Device Guard ile SCCM Entegrasyon Örneği

Windows 10 Kurumsal özellikleri içerisinde en çok ilgi çeken özelliklerin başında Device Guard geliyor. Basitçe özetlemek gerekirse işletim sisteminin üzerinde çalışacak kodların dijital olarak imzalanmış olması gerekliliğini getiren ve imzasına güvenilmeyen hiçbir kodun çalışmasına izin vermeyen bir sıkılaştırma özelliği Device Guard.

Ancak konfigürasyonuna bakıldığında oldukça kompleks ve yönetimi zor olan bir yapıda olduğunu görüyoruz. Golden image oluşturarak çeşitli powershell komutlarıyla işletim sistemi içerisindeki uygulamaların imzası alınıyor, binary olarak saklanıyor ve GPO üzerinden yapılacak konfigürasyon ile de aktive ediliyordu. Yeni bir üreticiden uygulama satın alındığında bu uygulamaların dijital olarak imzalı olması gerekliliği veya ilgili politikanın yeniden oluşturulması zorunluluğu ise yapıyı yönetimsel olarak daha da karmaşık bir hale getiriyordu.

System Center Configuration Manager ürünü ile gerçekleştirilen entegrasyon sayesinde ise SCCM ajanı, işletim sistemi içerisinde “trusted installer” olarak tanımlanıyor. Bu konfigürasyonda herhangi bir uygulama, kaynağı SCCM sunucu ise çalıştırılıyor; herhangi farklı bir kaynaktan temin edilen uygulamalar ise, kullanıcıların local admin / domain admin olması fark etmeksizin engelleniyor.

Aşağıdaki videoda, local admin olan bir kullanıcının bilgisayarına WinRar uygulamasını kurmaya kalkmasıyla karşılaştığı uyarı mesajını görebiliyoruz. Aynı uygulama SCCM üzerindeki Software Center üzerinden yüklenmeye çalışıldığında ise sorunsuz bir şekilde yükleniyor.

[video width="960" height="720" mp4="https://msdnshared.blob.core.windows.net/media/2017/08/device-guard.mp4"][/video]