Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


category KATEGORİ: Group Policy
category Fırat Boyan category 20.12.2018 category 2

Group Policy'de GPO üzerinden USB Bellek Donanım ID Bilgisine Göre Sadece Belirli USB Belleklere İzin Verme


Yönettiğiniz sistem alt yapılarında güvenliğin ne kadar önemli olduğunu biz IT uzmanları bilmekteyiz. Güvenlik, çok geniş kapsamda ele alınacak bir şeydir ancak güvenlik önemlerinden bazıları da, data'larımızın hiçbir şekilde dışarıya çıkmamasıdır. Bu nedenle şirket bilgisayarlarımızdaki USB belleklerin kullanımını genelde kapatıyoruz ancak sadece şirket içinde kullanılan ve sadece şirket politikalarımız gereği kullanabileceğimiz USB bellekler olabiliyor. Bu nedenle de sadece sadece şirket içinde kullanacağımız USB belleklere izin vermek şeklinde bir güvenlik politikası izleyebiliriz.

Bu makalemde sizlere Group Policy'de GPO üzerinden USB bellek Hardware ID (donanım kimlik) bilgisine göre sadece belli USB belleklere izin verme, bu belirlenenler dışındakilerin de yine kullanımlarını engelleme yönünde nasıl bir yapılandırma yapacağınızdan bahsediyor olacağım.

1- This PC'ye tıkladığımda kullanmak istediğim USB belleği görebiliyorum.

GPO ile USB bellek yasaklama

2- İlk adım olarak, kullanmak istediğim bu USB belleğin Hardware ID'sini (donanım kimliği) öğrenmek olacak. Bunun için Computer Management altındaki Device Manager'ı tıkladığımda, yüklü olan tüm donanımlarımı görebiliyorum. Buradan Disk Drives altında USB belleğimi seçerek sağ tıklıyor, Properties seçeğini seçerek donanım özelliklerini açıyorum.

GPO ile USB bellek yasaklama

3- Donanım özelliklerinde Details sekmesi altında Propery alanındaki listeden Hardware Ids seçeneğini seçiyorum. Seçimle birlikte de Value altında USBSTOR\KingstonDataTraveler_2.0P benim USB belleğime ait, öğrenmek istediğim Hardware ID'sidir (donanım kimliği). Bunun üzerinde de sağ tıklayarak Copy seçeneğini seçerek, belleğe alıyorum.

GPO ile USB bellek yasaklama

4- Domain Controller'da Group Policy Management'ı açıyor, ilgili Organization Unit üzerinde bir GPO oluşturuyorum.

GPO ile USB bellek yasaklama

GPO ile USB bellek yasaklama

5- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçiyor ve yapılandırmaya başlıyorum.

GPO ile USB bellek yasaklama

6- İlk olarak Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions yolunu izleyerek;

6.1- Allow installation of devices that match the device IDs üzerine çift tıklayarak açıyorum. Bu yapılandırma seçeneğinde elde ettiğim USB bellek Hardware ID'sini tanımlayacağım.

GPO ile USB bellek yasaklama

6.2- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra, Options altında Show... butonuna tıklıyorum.

GPO ile USB bellek yasaklama

6.3- Açılan penceredeki Vlue alanına elde ettiğim ve kopyalayarak belleğe altığım USB bellek Hardware ID'sini buraya yapıştırıyor, OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.4- İkinci adımda da Prevent installation of devices not described by other policy settings üzerine çift tıklayarak açıyorum. Bu adım çok önemli. Burada, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında hiçbir USB belleğin kullanılmamasına yönelik yasaklama işlemi uyguluyorum. 

NOT: Bu ayarı yapmazsanız, Allow installation of devices that match the device IDs yapılandırmasın hiçbir anlamı kalmayacaktır.


GPO ile USB bellek yasaklama

6.4.1- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.5- Üçüncü ancak zorunlu olmayan bir diğer ayar da, Display a custom message title when device installation is prevented... olcak ki bu ayar ile, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında başka herhangi bir USB bellek bilgisayarların USB port'larına takıldığında, kullanıcıya sizin belirleyeceğiniz bir bilgi/uyarı mesajı verdirmek içindir.

GPO ile USB bellek yasaklama

6.5.1- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra Options altında, kullanıcıya göstermek istediğim bilgi/uyarı mesajını buraya yazıp, OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.6- GPO üzerindeki tüm ilgili ayarları yapılandırdım. Farklı amaçlar doğrultusunda diğer ayarları da inceleyebilir, bunları da kullanabilirsiniz ancak bizim amacımıza hizmet etmesi açısından bu ayarlar yeterlidir.

GPO ile USB bellek yasaklama

7- Client PC'de CMD (Command Promt) açarak, gpupdate /force komutunu uygulayarak, GPO ayarlarımın Client PC'de tanımlanmasını sağlıyorum.

GPO ile USB bellek yasaklama

8- Sıra geldi, yaptığımız GPO ayarlarının çalışıp çalışmadığını kontrol etmeye smiley.
Client PC'deki USB port'una izin verdiğim USB belleği takıyor, This PC üzerinden sistemin USB belleğimi tanıdığını görüyorum.

GPO ile USB bellek yasaklama

9- Sağlamasını yapmak ve GPO ayarlarımızın gerçekten tam anlamıyla, bizim istediğimiz yapılandırmayı yerine getirip getirmediğini anlamak için de Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışındaki başla bir USB belleği Client PC'deki USB port'una takıyorum ve GPO'daki Prevent installation of devices not described by other policy settings ayarı ile izin verilen dışındaki USB belleklerin yasaklanmasını gerçekleştirmiş oluyorum.

GPO ile USB bellek yasaklama

Bu GPO ayarı ile sadece şirket içindeki USB belleklerin kullanımına izin verip, diğer tüm USB bellekleri kullanıma kapatabilirsiniz. Ancak unutulmaması gereken bir şey daha var. O da; izin verilen bu USB belleklerin de hiçbir şekilde dışarıya çıkmamalarını sağlamak. Bunun için size önerebileceğim sistem TRAKA sistemidir. 

Bu sistem yüksek güvenliklidir. Kabin açılışı bir Proximity kart ve parola ile yapılmaktadır. Önce tanımlı kartınızı okutursunuz, sonrasında ise parolanızı girerek kabin kapağını açabilirsiniz. Bu sistem server kabinlerinin kitleri için kullanılan anahtarlar için kullanılıyor ancak USB bellekler de bunun içinde rahatlıkla saklanabilmektedir.

Sistemin TRAKA kabini ile entegreli bir yazılımı ve loglama sistemi bulunmaktadır.
traka
Makalemi sonlandırmadan önce yine ek bir güvenlik önlemi olarak Key Pad'li USB bellekler kullanabilirsiniz.

usb with keypad

Faydalı olması dileğiyle...


 


Beğendiğiniz içerikleri facebook, twitter, g+1 veya LinkedIn üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YAZAR HAKKINDA:

Microsoft Certified Trainer-MCT.
Microsoft Certified Solution Expert-MCSE: Cloud Platorm and Infrastructure.

Adım Fırat Boyan. Bilgi Teknolojileri Sistem ve Ağ Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilişim Teknolojileri sektöründeyim.

2003 yılında lise eğitimimden sonra bir bilgisayar teknik servisinde önce stajyer, sonrasında ise teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, IT Sistem Sorumlusu ve IT Sistem Yöneticisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.

JP. Morgan Chase Bank'ta Sistem Uzmanı ve Analisti olarak görev yapıyor, Türkiye’nin bilişim eğitimleri alanında hizmet veren Bilgi Tekolojileri Eğitim Merkezleri olan Bilge Adam’da MCT-Microsoft Certified Trainer (Microsoft Sertifikalı Eğitmen) ünvanı ile Sistem, Network ve Güvenlik eğitimleri veriyor, kurumsal firmalara Bilişim Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:

MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye 2 yorum yapıldı.

Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.
   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.




YAPILAN YORUMLAR


20-12-2018


emre kara

firat hocam, bu sekilde yapilan policyde , kingstondatatravel_2.0 olan tüm kingston marka usb ler çalismaz mi ?


20-12-2018


Fırat Boyan

Merhaba Emre, USBSTOR\KingstonDataTraveler_2.0P olarak güncelledim.






BT EĞİTİM

Kurumsal eğitimler veren bir Microsoft Sertifikalı IT eğitmeniyim. IT Danışmanlık Hizmetleri verdiğim kurumlarda sürekli olarak, bilgi işlem personellerinin yaptığı işleri genelde ezbere ve neden yaptıklarını tam olarak kavrayamadan, bilmeden yaptıklarına şahit oldum. Böyle durumlarda da genelde firmalar, çalışanlarına IT eğitimleri aldırarak, daha profesyonel ve biliçli personeller istihdam etmektedirler. Sizler de kurumunuzda istihdam ettirdiğiniz bilgi işlem personellerinize IT Eğimleri aldırarak, kurumsal olarak yeni teknolojilere daha güçlü ve bilinçli geçişler yaparak ya da mevcut teknolojiler ile yapılandırılmış alt yapınızın bilgi işlem personelleriniz tarafından bilinçli ve profesyonel olarak ayakta tutmasını ve yürütmesini sağlayabilirsiniz.

Detaylar »





BT DANIŞMANLIK

Kendi bünyesinde IT departmanı isitihdam etmeyen ve bu hizmeti danışmanlık kapsamında outsource olarak alan firmalar, bilgisayar sistemlerinin bakımı ve onarımı için profesyonellerden bakım anlaşması kapsamında hizmet talep etmektedirler. Bilişim sektöründe danışmanlık önemli bir konudur. Bu nedenle, işinin ehli olmayan kişilere sisteminizi emanet edemezsiniz. Profesonel IT Uzmanı olarak; işletmelerin Kurumsal IT ihtiyaçlarına yönelik IT ekipmanlarının ve sistemlerinin kurulum,bakım ve konfigürasyonlarının yapılması hizmetlerini sunuyorum.

Detaylar »





İLETİŞİM

Taleplerinizi iletişim formu aracılığıyla direkt olarak bana iletebilirsiniz.
İletilerinize cevap verebilmem için mutlaka gerçeli bir e-posta adresi girin. Gönderdiğiniz iletiler en kısa sürede cevaplanacaktır. Girdiğiniz bilgiler asla üçüncü taraflarla paylaşılmaz. İletilerinizi iletişim formu aracılığı ile direkt olarak iletebileceğiniz gibi, kendi e-posta sunucunuzu kullanarak da mail adresime iletebilirsiniz.

İletişim Formu »