Microsoft, Windows 365 Cloud PC’ler için yeni güvenlik varsayımlarını duyurdu

   Haziran 21, 2025  Posted in CyberSecurityNews


Microsoft yeni güvenlik varsayımlarını duyurdu
Summary
1. Redirection controls disable clipboard, drive, USB, and printer access by default to prevent data exfiltration and malware injection.
2. Virtualization-based security enables VBS, Credential Guard, and HVCI on Windows 11 Cloud PCs to fortify against credential theft and kernel exploits.
3. Selective implementation requires IT admins to manually override settings via Intune or GPOs for necessary redirections, with USB mice/keyboards remaining unaffected.
4. Phased administrative deployment begins late 2025 via Intune policies, requiring manual override of defaults for necessary redirections. 

Microsoft, 18 Haziran 2025’te Windows 365 Cloud PC’ler için önemli güvenlik geliştirmelerini açıkladı ve veri koruması ve sistem bütünlüğüne öncelik veren yeni varsayılan yapılandırmalar getirdi.

Güncellemeler, varsayılan olarak pano, sürücü, USB ve yazıcı yönlendirmelerini devre dışı bırakma, sanallaştırma tabanlı güvenlik (VBS), kimlik bilgisi koruması ve Windows 11 Galeri görüntüleri için hipervizör korumalı kod bütünlüğü (HVCI) gibi gelişmiş güvenlik özelliklerini içerir.

Veri açılmasını önlemek için daha katı yeniden yönlendirme politikaları

En dikkat çekici değişiklik, yeni sağlanan ve yeniden işlemeli Windows 365 bulut PC’leri için varsayılan olarak dört temel yönlendirme türünün devre dışı bırakılmasını içerir.

Google Haberleri

Veri açığa çıkma ve kötü amaçlı yazılım enjeksiyonu risklerini en aza indirmek için pano, sürücü, USB ve yazıcı yönlendirmeleri otomatik olarak devre dışı bırakılacaktır.

Bu güvenlik ilk yaklaşımı, güvenlik korumalarının varsayılan olarak etkinleştirilmesini ve uygulanmasını vurgulayan Microsoft’un Güvenli Gelecek Girişimi (SFI) ile uyumludur.

Sunum, 2025’in ikinci yarısında kademeli olarak başlayacak ve BT yöneticileri Microsoft Intune Yönetici Merkezi’nde görüntülenen pankartlar aracılığıyla önceden bildirim alacak.

Bu pankartlar, Intune aygıtı yapılandırma politikaları veya grup ilkesi nesneleri (GPO) aracılığıyla varsayılan ayarları geçersiz kılmak için belgelere bağlantılar sağlayarak sağlama politikası, bireysel cihaz eylemi ve toplu eylem sayfalarında görünecektir.

Yeniden yönlendirme yeteneklerini geri yüklemesi gereken BT yöneticileri, ayarları iki temel yöntemle yönetebilir: Intune Ayarları Kataloğu veya Geleneksel GPO yapılandırmaları.

Sistem, Intune’un ilk sunumdan sonra yönetici tanımlı ayarları senkronize etmesine ve uygulamasına izin vermek için tasarlanmıştır, politikalar uygun şekilde yapılandırıldığında kısıtlayıcı varsayılanları geçersiz kılar.

Gelişmiş sanallaştırma güvenlik özellikleri

Mayıs 2025’ten bu yana Microsoft, Windows 11 Galeri görüntülerini çalıştıran yeni Windows 365 Cloud PC’lerde otomatik olarak üç kritik güvenlik teknolojisini etkinleştiriyor.

Sanallaştırma Tabanlı Güvenlik (VBS), kritik sistem süreçlerini gelişmiş tehditlerden ve kötü amaçlı istismarlardan korumak için donanım sanallaştırma kullanarak güvenli bir bellek yerleşimi oluşturur.

Kimlik Bilgisi Guard, kimlik doğrulama kimlik bilgilerini güvence altına almak için VBS altyapısından yararlanır ve kurumsal ağlardaki kimlik bilgisi hırsızlığı ve yanal hareket saldırıları riskini önemli ölçüde azaltır.

Bu arada, bellek bütünlüğü olarak da bilinen hipervizör korumalı kod bütünlüğü (HVCI), yalnızca doğrulanmış kodun çekirdek düzeyinde yürütülmesini sağlar ve kötü niyetli istismarların sistem bütünlüğünü tehlikeye atmasını önler.

Yeni güvenlik varsayılanları, özellikle daha önce sorunsuz dosya transferlerine ve yerel makineler ve bulut PC’ler arasındaki cihaz bağlantısına dayanan kuruluşlar için kullanıcı iş akışlarını etkileyecektir.

Microsoft, BT ekiplerinin bu değişiklikleri son kullanıcılara proaktif olarak iletmesini ve iş gereksinimleri belirli bağlantı seçeneklerini gerektirdiğinde yeniden yönlendirme etkinleştirme talep etmek için net prosedürler oluşturmasını önerir.

Paylaşılan modda çalışan Windows 365 Frontline Cloud PC’ler için, uygulama kullanılan yeniden işlem yöntemine bağlı olarak değişir.

Cihaz Genel Bakış sayfasından doğrudan yeniden oluşturma, mevcut ilke yapılandırmalarını koruyacakken, Provizyon İlkesi sayfasından yeniden düzenleme yeni kısıtlayıcı varsayılanları uygulayacaktır.

Bu ayrım, yöneticilerin farklı dağıtım senaryolarında güvenlik duruşu üzerinde ayrıntılı kontrol sağlamalarını sağlar.

Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial



Source link