Windows Güvenliği Sistem Durumu Doğrulayıcısı (WSHV), dağıtımınızın gereksinimlerine bağlı olarak yapılandırabileceğiniz ayarları sağlar.
WSHV ayarları
İlkeniz için aşağıdaki WSHV ayarlarını yapılandırabilirsiniz.
Güvenlik duvarı
Tüm ağ bağlantıları için güvenlik duvarı etkin ayarını kullanmak için, istemci bilgisayarda çalışan güvenlik duvarı yazılımının Windows Güvenlik Duvarı yazılımı veya Windows Güvenlik Merkezi ile uyumlu başka bir güvenlik duvarı yazılımı olması gerekir.
Windows Güvenlik Merkezi ile uyumlu olmayan güvenlik duvarı yazılımları, istemci bilgisayarda Windows Güvenliği Sistem Durumu Aracısı (WSHA) tarafından yönetilemez veya algılanamaz.
Tüm ağ bağlantıları için bir güvenlik duvarı etkin seçeneğini belirlerseniz, istemci bilgisayardaki WSHA, güvenlik duvarı yazılımının istemci bilgisayarda çalışıp çalışmadığını denetler ve sonra aşağıdaki eylemleri gerçekleştirir:
-
İstemci bilgisayarda güvenlik duvarı yazılımı çalışmıyorsa, güvenlik duvarı yazılımı yüklenip çalıştırılıncaya kadar, istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
-
İstemci bilgisayarda çalışan tek güvenlik duvarı yazılımı Windows Güvenlik Merkezi ile uyumlu olmayan bir güvenlik duvarıysa, WSHA, etkin durumda bir güvenlik duvarı olmadığını Ağ Erişim Koruması (NAP) hizmetine bildirir ve istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
Önemli | |
Tüm ağ bağlantıları için güvenlik duvarı etkin'i seçerseniz ve istemci bilgisayarlarda Windows Güvenlik Duvarı veya Windows Güvenlik Merkezi ile uyumlu başka bir güvenlik duvarı yazılımı çalışmıyorsa, istemci bilgisayarlar ağınıza bağlanamaz. |
Tüm ağ bağlantıları için bir güvenlik duvarı etkin seçeneğini belirlemezseniz, istemci bilgisayardaki WSHA denetim yapmaz ve güvenlik duvarı yazılımı çalışmayan istemci bilgisayarların ağınıza bağlanması engellenmez.
Otomatik düzeltme
Tüm ağ bağlantıları için bir güvenlik duvarı etkin seçeneğini belirlerseniz, NAP otomatik düzeltmesini etkinleştirirsiniz ve istemci bilgisayardaki WSHA güvenlik duvarının etkin olmadığını bildirir, sonra WSHV istemci bilgisayardaki WSHA'yı Windows Güvenlik Duvarı'nı etkinleştirmeye yönlendirir.
Önemli | |
Otomatik düzeltme etkinleştirilmişse ve istemci bilgisayarlarda Windows Güvenlik Merkezi ile uyumlu olmayan güvenlik duvarı yazılımları çalışıyorsa ve güvenlik duvarı yazılımı WSHA tarafından algılanmazsa, istemci bilgisayardaki WSHA istemci bilgisayarda Windows Güvenlik Duvarı'nı etkinleştirerek istemci bilgisayarda aynı anda iki farklı güvenlik duvarı çalışmasına neden olur. Uyumlu olmayan güvenlik duvarında yapılandırılmış ancak Windows Güvenlik Duvarı'nda yapılandırılmamış olan özel durumlar, istemci bilgisayarda işlevsellik kaybına neden olabilir. Bu nedenle, istemci bilgisayarlarda aynı anda iki farklı güvenlik duvarı çalıştırılması önerilmez. |
Virüsten koruma
Virüsten koruma uygulaması açık'ı seçerseniz, istemci bilgisayardaki WSHA, istemci bilgisayarda virüsten koruma yazılımının çalıştığını doğrular. İstemci bilgisayarda virüsten koruma yazılımı çalışmıyorsa, virüsten koruma yazılımı yüklenip çalıştırılıncaya kadar, istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
İstemci bilgisayarda çalışan virüsten koruma yazılımı Windows Güvenlik Merkezi ile uyumlu olmalıdır. Windows Güvenlik Merkezi ile uyumlu olmayan virüsten koruma yazılımları, istemci bilgisayarda WSHA tarafından yönetilemez veya algılanamaz. İstemci bilgisayarda çalışan tek virüsten koruma yazılımı Windows Güvenlik Merkezi ile uyumlu olmayan bir virüsten koruma yazılımıysa, WSHA, etkin durumda bir virüsten koruma yazılımı olmadığını WSHV'ye bildirir ve istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
Virüsten koruma yazılımı güncel'i seçerseniz, istemci bilgisayardaki WSHA, virüsten koruma uygulamalarınızın virüsten koruma tanımlarının en güncel sürümler olduklarını doğrular.
Virüsten koruma yazılımının çalışır durumda olduğunu ve virüsten koruma tanımlarının en güncel sürümlerinin kullanıldığını doğrulamak için hem Virüsten koruma uygulaması açık hem de Virüsten koruma yazılımı güncel seçeneklerini işaretlemelisiniz.
Virüsten koruma uygulaması açık seçeneğini belirlemezseniz, istemci bilgisayardaki WSHA denetim yapmaz ve virüsten koruma yazılımı çalışmayan istemci bilgisayarların ağınıza bağlanması engellenmez.
Virüsten koruma uygulaması açık ve Virüsten koruma uygulaması güncel seçeneklerinin her ikisini birden belirlemezseniz, istemci bilgisayardaki WSHA denetim yapmaz ve virüsten koruma yazılımı çalışmayan veya virüs tanımları güncel olmayan virüsten koruma yazılımı çalışan istemci bilgisayarların ağınıza bağlanması engellenmez.
Casus yazılım önleme
Casus yazılım önleme uygulaması açık'ı seçerseniz, istemci bilgisayardaki WSHA, istemci bilgisayarda casus yazılım önleme yazılımının çalıştığını doğrular. İstemci bilgisayarda casus yazılım önleme yazılımı çalışmıyorsa, casus yazılım önleme yazılımı yüklenip çalıştırılıncaya kadar, istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
İstemci bilgisayarda çalışan casus yazılım önleme yazılımı Windows Defender veya Windows Güvenlik Merkezi ile uyumlu başka bir casus yazılım önleme yazılımı olmalıdır.
Windows Güvenlik Merkezi ile uyumlu olmayan casus yazılım önleme yazılımları, istemci bilgisayarda WSHA tarafından yönetilemez veya algılanamaz. İstemci bilgisayarda çalışan tek casus yazılım önleme yazılımı Windows Güvenlik Merkezi ile uyumlu olmayan bir casus yazılım önleme yazılımıysa, WSHA, etkin durumda bir casus yazılım önleme yazılımı olmadığını WSHV'ye bildirir ve istemci bilgisayarın erişimi bir düzeltme ağıyla kısıtlanır.
Casus yazılım önleme yazılımı güncel'i seçerseniz, istemci bilgisayardaki WSHA, casus yazılım önleme uygulamalarınızın casus yazılım önleme tanımlarının en güncel sürümler olduklarını doğrular.
Casus yazılım önleme yazılımının çalışır durumda olduğunu ve casus yazılım önleme tanımlarının en güncel sürümlerinin kullanıldığını doğrulamak için hem Casus yazılım önleme uygulaması açık hem de Casus yazılım önleme yazılımı güncel seçeneklerini işaretlemelisiniz.
Casus yazılım önleme uygulaması açık seçeneğini belirlemezseniz, istemci bilgisayardaki WSHA denetim yapmaz ve casus yazılım önleme yazılımı çalışmayan istemci bilgisayarların ağınıza bağlanması engellenmez.
Casus yazılım önleme uygulaması açık ve Casus yazılım önleme uygulaması güncel seçeneklerinin her ikisini birden belirlemezseniz, istemci bilgisayardaki WSHA denetim yapmaz ve casus yazılım önleme yazılımı çalışmayan veya casus yazılım tanımları güncel olmayan casus yazılım önleme yazılımı çalışan istemci bilgisayarların ağınıza bağlanması engellenmez.
Otomatik düzeltme
Casus yazılım önleme uygulaması açık seçeneğini belirlerseniz, NAP otomatik düzeltmesini etkinleştirirsiniz ve istemci bilgisayardaki WSHA casus yazılım önleme yazılımının etkin olmadığını bildirir, sonra WSHV istemci bilgisayardaki WSHA'yı Windows Defender'ı etkinleştirmeye yönlendirir.
Önemli | |
Otomatik düzeltme etkinleştirilmişse ve istemci bilgisayarlarda Windows Güvenlik Merkezi ile uyumlu olmayan casus yazılım önleme yazılımı çalışıyorsa ve casus yazılım önleme yazılımı WSHA tarafından algılanmazsa, istemci bilgisayardaki WSHA, istemci bilgisayarda Windows Defender'ı etkinleştirerek istemci bilgisayarda aynı anda iki farklı casus yazılım önleme yazılımı çalışmasına neden olur. |
Not | |
NAP İstemcisi Yönetimi Microsoft Yönetim Konsolu (MMC) ek bileşenini kullanarak otomatik düzeltmeyi yapılandırabilirsiniz. |
Otomatik güncelleştirme
Otomatik Güncelleştirme açık'ı seçerseniz ve istemci bilgisayarda Microsoft Update Services etkin durumda değilse, WSHA, istemci bilgisayarı Microsoft Update Services etkinleştirilinceye kadar bir düzeltme ağıyla kısıtlar.
Microsoft Update Services, istemci bilgisayarda aşağıdaki ayarlardan biri seçildiğinde etkinleştirilir:
-
Güncelleştirmeleri otomatik olarak yükle (önerilir)
-
Güncelleştirmeleri karşıdan yükle, ancak kurma konusundaki kararı bana bırak
-
Güncelleştirmeleri denetle, ancak karşıdan yükleme ve kurma konusundaki kararı bana bırak
Otomatik düzeltme
Otomatik güncelleştirmeler etkin'i seçerseniz NAP otomatik düzeltme etkinleştirilir ve istemci bilgisayardaki WSHA, Microsoft Update Services'ın etkinleştirilmemiş durumda olduğunu bildirir. WSHV daha sonra istemci bilgisayardaki WSHA'ya Microsoft Update Services'ı etkinleştirmesini ve güncelleştirmeleri otomatik olarak karşıdan yükleyip kuracak biçimde Microsoft Update Services'ı yapılandırmasını bildirir.
Not | |
NAP İstemcisi Yönetimi MMC ek bileşenini kullanarak otomatik düzeltmeyi yapılandırabilirsiniz. |
Güvenlik güncelleştirmesi koruması
Ağınızdaki istemci bilgisayarlarda Windows Update Aracısı çalışmıyorsa, WSHV ilkenizde Güvenlik Güncelleştirmesi Koruması'nı yapılandırmayın. Ayrıca, Windows Update Aracısı çalışan istemci bilgisayarlar Windows Server Update Service (WSUS) çalışan bir sunucuyla kaydettirilmeleri gerekir.
Önemli | |
Bu koşullar sağlanmadan WSHV ilkenizde Güvenlik Güncelleştirmesi Koruması'nı yapılandırırsanız, ilke istemci bilgisayardaki WSHA tarafından zorlanamaz, WSHA istemci bilgisayarların erişimini bir düzeltme ağıyla kısıtlar ve istemciler ağınıza bağlanamaz. |
İstemci bilgisayarlarda Windows Update Aracısı çalışıyorsa ve bir WSUS sunucusuyla kaydettirilmişlerse, WSHV ilkeniz için Güvenlik Güncelleştirmesi Koruması'nı yapılandırabilirsiniz.
Bu durumda, Eksik güvenlik güncelleştirmeleri için karantinayı zorla'yı seçerseniz ve en son güvenlik güncelleştirmeleri yüklü değilse, WSHA, en son güvenlik güncelleştirmeleri yükleninceye kadar istemci bilgisayarı bir düzeltme ağıyla kısıtlar.
Güvenlik Güncelleştirmesi Koruması'nı, Microsoft Güvenliği Yanıt Merkezi'ndeki (MSRC) güvenlik önem derecelendirmeleriyle eşleşen birkaç olası değerden biriyle yapılandırabilirsiniz. Bu değerler şunlardır:
-
Yalnızca kritik. Seçili olduğunda, istemci bilgisayarlarda MSRC önem derecelendirmesi Kritik olarak belirlenmiş tüm güvenlik güncelleştirmeleri yüklü olmalıdır. Bir istemci bilgisayarda bu güncelleştirmeler yoksa, güncelleştirmeler karşıdan yüklenip kuruluncaya kadar istemci bilgisayar bir düzeltme ağıyla kısıtlanır.
-
Önemli ve üstü. Varsayılan ayar budur. Seçili olduğunda, istemci bilgisayarlarda MSRC önem derecelendirmesi Önemli veya Kritik olarak belirlenmiş tüm güvenlik güncelleştirmeleri yüklü olmalıdır. Bir istemci bilgisayarda bu güncelleştirmeler yoksa, güncelleştirmeler karşıdan yüklenip kuruluncaya kadar istemci bilgisayar bir düzeltme ağıyla kısıtlanır.
-
Orta ve üstü. Seçili olduğunda, istemci bilgisayarlarda MSRC önem derecelendirmesi Orta, Önemli veya Kritik olarak belirlenmiş tüm güvenlik güncelleştirmeleri yüklü olmalıdır. Bir istemci bilgisayarda bu güncelleştirmeler yoksa, güncelleştirmeler karşıdan yüklenip kuruluncaya kadar istemci bilgisayar bir düzeltme ağıyla kısıtlanır.
-
Düşük ve üstü. Seçili olduğunda, istemci bilgisayarlarda MSRC önem derecelendirmesi Düşük, Orta, Önemli veya Kritik olarak belirlenmiş tüm güvenlik güncelleştirmeleri yüklü olmalıdır. Bir istemci bilgisayarda bu güncelleştirmeler yoksa, güncelleştirmeler karşıdan yüklenip kuruluncaya kadar istemci bilgisayar bir düzeltme ağıyla kısıtlanır.
-
Tümü. Seçili olduğunda, istemci bilgisayarlarda MSRC önem derecelendirmesine bakılmaksızın tüm güvenlik güncelleştirmeleri yüklü olmalıdır. Bir istemci bilgisayarda en son güncelleştirmeler yoksa, güncelleştirmeler karşıdan yüklenip kuruluncaya kadar istemci bilgisayar bir düzeltme ağıyla kısıtlanır.
Güvenlik güncelleştirmesi önem derecesini yapılandırdıktan sonra, istemcinin WSUS sunucusunu yeni güvenlik güncelleştirmeleri için denetlemesinden sonra izin verilen en az süreyi saat olarak belirtebilirsiniz. En az eşitleme süresi için varsayılan değer 22 saattir.
Bir istemci bilgisayar ilk olarak NAP özellikli ağa bağlanmaya çalıştığında Güvenlik Güncelleştirmesi Koruması ayarı WSHV ilkesinde yapılandırılmışsa, WSHA, istemci bilgisayarın güvenlik güncelleştirmeleri için WSUS sunucusunu son denetlediği zamana bağlı olarak bir düzeltme ağıyla kısıtlanıp kısıtlanmayacağını belirler. WSHA, istemci bilgisayarı bir düzeltme ağıyla kısıtlayıp kısıtlamayacağını aşağıdaki şekilde belirler:
-
İstemci, WSHV için yapılandırılmış olan izin verilen denetim saati alt sınırından daha büyük bir aralıkta güncelleştirmeleri denetlemişse, istemci bilgisayarı bir düzeltme ağıyla kısıtlanır. İstemci bilgisayar güncelleştirmeleri denetledikten ve son güncelleştirmeleri karşıdan yükleyip kurduktan sonra, istemci bilgisayarın tam ağ erişimine izin verilir.
-
İstemci, WSHV için yapılandırılmış olan izin verilen denetim saati alt sınırına eşit veya bu sınırdan daha küçük bir aralıkta güncelleştirmeleri denetlemişse, istemci bilgisayarı bir düzeltme ağıyla kısıtlanmaz.
Not | |
İstemci bilgisayardaki WSHA, bu denetimi yalnızca istemci bilgisayar ağa bağlanmayı denediğinde gerçekleştirir. İstemci bilgisayar yapılandırılmış en düşük eşitleme süresinden daha uzun bir süre boyunca ağa bağlı kalırsa, WSHA güvenlik güncelleştirmeleri için bir denetim tetiklemez, güncelleştirmelerin karşıdan yüklenmesini tetiklemez ve istemci bilgisayarı bir denetim ağıyla kısıtlamaz. |
Otomatik düzeltme
WSHV ilkenizde Güvenlik Güncelleştirmesi Koruması ayarı etkin ve yapılandırılmış durumdayken otomatik düzeltmenin çalışması için aşağıdaki koşulların doğru olması gerekir:
-
Ağınızdaki istemci bilgisayarlarda Windows Update Aracısı çalışmaktadır.
-
Windows Update Aracısı çalışan istemci bilgisayarlar bir WSUS sunucusu ile kaydettirilmiştir.
-
Otomatik düzeltme yapılandırılmış ve etkin durumdadır.
Bu koşullar doğruysa, istemci bilgisayardaki WSHA, en son güvenlik güncelleştirmelerini öğrenmek üzere WSUS sunucusunu denetler. WSHA, yapılandırılmış MSRC önem derecesine sahip en son güvenlik güncelleştirmelerinin istemci bilgisayarda yüklü olmadığını belirlerse, en son güvenlik güncelleştirmelerini karşıdan yükleyerek kurar.