Windows 11 Beta Sürümünde Uzaktan Oturumlar için Akıllı Kart Güvenliğinin Güçlendirilmesi

Giriş

Microsoft, işletmelerin uzaktan çalışma senaryolarında güvenlik standartlarını yükseltmek amacıyla Windows 11 Insider Beta sürümüne önemli bir güncelleme getirdi. Bu güncelleme, Azure Virtual Desktop ve Windows 365 gibi bulut tabanlı uzaktan masaüstü hizmetlerinde akıllı kart kullanımını daha güvenli hale getiriyor. Özellikle Microsoft Entra ID (eski adıyla Azure AD) kimlik doğrulamasını kullanan kuruluşlar için tasarlanan bu özellik, uyumluluk gerekliliklerini karşılamada kritik bir rol oynuyor.

Sorun Tanımı

Uzaktan çalışma ortamlarında akıllı kartlar, kullanıcı kimlik doğrulaması için yaygın olarak kullanılmaktadır. Ancak, geleneksel senaryolarda akıllı kart çıkarılması durumunda oturumun otomatik olarak sonlandırılması mümkün değildi. Bu durum, yetkisiz erişim risklerini artırarak güvenlik açıklarına yol açabiliyordu. Özellikle Microsoft Entra ID kimlik doğrulaması kullanan kuruluşlar için bu durum, sıfır güven (Zero Trust) modeline aykırıydı ve uyumluluk standartlarını (örneğin, NIST, ISO 27001) ihlal edebiliyordu.

Çözüm: Yeni Windows 11 Beta Özellikleri

Windows 11 Insider Beta sürümüyle birlikte gelen akıllı kart yönlendirme (smart card redirection) iyileştirmeleri, aşağıdaki avantajları sunmaktadır:

• Otomatik oturum sonlandırma: Akıllı kart çıkarılması durumunda, Azure Virtual Desktop ve Windows 365 oturumları otomatik olarak sonlandırılır. Bu, yetkisiz erişimlerin önüne geçer.
• Microsoft Entra ID uyumluluğu: Özellikle Entra ID kimlik doğrulaması kullanan kuruluşlar, bu özellik sayesinde sıkı güvenlik politikaları uygulayabilir.
• Uyumluluk standartlarına destek: Kuruluşlar, NIST SP 800-63, ISO 27001, ve PCI DSS gibi standartlara daha kolay uyum sağlayabilir.

Teknik Detaylar

Bu özellik, Windows 11 Insider Beta Build 26100.1011 ve üzeri sürümlerde mevcuttur. Aşağıdaki bileşenler üzerinde çalışmaktadır:

• Azure Virtual Desktop (AVD): Sanal masaüstü oturumlarında akıllı kart yönlendirmesi desteklenmektedir.
• Windows 365: Bulut tabanlı masaüstü hizmetlerinde akıllı kart güvenliği artırılmıştır.
• Microsoft Entra ID: Kimlik doğrulama için kullanılan Azure AD, artık akıllı kart çıkarılması durumunda oturumu sonlandırabilmektedir.

Uygulama Adımları

Aşağıdaki adımlar, kuruluşunuzda bu özelliği etkinleştirmek için izlenmesi gereken prosedürü detaylandırmaktadır. Bu adımlar, orta düzey (intermediate) teknik bilgi gerektirir ve Windows 11 Insider Beta sürümüne sahip bir cihazda uygulanmalıdır.

Ön Koşullar

1. Windows 11 Insider Beta Sürümü:

   Başlat Menüsü → Ayarlar → Windows Update → Windows Insider Program → Katıl

   Windows Insider Program'a katılın ve Beta Channel seçeneğini belirleyin. En son Insider Beta sürümünü yükleyin.

2. Azure Virtual Desktop veya Windows 365 Hizmeti:

   Eğer kuruluşunuz bu hizmetleri kullanmıyorsa, öncelikle Azure Portal üzerinden gerekli hizmetleri oluşturun.

3. Akıllı Kart ve Yönlendirme Desteği:

   Kullanılan akıllı kartın Windows 11 tarafından desteklendiğinden emin olun. Genellikle PIV, CAC, ve Smart Card (ISO 7816) uyumlu kartlar desteklenmektedir.

Akıllı Kart Yönlendirmeyi Etkinleştirme

1. Azure Virtual Desktop için:
   1. Azure Portal'a giriş yapın:

      https://portal.azure.com

   2. Virtual Desktop grubunu seçin:
      • Azure Portal → Azure Virtual Desktop → Host pools yolunu izleyin.
      • İlgili host pool'u seçin ve Properties sekmesine gidin.
   3. Smart Card Redirection özelliğini etkinleştirin:
      • RDP Properties → Smart Card Redirection bölümünü bulun.
      • Enable Smart Card Redirection seçeneğini işaretleyin.
      • Değişiklikleri kaydedin.
2. Windows 365 için:
   1. Microsoft Endpoint Manager (Intune) portalına giriş yapın:

      https://endpoint.microsoft.com

   2. Cloud PC policy oluşturun veya düzenleyin:
      • Devices → Windows → Policies → Create policy yolunu izleyin.
      • Policy türü olarak Cloud PC'yi seçin.
   3. Smart Card Redirection ayarlarını yapılandırın:
      • Configuration settings → Smart Card bölümüne gidin.
      • Enable Smart Card Redirection seçeneğini etkinleştirin.
      • Automatically disconnect session when smart card is removed seçeneğini işaretleyin.

        ⚠️ Uyarı: Bu ayar, kullanıcıların akıllı kartlarını çıkarmaları durumunda oturumun otomatik olarak sonlandırılmasını sağlar. Bu seçeneğin etkinleştirilmesi, kullanıcı deneyimini etkileyebilir. Kullanıcıları bu değişiklik hakkında bilgilendirin.

   4. Policy'yi atayın:
      • Policy'yi ilgili kullanıcı veya cihaz gruplarına atayın.

Microsoft Entra ID (Azure AD) için Güvenlik Politikalarını Yapılandırma

Akıllı kart çıkarılması durumunda oturumun otomatik olarak sonlandırılması için Microsoft Entra ID Conditional Access politikalarını da yapılandırmanız gerekmektedir.

1. Microsoft Entra Admin Center'a giriş yapın:

   https://entra.microsoft.com

2. Conditional Access policy oluşturun:
   1. Protection → Conditional Access → Policies → New policy yolunu izleyin.
   2. Policy adı: Örneğin, "Smart Card Removal Session Termination".
   3. Kullanıcılar ve gruplar: Policy'nin uygulanacağı kullanıcıları veya grupları seçin.
   4. Bulut uygulamaları: Azure Virtual Desktop ve Windows 365'i seçin.
   5. Koşullar:
      • Device platforms: Tüm platformları (Windows, macOS, Linux) dahil edin.
      • Client apps: Web, mobil uygulamalar ve masaüstü istemcilerini dahil edin.
   6. Erişim kontrolleri:
      • Grant: "Require compliant device" ve "Require multi-factor authentication" seçeneklerini etkinleştirin.
      • Session:
        • Sign-in frequency: Gerektiğinde ayarlayın (örneğin, 1 saat).
        • Persistent browser session: Devre dışı bırakın.
   7. Policy'yi etkinleştirin: Policy'yi Report-only modunda test edin. Sorun olmadığından emin olduktan sonra On olarak ayarlayın.

Doğrulama ve Test

Yapılan ayarların doğru çalıştığını doğrulamak için aşağıdaki adımları izleyin:

1. Oturum açma ve akıllı kart doğrulaması:
   • Azure Virtual Desktop veya Windows 365 oturumunu açın ve akıllı kartla kimlik doğrulamasını gerçekleştirin.
2. Akıllı kart çıkarılması testi:
   • Oturum açıkken akıllı kartı çıkararak oturumun otomatik olarak sonlandırıldığını doğrulayın.
   • Oturumun 30 saniye içinde sonlandırılması beklenmektedir. Bu süre, yapılandırılan politikaya bağlı olarak değişebilir.
3. Log incelemesi:
   • Event Viewer → Applications and Services Logs → Microsoft → Windows → TerminalServices-LocalSessionManager yolunu izleyerek oturum sonlandırma olaylarını inceleyin.
   • Oturumun sonlandırılma nedeninin "Smart card removed" olarak kaydedilmesi gerekmektedir.

Sık Karşılaşılan Sorunlar ve Çözümleri

⚠️ Sorun 1: Akıllı kart çıkarılması durumunda oturum sonlandırılmıyor.
Çözüm:

• Yapılandırılan policy'nin doğru şekilde atandığından emin olun.
• Microsoft Entra ID Conditional Access policy'sinin etkinleştirildiğinden ve doğru koşullara sahip olduğundan emin olun.
• AVD veya Windows 365 host pool'unda Smart Card Redirection özelliğinin etkinleştirildiğinden emin olun.
• Kullanılan Windows 11 Insider Beta sürümünün en son olduğundan emin olun.

⚠️ Sorun 2: Kullanıcılar akıllı kartlarını takamadıklarını bildiriyor.
Çözüm:

• Kullanıcının yerel cihazında akıllı kart okuyucusunun doğru şekilde yüklendiğinden ve çalıştığından emin olun.
• Windows 11'in akıllı kart sürücülerini desteklediğinden emin olun. Gerekirse, üretici web sitesinden en son sürücüleri indirin.
• AVD veya Windows 365 oturumunda akıllı kart yönlendirmesinin etkinleştirildiğinden emin olun.

⚠️ Sorun 3: Oturum sonlandırma süresi çok uzun.
Çözüm:

• Microsoft Entra ID Conditional Access policy'sinde Sign-in frequency süresini azaltın (örneğin, 15 dakika).
• AVD veya Windows 365 host pool'unda Session Timeout ayarlarını inceleyin ve gerektiğinde azaltın.

En İyi Uygulamalar

Bu özelliğin etkinleştirilmesi sırasında aşağıdaki en iyi uygulamalara dikkat edin:

• Kullanıcı Eğitimi: Kullanıcıları, akıllı kart çıkarılması durumunda oturumun otomatik olarak sonlandırılacağı konusunda bilgilendirin. Bu, kullanıcıların akıllı kartlarını güvenli bir şekilde saklamalarını teşvik eder.
• Politika Testi: Policy'leri Report-only modunda test edin ve kullanıcı geri bildirimlerini toplayın. Politikaların üretim ortamına uygulanmadan önce iyice test edildiğinden emin olun.
• Günlük İzleme: Oturum sonlandırma olaylarını düzenli olarak izleyin ve gerektiğinde ayarlamalar yapın.
• Yedek Planı: Akıllı kart çıkarılması durumunda kullanıcıların alternatif kimlik doğrulama yöntemlerine (örneğin, MFA) sahip olmalarını sağlayın.

Sonuç

Windows 11 Insider Beta sürümündeki bu güncelleme, kuruluşların uzaktan çalışma ortamlarında güvenlik standartlarını yükseltmelerine olanak tanımaktadır. Özellikle Microsoft Entra ID kimlik doğrulaması kullanan ve sıkı uyumluluk gerekliliklerine sahip olan işletmeler için bu özellik, sıfır güven modeline uyumu kolaylaştırmaktadır. Akıllı kart çıkarılması durumunda oturumun otomatik olarak sonlandırılması, yetkisiz erişimlerin önüne geçerek veri güvenliğini artırmaktadır.

Bu özellik, orta düzey teknik bilgi gerektirse de, adım adım talimatlar ve en iyi uygulamalar izlenerek kolayca uygulanabilir. Kuruluşunuzda bu özelliği etkinleştirmeden önce, tüm kullanıcıları ve paydaşları bilgilendirmeyi unutmayın.