Yönettiğiniz sistem alt yapılarında güvenliğin ne kadar önemli olduğunu biz IT uzmanları bilmekteyiz. Güvenlik, çok geniş kapsamda ele alınacak bir şeydir ancak güvenlik önemlerinden bazıları da, Data'larımızın hiçbir şekilde dışarıya çıkmamasıdır. Bu nedenle şirket bilgisayarlarımızdaki USB belleklerin kullanımını genelde kapatıyoruz ancak sadece şirket içinde kullanılan ve sadece şirket politikalarımız gereği kullanabileceğimiz USB bellekler olabiliyor. Bu nedenle de sadece sadece şirket içinde kullanacağımız USB belleklere izin vermek şeklinde bir güvenlik politikası izleyebiliriz. Bu makalemde sizlere Group Policy'de Group Policy Object (GPO) üzerinden USB bellek Hardware ID (donanım kimlik) bilgisine göre sadece belli USB belleklere izin verme, bu belirlenenler dışındakilerin de yine kullanımlarını engelleme yönünde nasıl bir yapılandırma yapacağınızdan bahsediyor olacağım.
1- This PC'ye tıkladığımda kullanmak istediğim USB belleği görebiliyorum.
2- İlk adım olarak, kullanmak istediğim bu USB belleğin Hardware ID'sini (donanım kimliği) öğrenmek olacak. Bunun için Computer Management altındaki Device Manager'ı tıkladığımda, yüklü olan tüm donanımlarımı görebiliyorum. Buradan Disk Drives altında USB belleğimi seçerek sağ tıklıyor, Properties seçeğini seçerek donanım özelliklerini açıyorum.
3- Donanım özelliklerinde Details sekmesi altında Property alanındaki listeden Parent seçeneğini seçiyorum.
3.1- Seçimle birlikte Value bölümü altında görülen
|
USB\VID_0951&PID_1666\C860008AE2888F2415903C8B |
bilgisi, USB belleğime ait olan, öğrenmek istediğim Hardware ID (donanım kimliği) bilgisidir.
3.2- Bunun üzerinde de sağ tıklayarak Copy seçeneğini seçerek, belleğe alıyorum.
3.3- Aynı işlemi, PowerShell üzerinden aşağıdaki komut yardımıyla da kolayca ve daha hızlı bir şekilde yapabiliriz.
|
((Get-CimInstance -Class win32_PnPSignedDriver) | ?{($_.Description -like '*mass*')}) |Select Description, DeviceClass, DeviceID, Manufacturer |
4- Domain Controller'da Group Policy Management'ı açıyor, ilgili Organization Unit üzerinde bir GPO-Group Policy Object oluşturuyorum.
5- Oluşturduğum GPO-Group Policy Object üzerinde sağ tıklayarak Edit... seçeneğini seçiyor ve yapılandırmaya başlıyorum.
6- İlk olarak Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions yolunu izleyerek;
6.1- Allow installation of devices that match the device IDs üzerine çift tıklayarak açıyorum. Bu yapılandırma seçeneğinde elde ettiğim USB bellek Hardware ID'sini tanımlayacağım.
6.2- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra, Options altında Show... butonuna tıklıyorum.
6.3- Açılan penceredeki Vlue alanına elde ettiğim ve kopyalayarak belleğe altığım USB bellek Hardware ID'sini buraya yapıştırıyor, OK butonuna basarak işlemimi sonlandırıyorum.
6.4- İkinci adımda da Apply layered order of evaluation for Allow and Prevent device installation policies accross all device match criteria üzerine çift tıklayarak açıyorum. Bu adım çok önemli. Burada, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında hiçbir USB belleğin kullanılmamasına yönelik yasaklama işlemi uyguluyorum. Yapılandırma seçeneğimi Enabled duruma getirdikten sonra OK butonuna basarak işlemimi sonlandırıyorum.
6.5- Üçüncü ancak zorunlu olmayan bir diğer ayar da, Display a custom message title when device installation is prevented... olcak ki bu ayar ile, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında başka herhangi bir USB bellek bilgisayarların USB Port'larına takıldığında, kullanıcıya sizin belirleyeceğiniz bir bilgi/uyarı mesajı verdirmek içindir. Bu seçeneği de Enabled duruma getiriyor, Policy dışında bir USB bellek kullanımı durumunda görünmesini istediğim bir uyarısı yazısı giriyorum.
6.6- İsteğe bağlı olarak, Policy dışındaki bir USB bellek kullanımı ile birlikte göstermek istediğiniz uyarı mesajını detaylandırmak isterseniz, Display a custom message when installation is prevented by a policy setting ayarını Enabled duruma getirerek, uyarı mesajınızı detaylandırabilirsiniz.
7- Oluşturmuş olduğuğum ilgili Group Policy Object (GPO) üzerindeki tüm ilgili ayarları yapılandırdım. Farklı amaçlar doğrultusunda diğer ayarları da inceleyebilir, bunları da kullanabilirsiniz ancak bizim ihtiyacımızı gidermesi açısından bu ayarlar yeterlidir. Client PC'de CMD (Command Promt) açarak, gpupdate /force komutunu uygulayarak, GPO ayarlarımın Client PC'de tanımlanmasını sağlıyorum.
7.1- gpupdate /force komutuna ek olarak, aşağıdaki PowerShell komutu ile, Domain'deki hostname bilgisi verilmiş olan belli bir bilgisayara direkt olarak uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.
|
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
Yine aynı PowerShell komutu ile Domain'deki hostname bilgisi belli bir isimle başlayan bilgisayarlara (ör. PC*) uygulatılmasını sağlayabilirsiniz.
|
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
Ya da Domain'deki sadece [*] işareti ile direkt olarak Domain'deki tüm bilgisayalara uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.
|
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
8- Sıra geldi, yaptığımız GPO-Group Policy Object ayarlarının çalışıp çalışmadığını kontrol etmeye. Client PC'deki USB Port'una izin verdiğim USB belleği takıyor, This PC üzerinden sistemin USB belleğimi tanıdığını görüyorum.
9- Sağlamasını yapmak ve Group Policy Object (GPO) ayarlarımızın gerçekten tam anlamıyla, bizim istediğimiz yapılandırma ayarları ile çalışıp, çalışmadığını anlamak için de Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışındaki başla bir USB belleği Client PC'deki USB Port'una takıyorum ve GPO'da donanım kimlik bilgisini tanımlamış olduğum USB bellek dışındaki bir USB belleğin kullanımına izin vermemiş oldum. Bu GPO ayarı ile sadece şirket içindeki USB belleklerin kullanımına izin verip, diğer tüm USB bellekleri kullanıma kapatabilirsiniz.
Unutulmaması gereken bir şey daha var. O da; izin verilen bu USB belleklerin de hiçbir şekilde dışarıya çıkmamalarını sağlamak. Bunun için size önerebileceğim sistem TRAKA sistemidir. Bu sistem yüksek güvenliklidir. Kabin açılışı bir Proximity kart ve parola ile yapılmaktadır. Önce tanımlı kartınızı okutursunuz, sonrasında ise parolanızı girerek kabin kapağını açabilirsiniz. Bu sistem server kabinlerinin kitleri için kullanılan anahtarlar için kullanılıyor ancak USB bellekler de bunun içinde rahatlıkla saklanabilmektedir. Ek güvenlik önlemi olarak da Key Pad'li USB bellekler kullanabilirsiniz.
Sistemin TRAKA kabini ile entegreli bir yazılımı ve loglama sistemi bulunmaktadır.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.