarı, ikincil bağlantılara izin vermek için durum bilgisi olan FTP filtrelemesi yapar.

• Silinmeden önce güvenlik ilişkilendirmesi boşta kalma süresi
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Global/SaIdleTime

  Güvenlik ilişkilendirmelerinin silindiği saniyeler içinde boşta kalma süresini belirtin.

• Önceden paylaşılan anahtar kodlaması
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Global/PresharedKeyEncoding

  • Etkinleştir - UTF-8 kullanarak önceden ısıtılmış anahtarları kodla.
  • Yapılandırılmadı - Yerel depo değerini kullanarak önceden ısıtılmış anahtarları kodlayın.

• IPsec muafiyetleri
  Varsayılan: 0 seçili
  Güvenlik Duvarı CSP: MdmStore/Global/IPsecExempt

  IPsec'ten muaf tutulacak aşağıdaki trafik türlerinden birini veya daha fazlasını seçin:

  • Komşu bulma IPv6 ICMP tür kodları
  • ICMP
  • Yönlendirici bulma IPv6 ICMP tür kodları
  • Hem IPv4 hem de IPv6 DHCP ağ trafiği

• Sertifika iptal listesi doğrulaması
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Genel/CRLcheck

  Cihazın sertifika iptal listesini nasıl doğrulayasını seçin. Seçenekler şunlardır:

  • CRL doğrulamayı devre dışı bırakma
  • CrL doğrulaması yalnızca iptal edilen sertifikada başarısız oldu
  • Karşılaşılan herhangi bir hatada CRL doğrulaması başarısız oldu.

• Anahtarlama modülü başına kimlik doğrulama kümesini fırsatçı bir şekilde eşleştirin
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Etkinleştirmek Anahtarlama modüllerinin yalnızca desteklemedikleri kimlik doğrulama paketlerini yoksayması gerekir.
  • Yapılandırılmadı, anahtarlama modülleri kümede belirtilen tüm kimlik doğrulama paketlerini desteklemiyorsa tüm kimlik doğrulama kümesini yoksaymalıdır.

• Paket kuyruğa alma
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: MdmStore/Global/EnablePacketQueue

  IPsec tünel ağ geçidi senaryosu için şifrelenmiş alma ve düz metin iletme için alma tarafında yazılım ölçeklendirmenin nasıl etkinleştirildiğini belirtin. Bu ayar paket sırasının korunduğunu onaylar. Seçenekler şunlardır:

  • Yapılandırılmadı
  • Tüm paket kuyruğa alma özelliğini devre dışı bırakma
  • Yalnızca gelen şifrelenmiş paketleri kuyruğa alın
  • Yalnızca iletme için şifre çözme işlemi gerçekleştirildikten sonra kuyruk paketleri
  • Hem gelen hem de giden paketleri yapılandırma

Ağ ayarları

Aşağıdaki ayarların her biri bu makalede tek bir kez listelenmiştir, ancak tümü belirli üç ağ türü için geçerlidir:

• Etki alanı (çalışma alanı) ağı
• Özel (bulunabilir) ağ
• Genel (bulunamayan) ağ

Genel

• Windows Güvenlik Duvarı
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: EnableFirewall

  • Etkinleştir - Güvenlik duvarını ve gelişmiş güvenliği açın.
  • Yapılandırılmadı Diğer ilke ayarlarından bağımsız olarak tüm ağ trafiğine izin verir.

• Gizli mod
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DisableStealthMode

  • Yapılandırılmadı
  • Engelle - Güvenlik duvarının gizli modda çalıştırılması engellendi. Gizli modun engellenmesi , IPsec güvenli paket muafiyetini de engellemenizi sağlar.
  • İzin Ver - Güvenlik duvarı gizli modda çalışır ve bu da yoklama isteklerine verilen yanıtların önlenmesine yardımcı olur.

• Gizli Mod ile IPsec güvenli paket muafiyeti
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DisableStealthModeIpsecSecuredPacketExemption

  Stealth moduEngelle olarak ayarlandıysa bu seçenek yoksayılır.

  • Yapılandırılmadı
  • Engelle - IPSec güvenli paketleri muafiyet almaz.
  • İzin Ver - Muafiyetleri etkinleştirin. Güvenlik duvarının gizli modu, ana bilgisayarın IPsec tarafından güvenli hale getirilen istenmeyen ağ trafiğine yanıt vermesini engellemeMELIDIR.

• Korumalı
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: Korumalı

  • Yapılandırılmadı
  • Engelle - Windows Güvenlik Duvarı açıkken ve bu ayar Engelle olarak ayarlandığında, diğer ilke ayarlarına bakılmaksızın tüm gelen trafik engellenir.
  • İzin Ver - İzin Ver olarak ayarlandığında, bu ayar kapatılır ve diğer ilke ayarlarına göre gelen trafiğe izin verilir.

• Çok noktaya yayınlara tek noktaya yayın yanıtları
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DisableUnicastResponsesToMulticastBroadcast

  Genellikle, çok noktaya yayın veya yayın iletilerine tek noktaya yayın yanıtları almak istemezsiniz. Bu yanıtlar bir hizmet reddi (DOS) saldırısına veya bilinen bir canlı bilgisayarı yoklamaya çalışan bir saldırgana işaret edebilir.

  • Yapılandırılmadı
  • Engelle - Çok noktaya yayınlara tek noktaya yayın yanıtlarını devre dışı bırakın.
  • İzin Ver - Çok noktaya yayınlara tek noktaya yayın yanıtlarına izin verin.

• Gelen bildirimler
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DisableInboundNotifications

  • Yapılandırılmadı
  • Engelle - Bir uygulamanın bağlantı noktasında dinlemesi engellendiğinde bildirimleri kullanmak üzere gizleyin.
  • İzin Ver - Bu ayarı etkinleştirir ve bir uygulamanın bağlantı noktasında dinlemesi engellendiğinde kullanıcılara bildirim gösterebilir.

• Giden bağlantılar için varsayılan eylem
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DefaultOutboundAction

  Giden bağlantılarda gerçekleştirilen varsayılan eylem güvenlik duvarını yapılandırın. Bu ayar Windows sürüm 1809 ve üstüne uygulanır.

  • Yapılandırılmadı
  • Engelle - Varsayılan güvenlik duvarı eylemi, açıkça engellenmeyecek şekilde belirtilmediği sürece giden trafikte çalıştırılmaz.
  • İzin Ver - Giden bağlantılarda varsayılan güvenlik duvarı eylemleri çalıştırılır.

• Gelen bağlantılar için varsayılan eylem
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: DefaultInboundAction

  • Yapılandırılmadı
  • Engelle - Varsayılan güvenlik duvarı eylemi gelen bağlantılarda çalıştırılmıyor.
  • İzin Ver - Gelen bağlantılarda varsayılan güvenlik duvarı eylemleri çalıştırılır.

Kural birleştirme

• Yerel mağazadan yetkili uygulama Windows Güvenlik Duvarı kuralları
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: AuthAppsAllowUserPrefMerge

  • Yapılandırılmadı
  • Engelle - Yerel depodaki yetkili uygulama güvenlik duvarı kuralları yoksayılır ve uygulanmaz.
  • İzin Ver - Etkinleştir Yerel depodaki güvenlik duvarı kurallarının tanınması ve zorunlu kılınması için uygulanır'ı seçin.

• Yerel mağazadan genel bağlantı noktası Windows Güvenlik Duvarı kuralları
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: GlobalPortsAllowUserPrefMerge

  • Yapılandırılmadı
  • Engelle - Yerel depodaki genel bağlantı noktası güvenlik duvarı kuralları yoksayılır ve uygulanmaz.
  • İzin Ver - Tanınmak ve zorlanması için yerel depoda genel bağlantı noktası güvenlik duvarı kurallarını uygulayın.

• Yerel mağazadan Windows Güvenlik Duvarı kuralları
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: AllowLocalPolicyMerge

  • Yapılandırılmadı
  • Engelle - Yerel depodaki güvenlik duvarı kuralları yoksayılır ve uygulanmaz.
  • İzin Ver - Tanınmak ve zorlanması için yerel depoda güvenlik duvarı kurallarını uygulayın.

• Yerel mağazadan IPsec kuralları
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: AllowLocalIpsecPolicyMerge

  • Yapılandırılmadı
  • Engelle - Yerel depodaki bağlantı güvenlik kuralları, şema sürümüne ve bağlantı güvenlik kuralı sürümüne bakılmaksızın yoksayılır ve uygulanmaz.
  • İzin Ver - Şema veya bağlantı güvenlik kuralı sürümlerinden bağımsız olarak yerel depodan bağlantı güvenlik kuralları uygulayın.

Güvenlik duvarı kuralları

Bir veya daha fazla özel Güvenlik Duvarı kuralı ekleyebilirsiniz . Daha fazla bilgi için bkz. Windows cihazları için özel güvenlik duvarı kuralları ekleme.

Özel Güvenlik Duvarı kuralları aşağıdaki seçenekleri destekler:

Genel ayarlar

• Ad
  Varsayılan: Ad yok

  Kuralınız için kolay bir ad belirtin. Bu ad, tanımlamanıza yardımcı olacak kurallar listesinde görünür.

• Açıklama
  Varsayılan: Açıklama yok

  Kuralın açıklamasını sağlayın.

• Yön
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/Direction

  Bu kuralın Gelen veya Giden trafik için geçerli olup olmadığını belirtin. Yapılandırılmadı olarak ayarlandığında, kural giden trafiğe otomatik olarak uygulanır.

• Eylem
  Varsayılan: Yapılandırılmadı
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/Action ve FirewallRules/FirewallRuleName/Action/Type

  İzin Ver veya Engelle'yi seçin. Yapılandırılmadı olarak ayarlandığında kural varsayılan olarak trafiğe izin verir.

• Ağ türü
  Varsayılan: 0 seçili
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/Profiller

  Bu kuralın ait olduğu en fazla üç ağ türü türünü seçin. Seçenekler arasında Etki Alanı, Özel ve Genel yer alır. Hiçbir ağ türü seçilmezse, kural üç ağ türü için de geçerlidir.

Uygulama ayarları

• Uygulamalar
  Varsayılan: Tümü

  Bir uygulama veya program için bağlantıları denetleme. Uygulamalar ve programlar dosya yolu, paket ailesi adı veya hizmet adıyla belirtilebilir:

  • Paket ailesi adı – Bir paket ailesi adı belirtin. Paket ailesi adını bulmak için Get-AppxPackage PowerShell komutunu kullanın.
    Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Dosya yolu – İstemci cihazındaki bir uygulamanın mutlak yol veya göreli yol olabilecek bir dosya yolu belirtmeniz gerekir. Örneğin: C:\Windows\System\Notepad.exe veya %WINDIR%\Notepad.exe.
    Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/App/FilePath

  • Windows hizmeti – Trafik gönderen veya alan bir uygulama değil de bir hizmetse Windows hizmetinin kısa adını belirtin. Hizmetin kısa adını bulmak için Get-Service PowerShell komutunu kullanın.
    Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/App/ServiceName

  • Tümü– Yapılandırma gerekmez

IP adresi ayarları

Bu kuralın uygulanacağı yerel ve uzak adresleri belirtin.

• Yerel adresler
  Varsayılan: Herhangi bir adres
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/LocalPortRanges

  Herhangi bir adres veya Belirtilen adres'i seçin.

  Belirtilen adres kullandığınızda, kural kapsamındaki yerel adreslerin virgülle ayrılmış listesi olarak bir veya daha fazla adres eklersiniz. Geçerli belirteçler şunlardır:

  • Herhangi bir yerel adres için yıldız işareti * kullanın. Yıldız işareti kullanıyorsanız, kullandığınız tek belirteç bu olmalıdır.
  • Alt ağ maskesine veya ağ ön eki gösterimine göre bir alt ağ belirtin. Alt ağ maskesi veya ağ ön eki belirtilmezse, alt ağ maskesi varsayılan olarak 255.255.255.255 olarak ayarlanır.
  • Geçerli bir IPv6 adresi.
  • Boşluk içermeyen "başlangıç adresi - bitiş adresi" biçiminde bir IPv4 adres aralığı.
  • Boşluk içermeyen "başlangıç adresi - bitiş adresi" biçiminde bir IPv6 adres aralığı.

• Uzak adresler
  Varsayılan: Herhangi bir adres
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Herhangi bir adres veya Belirtilen adres'i seçin.

  Belirtilen adresi kullandığınızda, kural kapsamındaki uzak adreslerin virgülle ayrılmış listesi olarak bir veya daha fazla adres eklersiniz. Belirteçler büyük/küçük harfe duyarlı değildir. Geçerli belirteçler şunlardır:

  • Uzak adresler için yıldız işareti "*" kullanın. Yıldız işareti kullanıyorsanız, kullandığınız tek belirteç bu olmalıdır.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (Windows sürüm 1809 ve sonraki sürümlerde desteklenir)
  • RmtIntranet (Windows sürüm 1809 ve sonraki sürümlerde desteklenir)
  • Internet (Windows sürüm 1809 ve sonraki sürümlerde desteklenir)
  • Ply2Renders (Windows sürüm 1809 ve sonraki sürümlerde desteklenir)
  • LocalSubnet yerel alt bilgisayarınızda herhangi bir yerel adresi gösterir.
  • Alt ağ maskesine veya ağ ön eki gösterimine göre bir alt ağ belirtin. Alt ağ maskesi veya ağ ön eki belirtilmezse, alt ağ maskesi varsayılan olarak 255.255.255.255 olarak ayarlanır.
  • Geçerli bir IPv6 adresi.
  • Boşluk içermeyen "başlangıç adresi - bitiş adresi" biçiminde bir IPv4 adres aralığı.
  • Boşluk içermeyen "başlangıç adresi - bitiş adresi" biçiminde bir IPv6 adres aralığı.

Bağlantı noktası ve protokol ayarları

Bu kuralın geçerli olduğu yerel ve uzak bağlantı noktalarını belirtin.

• Protokol
  Varsayılan: Herhangi biri
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/Protocol
  Aşağıdakilerden birini seçin ve gerekli yapılandırmaları tamamlayın:
  • Tümü – Kullanılabilir yapılandırma yok.
  • TCP – Yerel ve uzak bağlantı noktalarını yapılandırın. Her iki seçenek de Tüm bağlantı noktalarını veya Belirtilen bağlantı noktalarını destekler. Virgülle ayrılmış bir liste kullanarak Belirtilen bağlantı noktalarını girin.
    • Yerel bağlantı noktaları - Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Uzak bağlantı noktaları - Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP – Yerel ve uzak bağlantı noktalarını yapılandırın. Her iki seçenek de Tüm bağlantı noktalarını veya Belirtilen bağlantı noktalarını destekler. Virgülle ayrılmış bir liste kullanarak Belirtilen bağlantı noktalarını girin.
    • Yerel bağlantı noktaları - Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Uzak bağlantı noktaları - Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • Özel – 0 ile 255 bir özel protokol numarası belirtin.

Gelişmiş yapılandırma

• Arabirim türleri
  Varsayılan: 0 seçili
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/InterfaceTypes

  Aşağıdaki seçeneklerden birini belirleyin:

  • Uzaktan erişim
  • Kablosuz
  • Yerel ağ

• Yalnızca bu kullanıcılardan gelen bağlantılara izin ver
  Varsayılan: Tüm kullanıcılar (Liste belirtilmediğinde varsayılan olarak tüm kullanıcılar tarafından kullanılır)
  Güvenlik Duvarı CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Bu kural için yetkili yerel kullanıcıların listesini belirtin. Bu kural bir Windows hizmeti için geçerliyse yetkili kullanıcıların listesi belirtilemiyor.

SmartScreen ayarlarını Microsoft Defender

Microsoft Edge cihaza yüklenmelidir.

• Uygulamalar ve dosyalar için SmartScreen
  Varsayılan: Yapılandırılmadı
  SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

  • Yapılandırılmadı - SmartScreen kullanımını devre dışı bırakır.
  • Etkinleştir - Dosya yürütme ve uygulamaları çalıştırma için Windows SmartScreen'i etkinleştirin. SmartScreen, bulut tabanlı bir kimlik avı önleme ve kötü amaçlı yazılımdan koruma bileşenidir.

• Onaylanmamış dosyaların yürütülmesi
  Varsayılan: Yapılandırılmadı
  SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

  • Yapılandırılmadı - Bu özelliği devre dışı bırakır ve son kullanıcıların doğrulanmamış dosyaları çalıştırmasına izin verir.
  • Engelle - Son kullanıcıların Windows SmartScreen tarafından doğrulanmamış dosyaları çalıştırmasını engelleyin.

Windows Şifrelemesi

Windows Ayarları

• Cihazları şifreleme
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: RequireDeviceEncryption

  • Gerekli - Kullanıcılardan cihaz şifrelemesini etkinleştirmelerini iste. Windows sürümüne ve sistem yapılandırmasına bağlı olarak kullanıcılara şu sorular sorulabilir:
    • Başka bir sağlayıcıdan şifrelemenin etkinleştirilmediğini onaylamak için.
    • BitLocker Sürücü Şifrelemesi'nin kapatılması ve ardından BitLocker'ın yeniden açılabilmesi gerekir.
  • Yapılandırılmadı

  Başka bir şifreleme yöntemi etkinken Windows şifrelemesi açıksa cihaz kararsız hale gelebilir.

BitLocker temel ayarları

Temel ayarlar, tüm veri sürücüsü türleri için evrensel BitLocker ayarlarıdır. Bu ayarlar, son kullanıcının her tür veri sürücüsünde değiştirebileceği sürücü şifreleme görevlerini veya yapılandırma seçeneklerini yönetir.

• Diğer disk şifrelemesi için uyarı
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: AllowWarningForOtherDiskEncryption

  • Engelle - Cihazda başka bir disk şifreleme hizmeti varsa uyarı istemini devre dışı bırakın.
  • Yapılandırılmadı - Diğer disk şifrelemesi için uyarının gösterilmesine izin verin.

  İpucu

  Microsoft Entra katılmış ve Windows 1809 veya üzerini çalıştıran bir cihaza BitLocker'ı otomatik ve sessiz bir şekilde yüklemek için bu ayarın Engelle olarak ayarlanması gerekir. Daha fazla bilgi için bkz. Cihazlarda BitLocker'ı sessizce etkinleştirme.

  Engelle olarak ayarlandığında aşağıdaki ayarı yapılandırabilirsiniz:

  • Standart kullanıcıların Microsoft Entra katılma sırasında şifrelemeyi etkinleştirmesine izin ver
    Bu ayar yalnızca Microsoft Entra katılmış (Azure ADJ) cihazlar için geçerlidir ve önceki ayarı Warning for other disk encryptionolan öğesine bağlıdır.
    Varsayılan: Yapılandırılmadı
    BitLocker CSP: AllowStandardUserEncryption

    • İzin Ver - Standart kullanıcılar (yönetici olmayanlar) oturum açtıklarında BitLocker şifrelemesini etkinleştirebilir.
    • Yapılandırılmadı yalnızca Yöneticiler cihazda BitLocker şifrelemesini etkinleştirebilir.

  İpucu

  BitLocker'ı Microsoft Entra katılmış ve Windows 1809 veya üzerini çalıştıran bir cihaza otomatik ve sessiz bir şekilde yüklemek için bu ayarın İzin Ver olarak ayarlanması gerekir. Daha fazla bilgi için bkz. Cihazlarda BitLocker'ı sessizce etkinleştirme.

• Şifreleme yöntemlerini yapılandırma
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: EncryptionMethodByDriveType

  • Etkinleştir - İşletim sistemi, veriler ve çıkarılabilir sürücüler için şifreleme algoritmalarını yapılandırın.
  • Yapılandırılmadı - BitLocker varsayılan şifreleme yöntemi olarak XTS-AES 128 bit kullanır veya herhangi bir kurulum betiği tarafından belirtilen şifreleme yöntemini kullanır.

  Etkinleştir olarak ayarlandığında aşağıdaki ayarları yapılandırabilirsiniz:

  • İşletim sistemi sürücüleri için şifreleme
    Varsayılan: XTS-AES 128 bit

    İşletim sistemi sürücüleri için şifreleme yöntemini seçin. XTS-AES algoritmasını kullanmanızı öneririz.

    • AES-CBC 128 bit
    • AES-CBC 256 bit
    • XTS-AES 128 bit
    • XTS-AES 256 bit

  • Sabit veri sürücüleri için şifreleme
    Varsayılan: AES-CBC 128 bit

    Sabit (yerleşik) veri sürücüleri için şifreleme yöntemini seçin. XTS-AES algoritmasını kullanmanızı öneririz.

    • AES-CBC 128 bit
    • AES-CBC 256 bit
    • XTS-AES 128 bit
    • XTS-AES 256 bit

  • Çıkarılabilir veri sürücüleri için şifreleme
    Varsayılan: AES-CBC 128 bit

    Çıkarılabilir veri sürücüleri için şifreleme yöntemini seçin. Çıkarılabilir sürücü Windows 10/11 çalışmayan cihazlarla kullanılıyorsa, AES-CBC algoritmasını kullanmanızı öneririz.

    • AES-CBC 128 bit
    • AES-CBC 256 bit
    • XTS-AES 128 bit
    • XTS-AES 256 bit

BitLocker işletim sistemi sürücü ayarları

Bu ayarlar özellikle işletim sistemi veri sürücüleri için geçerlidir.

• Başlangıçta ek kimlik doğrulaması
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Gerekli - Güvenilen Platform Modülü (TPM) kullanımı dahil olmak üzere bilgisayar başlatma için kimlik doğrulama gereksinimlerini yapılandırın.
  • Yapılandırılmadı - TPM'ye sahip cihazlarda yalnızca temel seçenekleri yapılandırın.

  Gerekli olarak ayarlandığında, aşağıdaki ayarları yapılandırabilirsiniz:

  • Uyumlu olmayan TPM yongası ile BitLocker
    Varsayılan: Yapılandırılmadı

    • Engelle - Cihazın uyumlu bir TPM yongası olmadığında BitLocker kullanımını devre dışı bırakın.
    • Yapılandırılmadı - Kullanıcılar BitLocker'ı uyumlu bir TPM yongası olmadan kullanabilir. BitLocker bir parola veya başlangıç anahtarı gerektirebilir.

  • Uyumlu TPM başlatma
    Varsayılan: TPM'ye izin ver

    TPM'ye izin verilip verilmeyeceğini, gerekli olup olmadığını yapılandırın.

    • TPM'ye izin ver
    • TPM'ye izin verme
    • TPM gerektir

  • Uyumlu TPM başlangıç PIN'i
    Varsayılan: TPM ile başlangıç PIN'ine izin ver

    TPM yongası ile başlangıç PIN'i kullanmaya izin vermeyi, izin vermemeyi veya gerektirmeyi seçin. Başlangıç PIN'ini etkinleştirmek için son kullanıcının etkileşimi gerekir.

    • TPM ile başlangıç PIN'ine izin ver
    • TPM ile başlangıç PIN'ine izin verme
    • TPM ile başlangıç PIN'i gerektir

    İpucu

    BitLocker'ı Microsoft Entra katılmış ve Windows 1809 veya sonraki bir sürümünü çalıştıran bir cihaza otomatik ve sessiz bir şekilde yüklemek için, bu ayar TPM ile başlangıç PIN'i gerektir olarak ayarlanmamalıdır. Daha fazla bilgi için bkz. Cihazlarda BitLocker'ı sessizce etkinleştirme.

  • Uyumlu TPM başlangıç anahtarı
    Varsayılan: TPM ile başlangıç anahtarına izin ver

    TPM yongası ile bir başlangıç anahtarı kullanmaya izin vermeyi, izin vermeyi değil veya kullanmayı tercih edin. Başlangıç anahtarının etkinleştirilmesi için son kullanıcının etkileşimi gerekir.

    • TPM ile başlangıç anahtarına izin ver
    • TPM ile başlangıç anahtarına izin verme
    • TPM ile başlangıç anahtarı iste

    İpucu

    BitLocker'ı Microsoft Entra katılmış ve Windows 1809 veya üzerini çalıştıran bir cihaza otomatik ve sessiz bir şekilde yüklemek için bu ayar TPM ile başlangıç anahtarı gerektir olarak ayarlanmamalıdır. Daha fazla bilgi için bkz. Cihazlarda BitLocker'ı sessizce etkinleştirme.

  • Uyumlu TPM başlangıç anahtarı ve PIN
    Varsayılan: TPM ile başlangıç anahtarına ve PIN'e izin ver

    TPM yongası ile başlangıç anahtarı ve PIN kullanmaya izin vermeyi, izin vermemeyi veya gerektirmeyi seçin. Başlangıç anahtarı ve PIN'in etkinleştirilmesi için son kullanıcının etkileşimi gerekir.

    • TPM ile başlangıç anahtarına ve PIN'e izin ver
    • TPM ile başlangıç anahtarına ve PIN'e izin verme
    • TPM ile başlangıç anahtarı ve PIN iste

    İpucu

    BitLocker'ı Microsoft Entra katılmış ve Windows 1809 veya sonraki bir sürümünü çalıştıran bir cihaza otomatik ve sessiz bir şekilde yüklemek için bu ayarın BAŞLANGıÇ anahtarı ve TPM ile PIN gerektir olarak ayarlanmaması gerekir. Daha fazla bilgi için bkz. Cihazlarda BitLocker'ı sessizce etkinleştirme.

• Minimum PIN Uzunluğu
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: SystemDrivesMinimumPINLength

  • Etkinleştirmek TPM başlangıç PIN'i için en düşük uzunluğu yapılandırın.
  • Yapılandırılmadı - Kullanıcılar 6 ile 20 basamak arasında herhangi bir uzunlukta başlangıç PIN'i yapılandırabilir.

  Etkinleştir olarak ayarlandığında, aşağıdaki ayarı yapılandırabilirsiniz:

  • En küçük karakterler
    Varsayılan: Yapılandırılmadı BitLocker CSP: SystemDrivesMinimumPINLength

    Başlangıç PIN'i için gereken karakter sayısını 4-20'den girin.

• İşletim sistemi sürücüsü kurtarma
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Etkinleştir - Gerekli başlangıç bilgileri kullanılabilir olmadığında BitLocker korumalı işletim sistemi sürücülerinin nasıl kurtarıldığından denetleyebilirsiniz.
  • Yapılandırılmadı - DRA dahil olmak üzere varsayılan kurtarma seçenekleri desteklenir. Son kullanıcı kurtarma seçeneklerini belirtebilir. Kurtarma bilgileri AD DS'ye yedeklenmez.

  Etkinleştir olarak ayarlandığında aşağıdaki ayarları yapılandırabilirsiniz:

  • Sertifika tabanlı veri kurtarma aracısı
    Varsayılan: Yapılandırılmadı

    • Engelle - BitLocker korumalı işletim sistemi sürücüleriyle veri kurtarma aracısının kullanımını engelleyin.
    • Yapılandırılmadı - BitLocker korumalı işletim sistemi sürücüleriyle veri kurtarma aracılarının kullanılmasına izin verin.

  • Kullanıcı kurtarma parolası oluşturma
    Varsayılan: 48 basamaklı kurtarma parolasına izin ver

    Kullanıcıların 48 basamaklı bir kurtarma parolası oluşturmasına izin verilip verilmeyeceğini, gerekli olup olmadığını seçin.

    • 48 basamaklı kurtarma parolasına izin ver
    • 48 basamaklı kurtarma parolasına izin verme
    • 48 basamaklı kurtarma parolası gerektir

  • Kurtarma anahtarı kullanıcı oluşturma
    Varsayılan: 256 bit kurtarma anahtarına izin ver

    Kullanıcıların 256 bit kurtarma anahtarı oluşturmasına izin verilip verilmeyeceğini, gerekli olup olmadığını seçin.

    • 256 bit kurtarma anahtarına izin ver
    • 256 bit kurtarma anahtarına izin verme
    • 256 bit kurtarma anahtarı gerektir

  • BitLocker kurulum sihirbazındaki kurtarma seçenekleri
    Varsayılan: Yapılandırılmadı

    • Engelle - Kullanıcılar kurtarma seçeneklerini göremez ve değiştiremez. Olarak ayarlandığında
    • Yapılandırılmadı - Kullanıcılar BitLocker'ı açtıklarında kurtarma seçeneklerini görebilir ve değiştirebilir.

  • BitLocker kurtarma bilgilerini Microsoft Entra kimliğine kaydetme
    Varsayılan: Yapılandırılmadı

    • Etkinleştir - BitLocker kurtarma bilgilerini Microsoft Entra kimliğine depolayın.
    • Yapılandırılmadı - BitLocker kurtarma bilgileri Microsoft Entra kimliğinde depolanmaz.

  • Microsoft Entra kimliğine depolanan BitLocker kurtarma bilgileri
    Varsayılan: Yedekleme kurtarma parolaları ve anahtar paketleri

    BitLocker kurtarma bilgilerinin hangi bölümlerinin Microsoft Entra kimliğinde depolandığını yapılandırın. Aralarından seçim yapın:

    • Yedekleme kurtarma parolaları ve anahtar paketleri
    • Yalnızca yedekleme kurtarma parolaları

  • İstemci temelli kurtarma parolası döndürme
    Varsayılan: Yapılandırılmadı
    BitLocker CSP: ConfigureRecoveryPasswordRotation

    Bu ayar, işletim sistemi sürücüsü kurtarma işleminden sonra (bootmgr veya WinRE kullanarak) istemci tabanlı kurtarma parolası döndürme işlemini başlatır.

    • Yapılandırılmadı
    • Anahtar döndürme devre dışı bırakıldı
    • Birleştirilmiş Microsoft Entra deice'ler için anahtar döndürme etkinleştirildi
    • Microsoft Entra Kimliği ve Karma birleştirilmiş cihazlar için anahtar döndürme etkinleştirildi

  • BitLocker'i etkinleştirmeden önce kurtarma bilgilerini Microsoft Entra kimliğinde depolama
    Varsayılan: Yapılandırılmadı

    Bilgisayar, BitLocker kurtarma bilgilerini Microsoft Entra kimliğine başarıyla yedeklemediği sürece kullanıcıların BitLocker'ı etkinleştirmesini engelleyin.

    • Gerekli - BitLocker kurtarma bilgileri Microsoft Entra kimliğinde başarıyla depolanmadığı sürece kullanıcıların BitLocker'u açmasını durdurun.
    • Yapılandırılmadı - Kurtarma bilgileri Microsoft Entra kimliğinde başarıyla depolanmasa bile kullanıcılar BitLocker'ı açabilir.

• Önyükleme öncesi kurtarma iletisi ve URL
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: SystemDrivesRecoveryMessage

  • Etkinleştir - Önyükleme öncesi anahtar kurtarma ekranında görüntülenen iletiyi ve URL'yi yapılandırın.
  • Yapılandırılmadı - Bu özelliği devre dışı bırakın.

  Etkinleştir olarak ayarlandığında, aşağıdaki ayarı yapılandırabilirsiniz:

  • Önyükleme öncesi kurtarma iletisi
    Varsayılan: Varsayılan kurtarma iletisini ve URL'sini kullanın

    Önyükleme öncesi kurtarma iletisinin kullanıcılara nasıl görüntülenmesini yapılandırın. Aralarından seçim yapın:

    • Varsayılan kurtarma iletisini ve URL'sini kullanma
    • Boş kurtarma iletisi ve URL kullanma
    • Özel kurtarma iletisi kullanma
    • Özel kurtarma URL'si kullanma

BitLocker sabit veri sürücüsü ayarları

Bu ayarlar özellikle sabit veri sürücüleri için geçerlidir.

• BitLocker tarafından korunmayan sabit veri sürücüsüne yazma erişimi
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: FixedDrivesRequireEncryption

  • Engelle - BitLocker korumalı olmayan veri sürücülerine salt okunur erişim verin.
  • Yapılandırılmadı - Varsayılan olarak, şifrelenmemiş veri sürücülerine okuma ve yazma erişimi.

• Sürücü kurtarma düzeltildi
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Etkinleştir - Gerekli başlatma bilgileri kullanılabilir olmadığında BitLocker korumalı sabit sürücülerin nasıl kurtarıldığından denetleyebilirsiniz.
  • Yapılandırılmadı - Bu özelliği devre dışı bırakın.

  Etkinleştir olarak ayarlandığında aşağıdaki ayarları yapılandırabilirsiniz:

  • Veri kurtarma aracısı
    Varsayılan: Yapılandırılmadı

    • Engelle - Veri kurtarma aracısının BitLocker korumalı sabit sürücüler İlke Düzenleyicisi ile kullanılmasını engelleyin.
    • Yapılandırılmadı - BitLocker korumalı sabit sürücülerle veri kurtarma aracılarının kullanımını etkinleştirir.

  • Kullanıcı kurtarma parolası oluşturma
    Varsayılan: 48 basamaklı kurtarma parolasına izin ver

    Kullanıcıların 48 basamaklı bir kurtarma parolası oluşturmasına izin verilip verilmeyeceğini, gerekli olup olmadığını seçin.

    • 48 basamaklı kurtarma parolasına izin ver
    • 48 basamaklı kurtarma parolasına izin verme
    • 48 basamaklı kurtarma parolası gerektir

  • Kurtarma anahtarı kullanıcı oluşturma
    Varsayılan: 256 bit kurtarma anahtarına izin ver

    Kullanıcıların 256 bit kurtarma anahtarı oluşturmasına izin verilip verilmeyeceğini, gerekli olup olmadığını seçin.

    • 256 bit kurtarma anahtarına izin ver
    • 256 bit kurtarma anahtarına izin verme
    • 256 bit kurtarma anahtarı gerektir

  • BitLocker kurulum sihirbazındaki kurtarma seçenekleri
    Varsayılan: Yapılandırılmadı

    • Engelle - Kullanıcılar kurtarma seçeneklerini göremez ve değiştiremez. Olarak ayarlandığında
    • Yapılandırılmadı - Kullanıcılar BitLocker'ı açtıklarında kurtarma seçeneklerini görebilir ve değiştirebilir.

  • BitLocker kurtarma bilgilerini Microsoft Entra kimliğine kaydetme
    Varsayılan: Yapılandırılmadı

    • Etkinleştir - BitLocker kurtarma bilgilerini Microsoft Entra kimliğine depolayın.
    • Yapılandırılmadı - BitLocker kurtarma bilgileri Microsoft Entra kimliğinde depolanmaz.

  • Microsoft Entra kimliğine depolanan BitLocker kurtarma bilgileri
    Varsayılan: Yedekleme kurtarma parolaları ve anahtar paketleri

    BitLocker kurtarma bilgilerinin hangi bölümlerinin Microsoft Entra kimliğinde depolandığını yapılandırın. Aralarından seçim yapın:

    • Yedekleme kurtarma parolaları ve anahtar paketleri
    • Yalnızca yedekleme kurtarma parolaları

  • BitLocker'i etkinleştirmeden önce kurtarma bilgilerini Microsoft Entra kimliğinde depolama
    Varsayılan: Yapılandırılmadı

    Bilgisayar, BitLocker kurtarma bilgilerini Microsoft Entra kimliğine başarıyla yedeklemediği sürece kullanıcıların BitLocker'ı etkinleştirmesini engelleyin.

    • Gerekli - BitLocker kurtarma bilgileri Microsoft Entra kimliğinde başarıyla depolanmadığı sürece kullanıcıların BitLocker'u açmasını durdurun.
    • Yapılandırılmadı - Kurtarma bilgileri Microsoft Entra kimliğinde başarıyla depolanmasa bile kullanıcılar BitLocker'ı açabilir.

BitLocker çıkarılabilir veri sürücüsü ayarları

Bu ayarlar özellikle çıkarılabilir veri sürücüleri için geçerlidir.

• BitLocker tarafından korunmayan çıkarılabilir veri sürücüsüne yazma erişimi
  Varsayılan: Yapılandırılmadı
  BitLocker CSP: ÇıkarılabilirDrivesRequireEncryption

  • Engelle - BitLocker korumalı olmayan veri sürücülerine salt okunur erişim verin.
  • Yapılandırılmadı - Varsayılan olarak, şifrelenmemiş veri sürücülerine okuma ve yazma erişimi.

  Etkinleştir olarak ayarlandığında, aşağıdaki ayarı yapılandırabilirsiniz:

  • Başka bir kuruluşta yapılandırılmış cihazlara yazma erişimi
    Varsayılan: Yapılandırılmadı

    • Engelle - Başka bir kuruluşta yapılandırılmış cihazlara yazma erişimini engelleyin.
    • Yapılandırılmadı - Yazma erişimini reddet.

Microsoft Defender Exploit Guard

Çalışanlarınızın kullandığı uygulamaların saldırı yüzeyini yönetmek ve azaltmak için açıklardan yararlanma korumasını kullanın.

Saldırı Yüzeyi Azaltma

Saldırı yüzeyi azaltma kuralları, kötü amaçlı yazılımların bilgisayarlara kötü amaçlı kod bulaştırmak için sıklıkla kullandığı davranışları önlemeye yardımcı olur.

Saldırı Yüzeyi Azaltma kuralları

Daha fazla bilgi edinmek için Uç Nokta için Microsoft Defender belgelerindeki Saldırı yüzeyi azaltma kuralları bölümüne bakın.

Intune'da Saldırı yüzeyi azaltma kuralları için birleştirme davranışı:

Saldırı yüzeyi azaltma kuralları, her cihaz için bir ilke üst kümesi oluşturmak üzere farklı ilkelerden ayarların birleştirilmesini destekler. Yalnızca çakışma olmayan ayarlar birleştirilirken, çakışan ayarlar kuralların üst kümesine eklenmez. Daha önce, iki ilkede tek bir ayar için çakışmalar varsa, her iki ilke de çakışmada olarak işaretlenir ve her iki profilden hiçbir ayar dağıtılmazdı.

Saldırı yüzeyi azaltma kuralı birleştirme davranışı aşağıdaki gibidir:

• Aşağıdaki profillerden gelen saldırı yüzeyi azaltma kuralları, kuralların geçerli olduğu her cihaz için değerlendirilir:
  • Cihazlar > Yapılandırma ilkesi > Endpoint protection profili > Microsoft Defender Exploit Guard >Saldırı Yüzeyi Azaltma
  • Uç nokta güvenliği > Saldırı yüzeyi azaltma ilkesi >Saldırı yüzeyi azaltma kuralları
  • Uç nokta güvenliği > Güvenlik temelleri > Uç Nokta için Microsoft Defender Temel >Saldırı Yüzeyi Azaltma Kuralları.
• Çakışması olmayan ayarlar, cihaz için bir ilke üst kümesine eklenir.
• İki veya daha fazla ilke çakışan ayarlara sahip olduğunda, çakışan ayarlar birleştirilmiş ilkeye eklenmez. Çakışmaya neden olmayan ayarlar, bir cihaz için geçerli olan üst küme ilkesine eklenir.
• Yalnızca çakışan ayarlar için yapılandırmalar geri tutulur.

Bu profildeki ayarlar:

• Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınarak işaretlenmesi
  Varsayılan: Yapılandırılmadı
  Kural: Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme

  Makinelere bulaşmak için genellikle kötü amaçlı yazılım arayan kötü amaçlı yazılımlar tarafından kullanılan eylemleri ve uygulamaları önlemeye yardımcı olun.

  • Yapılandırılmadı
  • Etkinleştir - Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmasını işaretle.
  • Yalnızca denetim

• Adobe Reader'dan işlem oluşturma (beta)
  Varsayılan: Yapılandırılmadı
  Kural: Adobe Reader'ın alt işlemler oluşturmalarını engelleme

  • Yapılandırılmadı
  • Etkinleştir - Adobe Reader'dan oluşturulan alt işlemleri engelleyin.
  • Yalnızca denetim

Office Makro tehditlerini önleme kuralları

Office uygulamalarının aşağıdaki eylemleri gerçekleştirmesini engelleyin:

• Diğer işlemlere eklenen Office uygulamaları (özel durum yok)
  Varsayılan: Yapılandırılmadı
  Kural: Office uygulamalarının diğer işlemlere kod eklemesini engelleme

  • Yapılandırılmadı
  • Engelle - Office uygulamalarının diğer işlemlere eklemesini engelleyin.
  • Yalnızca denetim

• Yürütülebilir içerik oluşturan Office uygulamaları/makroları
  Varsayılan: Yapılandırılmadı
  Kural: Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme

  • Yapılandırılmadı
  • Engelle - Office uygulamalarının ve makrolarının yürütülebilir içerik oluşturmalarını engelleyin.
  • Yalnızca denetim

• Alt işlemleri başlatan Office uygulamaları
  Varsayılan: Yapılandırılmadı
  Kural: Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme

  • Yapılandırılmadı
  • Engelle - Office uygulamalarının alt işlemleri başlatmasını engelleyin.
  • Yalnızca denetim

• Office makro kodundan Win32 içeri aktarmaları
  Varsayılan: Yapılandırılmadı
  Kural: Office makrolarından Win32 API çağrılarını engelleme

  • Yapılandırılmadı
  • Engelle - Office'teki makro kodundan Win32 içeri aktarmalarını engelleyin.
  • Yalnızca denetim

• Office iletişim ürünlerinden işlem oluşturma
  Varsayılan: Yapılandırılmadı
  Kural: Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme

  • Yapılandırılmadı
  • Etkinleştir - Office iletişim uygulamalarından alt işlem oluşturmayı engelleyin.
  • Yalnızca denetim

Betik tehditlerini önleme kuralları

Betik tehditlerini önlemeye yardımcı olmak için aşağıdakileri engelleyin:

• Belirsiz js/vbs/ps/makro kodu
  Varsayılan: Yapılandırılmadı
  Kural: Karartılmış olabilecek betiklerin yürütülmesini engelleme

  • Yapılandırılmadı
  • Engelle - Karartılmış js/vbs/ps/makro kodlarını engelleyin.
  • Yalnızca denetim

• js/vbs internetten indirilen yükü yürütme (özel durum yok)
  Varsayılan: Yapılandırılmadı
  Kural: JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme

  • Yapılandırılmadı
  • Engelle - js/vbs'nin İnternet'ten indirilen yükü yürütmesini engelleyin.
  • Yalnızca denetim

• PSExec ve WMI komutlarından işlem oluşturma
  Varsayılan: Yapılandırılmadı
  Kural: PSExec ve WMI komutlarından kaynaklanan işlem oluşturmalarını engelleme

  • Yapılandırılmadı
  • Engelle - PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleyin.
  • Yalnızca denetim

• USB'den çalışan güvenilmeyen ve imzalanmamış işlemler
  Varsayılan: Yapılandırılmadı
  Kural: USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme

  • Yapılandırılmadı
  • Engelle - USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleyin.
  • Yalnızca denetim

• Yaygınlık, yaş veya güvenilir liste ölçütlerini karşılamayan yürütülebilir dosyalar
  Varsayılan: Yapılandırılmadı
  Kural: Yürütülebilir dosyaların bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece çalışmasını engelleyin

  • Yapılandırılmadı
  • Engelle - Yürütülebilir dosyaların yaygınlık, yaş veya güvenilir liste ölçütlerini karşılamadığı sürece çalışmasını engelleyin.
  • Yalnızca denetim

E-posta tehditlerini önleme kuralları

E-posta tehditlerini önlemeye yardımcı olmak için aşağıdakileri engelleyin:

• E-postadan (web postası/posta istemcisi) bırakılan yürütülebilir içeriğin (exe, dll, ps, js, vbs vb.) yürütülmesi (özel durum yok)
  Varsayılan: Yapılandırılmadı
  Kural: E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme

  • Yapılandırılmadı
  • Engelle - E-postadan (webmail/mail-client) bırakılan yürütülebilir içeriğin (exe, dll, ps, js, vbs vb.) yürütülmesini engelle.
  • Yalnızca denetim

Fidye yazılımlarına karşı koruma kuralları

• Gelişmiş fidye yazılımı koruması
  Varsayılan: Yapılandırılmadı
  Kural: Fidye yazılımlara karşı gelişmiş koruma kullanma

  • Yapılandırılmadı
  • Etkinleştir - Agresif fidye yazılımı koruması kullanın.
  • Yalnızca denetim

Saldırı Yüzeyi Azaltma özel durumları

• Saldırı yüzeyi azaltma kurallarının dışında tutulacak dosyalar ve klasör
  Defender CSP: AttackSurfaceReductionOnlyExclusions

  • Saldırı yüzeyi azaltma kurallarının dışında tutmak için dosya ve klasör içeren bir .csv dosyasını içeri aktarabilirsiniz.
  • Yerel dosyaları veya klasörleri el ile ekleyin.

Önemli

LOB Win32 uygulamalarının düzgün yüklenmesine ve yürütülmesine izin vermek için kötü amaçlı yazılımdan koruma ayarları aşağıdaki dizinlerin taranmasını dışlamalıdır:
X64 istemci makinelerinde:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

X86 istemci makinelerinde:
C:\Program Files\Microsoft Intune Yönetim Uzantısı\İçerik
C:\windows\IMECache

Daha fazla bilgi için bkz. Şu anda desteklenen Windows sürümlerini çalıştıran Kurumsal bilgisayarlar için virüs tarama önerileri.

Denetimli klasör erişimi

Değerli verilerin fidye yazılımı gibi kötü amaçlı uygulamalardan ve tehditlerden korunmasına yardımcı olun.

• Klasör koruması
  Varsayılan: Yapılandırılmadı
  Defender CSP: EnableControlledFolderAccess

  Dosyaları ve klasörleri arkadaş canlısı olmayan uygulamalar tarafından yetkisiz değişikliklere karşı koruyun.

  • Yapılandırılmadı
  • Etkinleştirmek
  • Yalnızca denetim
  • Disk değişikliğini engelle
  • Disk değişikliğini denetleme

  Yapılandırılmadı dışında bir yapılandırma seçtiğinizde şunları yapılandırabilirsiniz:

  • Korumalı klasörlere erişimi olan uygulamaların listesi
    Defender CSP: ControlledFolderAccessAllowedApplications

    • Uygulama listesi içeren bir .csv dosyasını içeri aktar.
    • Uygulamaları bu listeye el ile ekleyin.

  • Korunması gereken ek klasörlerin listesi
    Defender CSP: ControlledFolderAccessProtectedFolders

    • Klasör listesi içeren bir .csv dosyasını içeri aktar.
    • Klasörleri bu listeye el ile ekleyin.

Ağ filtreleme

Herhangi bir uygulamadan IP adreslerine veya düşük saygınlığı olan etki alanlarına giden bağlantıları engelleyin. Ağ filtreleme hem Denetim hem de Blok modunda desteklenir.

• Ağ koruması
  Varsayılan: Yapılandırılmadı
  Defender CSP: EnableNetworkProtection

  Bu ayarın amacı, son kullanıcıları kimlik avı dolandırıcılığına, açıktan yararlanma barındırma sitelerine ve İnternet'te kötü amaçlı içeriğe erişimi olan uygulamalardan korumaktır. Ayrıca üçüncü taraf tarayıcıların tehlikeli sitelere bağlanmasını engeller.

  • Yapılandırılmadı - Bu özelliği devre dışı bırakın. Kullanıcıların ve uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Yöneticiler bu etkinliği Microsoft Defender Güvenlik Merkezi göremez.
  • Etkinleştir - Ağ korumasını açın ve kullanıcıların ve uygulamaların tehlikeli etki alanlarına bağlanmasını engelleyin. Yöneticiler bu etkinliği Microsoft Defender Güvenlik Merkezi görebilir.
  • Yalnızca denetim: - Kullanıcıların ve uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Yöneticiler bu etkinliği Microsoft Defender Güvenlik Merkezi görebilir.

Exploit Protection

• XML'yi karşıya yükleme
  Varsayılan: Yapılandırılmadı

  Açıktan yararlanma korumasınıkullanarak cihazları açıklardan yararlanmaya karşı korumak için, istediğiniz sistem ve uygulama risk azaltma ayarlarını içeren bir XML dosyası oluşturun. XML dosyasını oluşturmak için iki yöntem vardır:

  • PowerShell - Get-ProcessMitigation, Set-ProcessMitigation ve ConvertTo-ProcessMitigationPolicy PowerShell cmdlet'lerinden birini veya daha fazlasını kullanın. Cmdlet'ler azaltma ayarlarını yapılandırıp bunların XML gösterimini dışarı aktarır.

  • Microsoft Defender Güvenlik Merkezi kullanıcı arabirimi - Microsoft Defender Güvenlik Merkezi Uygulama & tarayıcı denetimi'ni seçin ve ardından Exploit Protection'ı bulmak için sonuçta elde edilen ekranın en altına kaydırın. İlk olarak, azaltma ayarlarını yapılandırmak için Sistem ayarları ve Program ayarları sekmelerini kullanın. Ardından, ekranın alt kısmındaki Ayarları dışarı aktar bağlantısını bularak bunların XML gösterimini dışarı aktarın.

• Açıklardan yararlanma koruması arabiriminin kullanıcı tarafından düzenlenmesi
  Varsayılan: Yapılandırılmadı
  ExploitGuard CSP: ExploitProtectionSettings

  • Engelle - Bellek, denetim akışı ve ilke kısıtlamalarını yapılandırmanıza olanak tanıyan bir XML dosyasını karşıya yükleyin. XML dosyasındaki ayarlar, bir uygulamanın açıklardan yararlanmasını engellemek için kullanılabilir.
  • Yapılandırılmadı - Özel yapılandırma kullanılmaz.

Uygulama Denetimini Microsoft Defender

tarafından denetlenecek veya Microsoft Defender Uygulama Denetimi tarafından çalıştırılması güvenilen uygulamaları seçin. Windows bileşenlerinin ve Windows Mağazası'ndan gelen tüm uygulamaların çalıştırılmasına otomatik olarak güvenilir.

• Uygulama denetimi kod bütünlüğü ilkeleri
  Varsayılan: Yapılandırılmadı
  CSP: AppLocker CSP

  • Zorlama - Kullanıcılarınızın cihazları için uygulama denetimi kod bütünlüğü ilkelerini seçin.

    Bir cihazda etkinleştirildikten sonra Uygulama Denetimi, modu yalnızca Uygula olarak değiştirilerek devre dışı bırakılabilir. Uygulama Denetimi'nde modu Zorla'danYapılandırılmadı olarak değiştirmek, atanan cihazlarda uygulanmaya devam eder.

  • Yapılandırılmadı - Uygulama Denetimi cihazlara eklenmez. Ancak, daha önce eklenen ayarlar atanmış cihazlarda uygulanmaya devam eder.

  • Yalnızca denetim - Uygulamalar engellenmez. Tüm olaylar yerel istemcinin günlüklerine kaydedilir.

    Not

    Bu ayarı kullanırsanız, AppLocker CSP davranışı şu anda bir ilke dağıtıldığında son kullanıcıdan makinelerini yeniden başlatmasını ister.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard, kimlik bilgisi hırsızlığı saldırılarına karşı koruma sağlar. Gizli dizileri, yalnızca ayrıcalıklı sistem yazılımlarının bunlara erişebilmesi için yalıtıyor.

• Credential Guard
  Varsayılan: Devre Dışı Bırak
  DeviceGuard CSP

  • Devre Dışı Bırak - Daha önce UEFI kilidi olmadan etkinleştirildi seçeneğiyle açıksa Credential Guard'ı uzaktan kapatın.

  • UEFI kilidiyle etkinleştir - Credential Guard bir kayıt defteri anahtarı veya grup ilkesi kullanılarak uzaktan devre dışı bırakılamaz.

    Not

    Bu ayarı kullanıyorsanız ve daha sonra Credential Guard'ı devre dışı bırakmak istiyorsanız, grup ilkesi Devre Dışı olarak ayarlamanız gerekir. Ayrıca, UEFI yapılandırma bilgilerini her bilgisayardan fiziksel olarak temizleyin. UEFI yapılandırması devam ettikçe Credential Guard etkinleştirilir.

  • UEFI kilidi olmadan etkinleştir - Credential Guard'ın grup ilkesi kullanılarak uzaktan devre dışı bırakılmasına izin verir. Bu ayarı kullanan cihazların Windows 10 sürüm 1511 ve üzeri ya da Windows 11 çalıştırıyor olması gerekir.

  Credential Guard'ı etkinleştirdiğinizde aşağıdaki gerekli özellikler de etkinleştirilir:

  • Sanallaştırma Tabanlı Güvenlik (VBS)
    Bir sonraki yeniden başlatma sırasında açılır. Sanallaştırma tabanlı güvenlik, güvenlik hizmetleri için destek sağlamak için Windows Hiper Yöneticisi'ni kullanır.
  • Dizin Bellek Erişimi ile Güvenli Önyükleme
    Güvenli Önyükleme ve doğrudan bellek erişimi (DMA) korumalarıyla VBS'yi açar. DMA korumaları donanım desteği gerektirir ve yalnızca doğru yapılandırılmış cihazlarda etkinleştirilir.

Microsoft Defender Güvenlik Merkezi

Microsoft Defender Güvenlik Merkezi, ayrı özelliklerin her birinden ayrı bir uygulama veya işlem olarak çalışır. İşlem Merkezi aracılığıyla bildirimleri görüntüler. Durumu görmek ve özelliklerin her biri için bazı yapılandırmalar çalıştırmak için toplayıcı veya tek bir yer işlevi görür. Microsoft Defender belgelerinde daha fazla bilgi edinin.

Uygulama ve bildirimleri Microsoft Defender Güvenlik Merkezi

Microsoft Defender Güvenlik Merkezi uygulamasının çeşitli alanlarına son kullanıcı erişimini engelleyin. Bölümü gizlemek, ilgili bildirimleri de engeller.

• Virüs ve tehdit koruması
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableVirusUI

  Son kullanıcıların Microsoft Defender Güvenlik Merkezi Virüs ve tehdit koruması alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Virüs ve tehdit koruması ile ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Fidye yazılımı koruması
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

  Son kullanıcıların Microsoft Defender Güvenlik Merkezi Fidye yazılımı koruma alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek fidye yazılımı korumasıyla ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Hesap koruması
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

  Son kullanıcıların Microsoft Defender Güvenlik Merkezi Hesap koruma alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Hesap korumasıyla ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Güvenlik duvarı ve ağ koruması
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableNetworkUI

  Son kullanıcıların güvenlik duvarı ve ağ koruma alanını Microsoft Defender Güvenlik merkezinde görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Güvenlik Duvarı ve ağ korumasıyla ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Uygulama ve tarayıcı Denetimi
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

  Son kullanıcıların Microsoft Defender Güvenlik merkezinde Uygulama ve tarayıcı denetim alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Uygulama ve tarayıcı denetimiyle ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Donanım koruması
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

  Son kullanıcıların Microsoft Defender Güvenlik Merkezi Donanım koruma alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Donanım korumasıyla ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Cihaz performansı ve sistem durumu
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableHealthUI

  Son kullanıcıların Microsoft Defender Güvenlik merkezinde Cihaz performansı ve sistem durumu alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Cihaz performansı ve sistem durumuyla ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Aile seçenekleri
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableFamilyUI

  Son kullanıcıların Microsoft Defender Güvenlik merkezinde Aile seçenekleri alanını görüntüleyip görüntüleyemediğini yapılandırın. Bu bölümü gizlemek, Aile seçenekleriyle ilgili tüm bildirimleri de engeller.

  • Yapılandırılmadı
  • Gizle

• Uygulamanın görüntülenen alanlarından bildirimler
  Varsayılan: Yapılandırılmadı
  WindowsDefenderSecurityCenter CSP: DisableNotifications

  Son kullanıcılara hangi bildirimlerin görüntüleneceğini seçin. Kritik olmayan bildirimler, taramalar tamamlandığında yapılan bildirimler de dahil olmak üzere Microsoft Defender Virüsten Koruma etkinliğinin özetlerini içerir. Diğer tüm bildirimler kritik olarak kabul edilir.

  • Yapılandırılmadı
  • Kritik olmayan bildirimleri engelleme
  • Tüm bildirimleri engelle

• Sistem tepsisindeki Windows Güvenliği Merkezi simgesi
  Varsayılan: Yapılandırılmadı WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

  Bildirim alanı denetiminin görüntüsünü yapılandırın. Bu ayarın geçerli olması için kullanıcının oturumu kapatması ve oturum açması veya bilgisayarı yeniden başlatması gerekir.

  • Yapılandırılmadı
  • Gizle

• TPM'yi temizle düğmesi
  Varsayılan: Yapılandırılmadı WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

  TPM'yi Temizle düğmesinin görüntüsünü yapılandırın.

  • Yapılandırılmadı
  • Devre dışı bırakmak

• TPM üretici yazılımı güncelleştirme uyarısı
  Varsayılan: Yapılandırılmadı WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

  Güvenlik açığı bulunan bir üretici yazılımı algılandığında TPM Üretici Yazılımını güncelleştirmenin görüntülenmesini yapılandırın.

  • Yapılandırılmadı
  • Gizle

• Kurcalama Koruması
  Varsayılan: Yapılandırılmadı

  Cihazlarda Kurcalama Koruması'nı açın veya kapatın. Kurcalama Koruması'nın kullanılması için Uç Nokta için Microsoft Defender Intune ile tümleştirmeniz ve Enterprise Mobility + Security E5 Lisanslarına sahip olmanız gerekir.

  • Yapılandırılmadı - Cihaz ayarlarında değişiklik yapılmaz.
  • Etkin - Kurcalama Koruması açıktır ve cihazlarda kısıtlamalar uygulanır.
  • Devre dışı - Kurcalama Koruması kapalıdır ve kısıtlamalar uygulanmaz.

BT iletişim bilgileri

Microsoft Defender Güvenlik Merkezi uygulamasında ve uygulama bildirimlerinde görünecek BT iletişim bilgilerini sağlayın.

Uygulamada ve bildirimlerde görüntüle, Yalnızca uygulamada görüntüle, Yalnızca bildirimlerde görüntüle veya Görüntüleme'yi seçebilirsiniz. BT kuruluş adını ve aşağıdaki kişi seçeneklerinden en az birini girin:

• BT iletişim bilgileri
  Varsayılan: Görüntüleme
  WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

  BT kişi bilgilerinin son kullanıcılara nerede görüntüleneceğini yapılandırın.

  • Uygulamada ve bildirimlerde görüntüleme
  • Yalnızca uygulamada görüntüleme
  • Yalnızca bildirimlerde görüntüleme
  • Görüntüleme

  Görüntülenecek şekilde yapılandırıldığında, aşağıdaki ayarları yapılandırabilirsiniz:

  • BT kuruluş adı
    Varsayılan: Yapılandırılmadı
    WindowsDefenderSecurityCenter CSP: CompanyName

  • BT departmanı telefon numarası veya Skype Kimliği
    Varsayılan: Yapılandırılmadı
    WindowsDefenderSecurityCenter CSP: Telefon

  • BT departmanı e-posta adresi
    Varsayılan: Yapılandırılmadı
    WindowsDefenderSecurityCenter CSP: Email

  • BT desteği web sitesi URL'si
    Varsayılan: Yapılandırılmadı
    WindowsDefenderSecurityCenter CSP: URL

Yerel cihaz güvenlik seçenekleri

Windows 10/11 cihazlarında yerel güvenlik ayarlarını yapılandırmak için bu seçenekleri kullanın.

Hesaplar

• Yeni Microsoft hesapları ekleme
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

  • Blok Kullanıcıların cihaza yeni Microsoft hesapları eklemesini engelleyin.
  • Yapılandırılmadı - Kullanıcılar cihazda Microsoft hesaplarını kullanabilir.

• Parola olmadan uzaktan oturum açma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Engelle - Yalnızca boş parolaları olan yerel hesapların cihazın klavyesini kullanarak oturum açmasına izin verin.
  • Yapılandırılmadı - Boş parolaları olan yerel hesapların fiziksel cihaz dışındaki konumlardan oturum açmasına izin verin.

Yönetici

• Yerel yönetici hesabı
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Blok Yerel yönetici hesabı kullanımını engelleme.
  • Yapılandırılmadı

• Yönetici hesabını yeniden adlandırma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

  "Yönetici" hesabının güvenlik tanımlayıcısı (SID) ile ilişkilendirilecek farklı bir hesap adı tanımlayın.

Konuk

• Konuk hesabı
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

  • Engelle - Konuk hesabının kullanımını engelleyin.
  • Yapılandırılmadı

• Konuk hesabını yeniden adlandırma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

  "Konuk" hesabı için güvenlik tanımlayıcısı (SID) ile ilişkilendirilecek farklı bir hesap adı tanımlayın.

Aygıtları

• Cihazı oturum açmadan çıkarma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

  • Engelle - Kullanıcının cihazda oturum açması ve cihazı çıkarma izni alması gerekir.
  • Yapılandırılmadı - Kullanıcılar, cihazı güvenli bir şekilde çıkarmak için yerleşik bir taşınabilir cihazın fiziksel çıkar düğmesine basabilir.

• Paylaşılan yazıcılar için yazıcı sürücülerini yükleme
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Etkin - Tüm kullanıcılar, paylaşılan bir yazıcıya bağlanmanın bir parçası olarak bir yazıcı sürücüsü yükleyebilir.
  • Yapılandırılmadı - Paylaşılan bir yazıcıya bağlanmanın bir parçası olarak yalnızca Yöneticiler bir yazıcı sürücüsü yükleyebilir.

• CD-ROM erişimini yerel etkin kullanıcıyla kısıtlama
  Varsayılan: Yapılandırılmadı
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Etkin - CD-ROM medyasını yalnızca etkileşimli olarak oturum açmış olan kullanıcı kullanabilir. Bu ilke etkinse ve kimse etkileşimli olarak oturum açmadıysa, CD-ROM'a ağ üzerinden erişilir.
  • Yapılandırılmadı - Herkesin CD-ROM'a erişimi vardır.

• Çıkarılabilir medyayı biçimlendirme ve çıkarma
  Varsayılan: Yöneticiler
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Çıkarılabilir NTFS medyasını biçimlendirme ve çıkarma izni olan kişiyi tanımlayın:

  • Yapılandırılmadı
  • Yöneticiler
  • Yöneticiler ve Power Users
  • Yöneticiler ve Etkileşimli Kullanıcılar

Etkileşimli Oturum Açma

• Ekran koruyucu etkinleştirene kadar kilit ekranı işlem yapılmadan geçen dakika sayısı
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

  Ekran koruyucu etkinleştirene kadar işlem yapılmadan geçen en fazla dakika sayısını girin. (0 - 99999)

• Oturum açmak için CTRL+ALT+DEL gerektir
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Etkinleştir - Kullanıcıların Windows'ta oturum açmadan önce CTRL+ALT+DEL tuşlarına basmasını zorunlu tut.
  • Yapılandırılmadı - Kullanıcıların oturum açması için CTRL+ALT+DEL tuşlarına basmak gerekmez.

• Akıllı kart kaldırma davranışı
  Varsayılan: LocalPoliciesSecurityOptions CSP Eylemi Yok: InteractiveLogon_SmartCardRemovalBehavior

  Oturum açmış bir kullanıcının akıllı kartı akıllı kart okuyucudan kaldırıldığında ne olacağını belirler. Seçenekleriniz:

  • İş İstasyonunu Kilitle - Akıllı kart kaldırıldığında iş istasyonu kilitlenir. Bu seçenek kullanıcıların alandan ayrılmasına, akıllı kartını yanlarında götürmesine ve korumalı bir oturum sürdürmesine olanak tanır.
  • Eylem yok
  • Oturumu Kapatmaya Zorla - Akıllı kart kaldırıldığında kullanıcı otomatik olarak oturumu kapatılır.
  • Uzak Masaüstü Hizmetleri oturumu varsa bağlantıyı kes - Akıllı kartın kaldırılması kullanıcının oturumunu kapatmadan oturumun bağlantısını keser. Bu seçenek, kullanıcının yeniden oturum açmak zorunda kalmadan akıllı kartı takmasına ve oturumu daha sonra veya başka bir akıllı kart okuyucu ile donatılmış bilgisayarda sürdürmesine olanak tanır. Oturum yerelse, bu ilke İş İstasyonunu Kilitle ile aynı şekilde çalışır.

Görüntü

• Kilit ekranında kullanıcı bilgileri
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Oturum kilitliyken görüntülenen kullanıcı bilgilerini yapılandırın. Yapılandırılmazsa, kullanıcı görünen adı, etki alanı ve kullanıcı adı gösterilir.

  • Yapılandırılmadı
  • Kullanıcı görünen adı, etki alanı ve kullanıcı adı
  • Yalnızca kullanıcı görünen adı
  • Kullanıcı bilgilerini görüntüleme

• Son oturum açan kullanıcıyı gizle
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

  • Etkinleştir - Kullanıcı adını gizleyin.
  • Yapılandırılmadı - Son kullanıcı adını gösterir.

• Oturum açma varsayılanında kullanıcı adını gizle: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Etkinleştir - Kullanıcı adını gizleyin.
  • Yapılandırılmadı - Son kullanıcı adını gösterir.

• Oturum açma iletisi başlığı
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Oturum açmış kullanıcılar için ileti başlığını ayarlayın.

• Oturum açma iletisi metni
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Oturum açmış kullanıcılar için ileti metnini ayarlayın.

Ağ erişimi ve güvenlik

• Adlandırılmış Kanallar ve Paylaşımlara anonim erişim
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Yapılandırılmadı - Paylaşım ve Adlandırılmış Kanal ayarları için anonim erişimi kısıtlayın. Anonim olarak erişilebilen ayarlar için geçerlidir.
  • Engelle - Anonim erişimin kullanılabilir hale getirilmesi için bu ilkeyi devre dışı bırakın.

• SAM hesaplarının anonim numaralandırması
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Yapılandırılmadı - Anonim kullanıcılar SAM hesaplarını numaralandırabilir.
  • Engelle - SAM hesaplarının anonim numaralandırmasını engelleyin.

• SAM hesaplarının ve paylaşımlarının anonim numaralandırması
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Yapılandırılmadı - Anonim kullanıcılar etki alanı hesaplarının ve ağ paylaşımlarının adlarını numaralandırabilir.
  • Engelle - SAM hesaplarının ve paylaşımlarının anonim numaralandırmasını engelleyin.

• Parola değişikliğinde depolanan LAN Manager karma değeri
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Parolanın bir sonraki değiştirildiğinde parolaların karma değerinin depolanmış olup olmadığını belirleyin.

  • Yapılandırılmadı - Karma değer depolanmaz
  • Engelle - LAN Yöneticisi (LM), yeni parolanın karma değerini depolar.

• PKU2U kimlik doğrulama istekleri
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Yapılandırılmadı- PU2U isteklerine izin ver.
  • Engelle - Cihaza yönelik PKU2U kimlik doğrulama isteklerini engelleyin.

• SAM ile uzak RPC bağlantılarını kısıtlama
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Yapılandırılmadı - Kullanıcıların ve grupların SAM'ye uzak RPC çağrıları yapmasına izin veren varsayılan güvenlik tanımlayıcısını kullanın.

  • İzin Ver - Kullanıcıların ve grupların, kullanıcı hesaplarını ve parolalarını depolayan Güvenlik Hesapları Yöneticisi'ne (SAM) uzak RPC çağrıları yapmasını engeller. İzin ver ayrıca varsayılan Güvenlik Tanımlayıcısı Tanım Dili (SDDL) dizesini, kullanıcıların ve grupların bu uzak çağrıları yapmasına açıkça izin verecek veya reddedecek şekilde değiştirmenize olanak tanır.

    • Güvenlik tanımlayıcısı
      Varsayılan: Yapılandırılmadı

• NTLM SSP Tabanlı İstemciler için Minimum Oturum Güvenliği
  Varsayılan: Yok
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Bu güvenlik ayarı, sunucunun 128 bit şifreleme ve/veya NTLMv2 oturum güvenliği anlaşması gerektirmesine olanak tanır.

  • Yok
  • NTLMv2 oturum güvenliği gerektir
  • 128 bit şifreleme gerektir
  • NTLMv2 ve 128 bit şifreleme

• NTLM SSP tabanlı sunucu için minimum oturum güvenliği
  Varsayılan: Yok
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Bu güvenlik ayarı, ağ oturumları için hangi sınama/yanıt kimlik doğrulama protokollerinin kullanılacağını belirler.

  • Yok
  • NTLMv2 oturum güvenliği gerektir
  • 128 bit şifreleme gerektir
  • NTLMv2 ve 128 bit şifreleme

• LAN Yöneticisi Kimlik Doğrulama Düzeyi
  Varsayılan: LM ve NTLM
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

  • LM ve NTLM
  • LM, NTLM ve NTLMv2
  • NTLM
  • NTLMv2
  • LM değil NTLMv2
  • LM veya NTLM değil NTLMv2

• Güvenli Olmayan Konuk Oturum Açma işlemleri
  Varsayılan: Yapılandırılmadı
  LanmanWorkstation CSP: LanmanWorkstation

  Bu ayarı etkinleştirirseniz, SMB istemcisi güvenli olmayan konuk oturum açmalarını reddeder.

  • Yapılandırılmadı
  • Engelle - SMB istemcisi güvenli olmayan konuk oturum açmalarını reddeder.

Kurtarma konsolu ve kapatma

• Kapatılırken sanal bellek disk belleği dosyalarını temizleme
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

  • Etkinleştir - Cihaz kapatıldığında sanal bellek disk belleği dosyasını temizleyin.
  • Yapılandırılmadı - Sanal belleği temizlemez.

• Oturum açmadan kapatma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Engelle - Windows oturum açma ekranında kapatma seçeneğini gizleyin. Kullanıcıların cihazda oturum açması ve ardından kapatması gerekir.
  • Yapılandırılmadı - Kullanıcıların windows oturum açma ekranından cihazı kapatmasına izin verin.

Kullanıcı hesabı denetimi

• Güvenli konum olmadan UIA bütünlüğü
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Engelle - Dosya sisteminde güvenli bir konumda bulunan uygulamalar yalnızca UIAccess bütünlüğüyle çalışır.
  • Yapılandırılmadı - Uygulamalar dosya sisteminde güvenli bir konumda olmasa bile uygulamaların UIAccess bütünlüğüyle çalışmasını sağlar.

• Dosya ve kayıt defteri yazma hatalarını kullanıcı başına konumlara sanallaştırma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Etkin - Korumalı konumlara veri yazan uygulamalar başarısız olur.
  • Yapılandırılmadı - Uygulama yazma hataları çalışma zamanında dosya sistemi ve kayıt defteri için tanımlı kullanıcı konumlarına yönlendirilir.

• Yalnızca imzalanmış ve doğrulanmış yürütülebilir dosyaları yükselt
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Etkin - Yürütülebilir bir dosya çalıştırılabilmesi için PKI sertifika yolu doğrulamasını zorunlu kılın.
  • Yapılandırılmadı - Yürütülebilir bir dosyanın çalışmadan önce PKI sertifika yolu doğrulamasını zorunlu kılmayın.

UIA yükseltme istemi davranışı

• Yöneticiler için yükseltme istemi
  Varsayılan: Windows olmayan ikili dosyalar için onay iste
  LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Yönetici Onay Modu'nda yöneticiler için yükseltme isteminin davranışını tanımlayın.

  • Yapılandırılmadı
  • İstenmeden yükseltme
  • Güvenli masaüstünde kimlik bilgileri iste
  • Kimlik bilgilerini iste
  • Onay iste
  • Windows dışı ikili dosyalar için onay iste

• Standart kullanıcılar için yükseltme istemi
  Varsayılan: Kimlik bilgileri iste
  LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Standart kullanıcılar için yükseltme isteminin davranışını tanımlayın.

  • Yapılandırılmadı
  • Yükseltme isteklerini otomatik olarak reddet
  • Güvenli masaüstünde kimlik bilgileri iste
  • Kimlik bilgilerini iste

• Yükseltme istemlerini kullanıcının etkileşimli masaüstüne yönlendirme
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Etkin - Güvenli masaüstü yerine etkileşimli kullanıcının masaüstüne gitmek için tüm yükseltme istekleri. Yöneticiler ve standart kullanıcılar için tüm istem davranışı ilkesi ayarları kullanılır.
  • Yapılandırılmadı - Yöneticiler ve standart kullanıcılar için herhangi bir istem davranışı ilkesi ayarından bağımsız olarak tüm yükseltme isteklerinin güvenli masaüstüne gitmesini zorla.

• Uygulama yüklemeleri için yükseltilmiş istem
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Etkin - Uygulama yükleme paketleri algılanmadı veya yükseltme istenmiyor.
  • Yapılandırılmadı - Uygulama yükleme paketi yükseltilmiş ayrıcalıklar gerektirdiğinde kullanıcılardan yönetici kullanıcı adı ve parolası istenir.

• Güvenli masaüstü olmadan UIA yükseltme istemi
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Etkinleştir - UIAccess uygulamalarının güvenli masaüstünü kullanmadan yükseltme istemesine izin verin.

• Yapılandırılmadı - Yükseltme istemleri güvenli bir masaüstü kullanır.

onay modunu Yönetici

• Yerleşik yönetici için onay modunu Yönetici
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

  • Etkin - Yerleşik Yönetici hesabının Yönetici Onay Modu'nu kullanmasına izin verin. Ayrıcalık yükseltmesi gerektiren herhangi bir işlem, kullanıcıdan işlemi onaylamasını ister.
  • Yapılandırılmadı - tüm uygulamaları tam yönetici ayrıcalıklarıyla çalıştırır.

• Tüm yöneticileri Yönetici Onay Modu'nda çalıştırma
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Etkin- Yönetici Onay Modu'nu etkinleştirin.
  • Yapılandırılmadı - Yönetici Onay Modu'nu ve tüm ilgili UAC ilke ayarlarını devre dışı bırakın.

Microsoft Ağ İstemcisi

• İletişimleri dijital olarak imzalama (sunucu kabul ederse)
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  SMB istemcisinin SMB paket imzalama anlaşması kullanıp kullanmadığını belirler.

  • Engelle - SMB istemcisi hiçbir zaman SMB paket imzalama anlaşması yapmaz.
  • Yapılandırılmadı - Microsoft ağ istemcisi sunucudan oturum kurulumunda SMB paket imzalamasını çalıştırmasını ister. Sunucuda paket imzalama etkinse, paket imzalama anlaşması yapılır.

• Üçüncü taraf SMB sunucularına şifrelenmemiş parola gönderme
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Engelle - Sunucu İleti Bloğu (SMB) yeniden yönlendiricisi, kimlik doğrulaması sırasında parola şifrelemeyi desteklemeyen Microsoft dışı SMB sunucularına düz metin parolalar gönderebilir.
  • Yapılandırılmadı - Düz metin parolaların gönderilmesini engelleyin. Parolalar şifrelenir.

• İletişimleri dijital olarak imzalama (her zaman)
  Varsayılan: Yapılandırılmadı
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Etkinleştir - Sunucu SMB paket imzalamayı kabul etmediği sürece Microsoft ağ istemcisi bir Microsoft ağ sunucusuyla iletişim kurmaz.
  • Yapılandırılmadı - İstemci ve sunucu arasında SMB paket imzalama anlaşması yapılır.

Microsoft Network Server

• İletişimleri dijital olarak imzalama (istemci kabul ederse)
  Varsayılan: Yapılandırılmadı
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Etkinleştir - Microsoft ağ sunucusu, istemci tarafından istenen SMB paket imzalama anlaşmasında bulunur. Yani, istemcide paket imzalama etkinse paket imzalama anlaşması yapılır.
  • Yapılandırılmadı - SMB istemcisi hiçbir zaman SMB paket imzalama anlaşması yapmaz.

• İletişimleri dijital olarak imzalama (her zaman)
  Varsayılan: Yapılandırılmadı
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Etkinleştir - Microsoft ağ sunucusu, istemci SMB paket imzalamayı kabul etmediği sürece bir Microsoft ağ istemcisiyle iletişim kurmaz.
  • Yapılandırılmadı - İstemci ve sunucu arasında SMB paket imzalama anlaşması yapılır.

Xbox hizmetleri

• Xbox Oyunu Kaydetme Görevi
  Varsayılan: Yapılandırılmadı
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Bu ayar, Xbox Oyun Kaydetme Görevinin Etkin mi yoksa Devre Dışı mı olduğunu belirler.

  • Etkin
  • Yapılandırılmadı

• Xbox Accessory Management Service
  Varsayılan: El ile
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Bu ayar, Donatı Yönetimi Hizmeti'nin başlangıç türünü belirler.

  • El ile
  • Otomatik
  • Devre dışı

• Xbox Live Kimlik Doğrulama Yöneticisi Hizmeti
  Varsayılan: El ile
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Bu ayar, Live Auth Manager Hizmeti'nin başlangıç türünü belirler.

  • El ile
  • Otomatik
  • Devre dışı

• Xbox Live Oyun Kaydetme Hizmeti
  Varsayılan: El ile
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Bu ayar, Canlı Oyun Kaydetme Hizmeti'nin başlangıç türünü belirler.

  • El ile
  • Otomatik
  • Devre dışı

• Xbox Live Ağ Hizmeti
  Varsayılan: El ile
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Bu ayar, Ağ Hizmeti'nin başlangıç türünü belirler.

  • El ile
  • Otomatik
  • Devre dışı

Sonraki adımlar

Profil oluşturuldu, ancak henüz bir şey yapmıyor. Ardından profili atayın ve durumunu izleyin.

macOS cihazlarda uç nokta koruma ayarlarını yapılandırın.