SharePoint'in Gizli Tehlikesi: "Dış Kullanıcılar Hariç Herkes" İzni ve Güvenlik Rehberi

"Dış Kullanıcılar Hariç Herkes" Nedir ve Neden Tehlikelidir?

SharePoint ve Microsoft 365 yöneticileri için tanıdık bir sahne: bir dosya paylaşılacak, birisi "Everyone Except External Users" (EEEU) grubunu seçiyor ve iş tamam. Kağıt üzerinde zararsız görünüyor — dış kullanıcılar zaten erişemiyor, değil mi?

Gerçek çok farklı. EEEU grubu, organizasyondaki her iç kimliği otomatik olarak kapsar:

• Henüz işe başlamamış gelecekteki çalışanlar
• Hizmet hesapları (service accounts)
• Yükleniciler ve dış danışmanlar (tenant'a dahil olanlar)
• Tüm mevcut çalışanlar — departman, rol veya yetki seviyesi fark etmeksizin

Tek bir site, belge kitaplığı veya dosya bu grupla paylaşıldığında, organizasyonunuzdaki herkes erişim kazanıyor. Microsoft, EEEU paylaşımının istenmeyen veri maruziyetine yol açabileceğini resmi dokümantasyonunda açıkça belirtiyor.

Bu durum nasıl oluşuyor? Çoğunlukla kasıtlı değil:

• SharePoint arama sonuçlarından hızlı dosya paylaşımı
• "Bu siteyi herkese açık yap" tıklaması
• Teams ekibi oluşturma sırasında varsayılan izinler
• OneDrive'dan "şirket içi bağlantı" ile paylaşım

Hiçbir uyarı yok. Onay mekanizması yok. Ama etki alanı devasa.

Zero Trust İlkeleriyle Çelişki

Zero Trust mimarisi, "hiçbir kullanıcıya varsayılan olarak güvenme" prensibine dayanır. EEEU ise bunun tam tersidir — organizasyondaki herkese varsayılan olarak güvenir.

En az ayrıcalık ilkesi (least privilege) şunu gerektirir:

• Kullanıcılar yalnızca işlerini yapmaları için gereken verilere erişebilmeli
• Erişim açıkça tanımlanmalı ve düzenli olarak gözden geçirilmeli
• Varsayılan izinler mümkün olduğunca kısıtlayıcı olmalı

EEEU ile paylaşılan bir belge kitaplığı, bu üç ilkenin üçünü birden ihlal eder. İK departmanının maaş tablosu, finans ekibinin bütçe dosyası veya yönetim kurulu sunumu — hepsi tek bir yanlış tıklamayla tüm organizasyona açılabilir.

Bunun maliyeti soyut değil. Gerçek dünyada somut sonuçları var:

• Tesla (2023-2025): Eski çalışanlar, aşırı geniş iç erişim hakları nedeniyle 75.000'den fazla çalışan ve müşterinin hassas verilerine erişip sızdırdı.
• ABD Hava Kuvvetleri (2025): Yanlış yapılandırılmış SharePoint izinleri, iç kişisel verileri ve sağlık bilgilerini açığa çıkardı. Hacker yoktu — sadece iç aşırı paylaşım.

Farklı platformlar, farklı ölçekler. Aynı kök neden: aşırı geniş erişim izinleri.

Copilot Çağında Risk Katlanarak Artıyor

Bu konuyu bugün ele almamızın önemli bir nedeni var: Microsoft 365 Copilot ve Copilot Cowork yapay zeka asistanları, kullanıcının erişebildiği tüm verileri hızla keşfediyor ve özetliyor.

Copilot veri üretmez — kullanıcının zaten erişebildiği verileri yüzeylendirir. Bu, EEEU ile aşırı paylaşılmış içeriğin yapay zeka destekli arama ve özetleme yoluyla anında keşfedilebilir hale gelmesi demektir.

Pratikte bu şu anlama geliyor:

• Bir çalışan Copilot'a "şirketin maaş politikası hakkında ne biliyorsun?" diye sorduğunda, EEEU ile paylaşılmış İK dosyaları yanıtın parçası olabilir
• "Son çeyrek finansal performans nasıl?" sorusuna, herkesin erişebildiği bütçe tabloları kaynak gösterilebilir
• Copilot, herhangi bir denetçinin aylar süren incelemesinden çok daha hızlı bir şekilde aşırı paylaşılmış içeriği ortaya çıkarır

Bu durum, EEEU temizliğini Copilot dağıtımının ön koşulu haline getiriyor. Copilot'u güvenle dağıtmak isteyen organizasyonlar, önce izin hijyenini sağlamalı.

Adım Adım Düzeltme Rehberi

İyi haber şu: düzeltme için üçüncü taraf araçlara ihtiyacınız yok. Microsoft'un yerleşik araçları yeterli.

Adım 1: EEEU Kullanımını Tespit Edin

SharePoint Data Access Governance raporlarını kullanarak EEEU ile paylaşılan site ve dosyaları tespit edin.

Bu raporlar şunları gösterir:

• Son 28 günde yüksek riskli paylaşım aktivitesi
• Herkese açık dosyalar
• Herkese açık siteler
• EEEU grubunun kullanıldığı tüm konumlar

SharePoint yönetim merkezinden erişilebilen bu raporlar, temizlik çalışmasının ilk ve en kritik adımıdır.

Adım 2: Hassas İçeriği Sınıflandırın ve Koruyun

Microsoft Purview Information Protection ile otomatik koruma uygulayın:

• Etiketlenmiş verilerde geniş paylaşımı engelleyin
• Şifreleme ve erişim kısıtlamaları uygulayın
• Hassas içeriği otomatik etiketleyin (auto-labeling)
• DLP politikalarıyla EEEU paylaşımını tespit edip engelleyin

Duyarlılık etiketleri (sensitivity labels), dosya düzeyinde koruma sağlayarak EEEU grubunun erişimini etkili bir şekilde kırabilir.

Adım 3: Keşfedilebilirliği Azaltın

Düzeltme sürecinde Restricted Content Discovery özelliğini uygulayın. Bu özellik, aşırı paylaşılmış sitelerin arama sonuçlarında ve Copilot yanıtlarında görünmesini engeller.

Bu, kalıcı bir çözüm değil ama düzeltme tamamlanana kadar kritik bir geçici koruma sağlar. Özellikle Copilot dağıtımı devam ediyorsa bu adım vazgeçilmezdir.

Adım 4: Yaşam Döngüsü Yönetimi ve Temizlik

Purview Data Lifecycle Management ile eski verileri otomatik olarak silin veya arşivleyin:

• Belirli bir süredir erişilmemiş dosyaları arşivleme
• Saklama politikalarına (retention policies) uygun otomatik silme
• Gereksiz paylaşımların zaman aşımıyla otomatik kaldırılması

Eski ve gereksiz veriler, en büyük risk kaynağıdır. Kimsenin artık erişmemesi gereken dosyaların hâlâ EEEU ile paylaşılıyor olması yaygın bir sorundur.

Adım 5: Sürekli İzleme

Purview Data Security Posture Management (DSPM) ile aşırı paylaşım risklerini sürekli izleyin:

• EEEU kullanımını gerçek zamanlı tespit
• Risk skoru değişikliklerinde otomatik uyarılar
• Düzeltme önerilerinin otomatik oluşturulması
• Zaman içinde iyileşme trendlerinin izlenmesi

Tek seferlik temizlik yeterli değildir. EEEU sorunu, sürekli izleme olmadan tekrar oluşacaktır.

Lisans Gereksinimleri

Bu düzeltme adımları farklı lisans seviyeleri gerektirir:

• SharePoint Advanced Management: EEEU aktivite raporları ve gelişmiş erişim yönetişimi için gerekli
• Microsoft 365 E5 Compliance veya Purview E5 eklentisi: Otomatik etiketleme, gelişmiş DLP, veri erişim yönetişimi ve aşırı paylaşım içgörüleri için
• Microsoft 365 E3: Temel duyarlılık etiketleri ve manuel kontroller için yeterli

Microsoft 365 E7 Frontier Suite, E5'in tüm güvenlik özelliklerini içerdiğinden, E7'ye geçiş planlayan organizasyonlar bu düzeltme araçlarına otomatik olarak erişim kazanacaktır.

Bu bir araç problemi değil — bir yönetişim kararıdır. Doğru lisansa sahip olmak yetmez; bu araçları aktif olarak yapılandırmak ve izlemek gerekir.

Kurumlar İçin Eylem Planı

Aşırı paylaşım temizliğini sistematik olarak yürütmek için önerdiğimiz yaklaşım:

• Hafta 1-2: SharePoint Data Access Governance raporlarıyla EEEU kullanım haritasını çıkarın
• Hafta 3-4: Yüksek riskli siteleri önceliklendirin (İK, finans, yönetim verileri)
• Hafta 5-6: Purview Information Protection ile duyarlılık etiketlerini yapılandırın
• Hafta 7-8: Restricted Content Discovery'yi aktifleştirin ve Copilot erişimini kontrol altına alın
• Ay 3: Yaşam döngüsü politikalarını devreye alın ve sürekli izlemeyi başlatın
• Sürekli: Aylık EEEU denetim raporları ve düzeltme döngüleri

SharePoint Online'a geçiş sürecinde olan organizasyonlar için bu temizlik, geçiş projesinin ayrılmaz bir parçası olmalıdır. On-premise'den taşınan izinler genellikle EEEU sorununu daha da derinleştirir.

Fiboo olarak Microsoft 365 güvenlik yönetişimi, SharePoint izin denetimi ve Copilot hazırlık süreçlerinde danışmanlık sunuyoruz. Kuruluşunuzun veri güvenliğini sağlamak için bizimle iletişime geçin.