SCCM’de “Configuration Baselines” ve “Configuration Items” terimleri, sistem yöneticilerinin ağlarındaki cihazların uyumluluğunu yönetmeleri için kritik öneme sahiptir. Bu kavramları ve işlevlerini detaylıca inceleyelim.
Configuration Items (CI)
Configuration Items, SCCM içinde yönetilen bir cihazda belirli bir yapılandırma veya ayarın mevcut durumunu temsil eder. Bir CI, bir dosyanın varlığı, bir kayıt defteri anahtarının değeri, bir işletim sistemi ayarı veya bir yazılım uygulamasının sürümü gibi birçok farklı yapılandırma öğesini kapsayabilir. CI’lar, IT yöneticilerinin belirli bir yapılandırma ayarının tüm cihazlar arasında tutarlı olmasını sağlamak için kullanılır. Örneğin, bir güvenlik yazılımının en son sürümünün tüm kullanıcı bilgisayarlarında yüklü olup olmadığını kontrol etmek için bir CI kullanılabilir.
Configuration Baselines
Configuration Baselines, bir veya daha fazla Configuration Item’ı bir araya getirerek, cihazların belirli bir yapılandırma standardına veya uyumluluk kriterlerine uyup uymadığını belirlemek için kullanılan bir seti tanımlar. Bir yapılandırma temeli, önceden belirlenmiş uyumluluk kurallarına göre cihazların değerlendirilmesini sağlar. Bu, organizasyonun güvenlik politikaları, performans standartları veya diğer operasyonel gereksinimler gibi belirli bir uyumluluk düzeyini sürdürmesine yardımcı olur.
Örneğin, bir IT departmanı, tüm şirket bilgisayarlarının belirli bir antivirüs yazılımıyla donatılmasını ve güncel tutulmasını gerektiren bir güvenlik politikası uygulayabilir. Bu durumda, söz konusu antivirüs yazılımının kurulumunu ve sürümünü kontrol eden CI’lar ve bu CI’lardan oluşan bir yapılandırma temeli oluşturulabilir. Daha sonra, SCCM bu yapılandırma temelini kullanarak tüm cihazları otomatik olarak tarar ve politikaya uygun olmayanları raporlar.
Kullanım Alanları
- Uyumluluk ve Güvenlik Yönetimi: SCCM, yapılandırma temelleri aracılığıyla cihazların kuruluşun IT politikalarına ve güvenlik standartlarına uyup uymadığını sürekli olarak izler. Bu, güvenlik açıklarını azaltmaya ve uyumluluk gereksinimlerini karşılamaya yardımcı olur.
- Otomatik Düzeltme: Bazı uyumsuzluklar otomatik olarak düzeltilebilir. Örneğin, bir güvenlik güncellemesinin eksik olduğu tespit edilirse, SCCM bu güncellemeyi otomatik olarak uygulayabilir.
- Raporlama ve Analiz: SCCM, yapılandırma temelleri kullanılarak elde edilen uyumluluk verilerini detaylı raporlar halinde sunar. Bu raporlar, IT yöneticilerine ağın güvenlik durumu ve uyumluluk düzeyi hakkında değerli bilg
Daha önce bahsettiğimiz eski versiyonları güvenlik açıklarına sebep olan TLS Protokolü Nedir? Powershell İle TLS 1.0 ve 1.1 Kapatma 1.2 Aktif Etme – IT BackLogs protokolüne ortamımızda uyan ve uyman makinelerin tespiti için bu özellikten yararlanabiliriz.
İlk önce bir Configuration items oluşturuyoruz. İsmini ve açıklamasını yazıyoruz. Çalışacağı işletim sistemlerini ben seçeceğim için Windows Desktop and Servers seçeniinde bırakıyorum.
Hangi işletim sistemlerinde kontrol etmek istiyorsak onalrı belirtiyoruz.
New setting oluşturuyoruz. İsmini veriyoruz. Benim kontrol edeceğim registry value olduğu için Setting type bunu belirtiyorum. Data type olarak Integer şeçiyoruz. Çünkü TLS için registry değeri DWORD olduğu için integer bir değer alır. Browse diyerek registry kayadının tam halini bulabilirsiniz.
Yukarıdaki görseldeki gibi eğer tik seçili olursa bu kurala uygun olmayan kayıtları düzeltme işlemi yapacaktır. Eğer düzeltmesini istemiyorsanız bu tiki kaldırmanız gerekmektedir.
TLS 1.2 açık ise registry kaydının değer, aşağıdaki gibi olmalıdır.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]“DisabledByDefault”=dword:00000000“Enabled”=dword:00000001
Registry değerini kontrol edern Configuration items oluşturduktan sonra Configuration items bir baseline içine eklenerek deploy edilir.
Add diyerek oluşturduğumuz configuration item’ı baseline içine ekliyoruz. Oluşturduğumuz baseline üzerine sağ tıklayıp deploy dediğimizde ;
Sol taraftan ıtem’ı bulup Add diyoruz. Burda hangi Collection’a deploy ediceğimizi seçiyoruz. Örneğin Sunucuların bulunduğu bir collection vars buraya deploy edebiliriz.
Simple Schedule üzerinden ne kadar sürede kontrol edeceiğini bunu ne kadar tekrarlayacağını belirtiyoruz.
Sonuçlar düşmeye başladığında, bu kurala uygun olmayan sunucular “Uyumsuz” (Noncompliant) olarak belirlenirken, uygun olanlar “Uyumlu” (Compliant) olarak sınıflandırılacaktır. Bu özelliği uyumsuz sunucularda kapatabilir veya açabilirsiniz; bu işlem tamamen sizin kontrolünüzdedir.
