İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.




Kategori: Group Policy
Fırat Boyan 20.12.2018 21

Windows Server 2016'da Group Policy Object (GPO) İle Belirli USB Belleklere İzin Verme

USB cihazlarının kullanımını denetlemek, özellikle kurumsal ortamlarda veri güvenliği açısından kritik bir öneme sahiptir. Gelişen teknolojiyle birlikte USB belleklerin yaygın kullanımı, veri taşınabilirliğini kolaylaştırırken aynı zamanda güvenlik açıklarını da beraberinde getirir. Bu nedenle, sistemlerde yalnızca belirli USB belleklerin kullanımına izin vermek, diğerlerini engellemek gereklidir. Group Policy Object (GPO) kullanarak belirli USB belleklerin tanınmasına izin vermek, sistemlerin güvenliğini artırmak ve izinsiz veri transferlerini önlemek adına etkili bir yöntemdir.

GPO üzerinden yapılan bu tür yapılandırmalar, cihazların kimlik bilgilerinin kullanılmasıyla gerçekleştirilir. USB belleklerin Vendor ID (VID) ve Product ID (PID) bilgileri, cihazları tanımlamak için kullanılır. Bu bilgiler, Device Manager veya PowerShell komutları ile kolayca elde edilebilir. Belirli bir USB belleğin tanınmasına izin vermek için, bu kimlik bilgileri GPO'ya eklenir ve yalnızca belirtilen cihazların sisteme erişimine izin verilir. Diğer tüm USB cihazları, GPO tarafından otomatik olarak engellenir. Bu yapılandırma, organizasyon genelinde uygulanarak, tüm Client makinelerde aynı güvenlik politikası etkin hale getirilir.

Sistemde uygulanacak GPO politikası, hem kullanıcı hem de bilgisayar düzeyinde tanımlanabilir. Kullanıcı düzeyinde tanımlanan politikalar, belirli kullanıcıların bu cihazlara erişimini kısıtlarken, bilgisayar düzeyinde tanımlanan politikalar, tüm bilgisayarlarda geçerli olur. Bu esneklik, sistem yöneticilerine belirli durumlar için özelleştirilmiş çözümler geliştirme imkanı verir. Özellikle güvenliğin ön planda olduğu ortamlarda, sadece tanımlanmış USB cihazlarının kullanılmasına izin verilmesi, veri sızıntısı riskini büyük ölçüde azaltır.

Bu tür politikaların etkinleştirilmesi, geniş çaplı bir Network ortamında merkezi yönetimi de kolaylaştırır. Tek bir GPO politikası ile, yüzlerce hatta binlerce bilgisayarda aynı güvenlik standardı sağlanır. Yapılan bu yapılandırma, sadece verilerin korunmasını sağlamakla kalmaz, aynı zamanda sistemlerin izinsiz müdahalelerden korunmasına da yardımcı olur. Ayrıca, bu tür bir politika değişikliğinin GPO Force yöntemiyle uzaktan anında uygulanabilmesi, acil güvenlik güncellemeleri sırasında zaman kazandırır.

1- This PC'ye tıkladığımda kullanmak istediğim USB belleği görebiliyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

2- İlk adım olarak, kullanmak istediğim bu USB belleğin Hardware ID'sini (donanım kimliği) öğrenmek olacak. Bunun için Computer Management altındaki Device Manager'ı tıkladığımda, yüklü olan tüm donanımlarımı görebiliyorum. Buradan Disk Drives altında USB belleğimi seçerek sağ tıklıyor, Properties seçeğini seçerek donanım özelliklerini açıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

GPO ile USB Hardware ID bilgisine göre izin vere

3- Donanım özelliklerinde Details sekmesi altında Property alanındaki listeden Parent seçeneğini seçiyorum. 

GPO ile USB Hardware ID bilgisine göre izin vere

GPO ile USB Hardware ID bilgisine göre izin verme

3.1- Seçimle birlikte Value bölümü altında görülen

USB\VID_0951&PID_1666\C860008AE2888F2415903C8B

bilgisi, USB belleğime ait olan, öğrenmek istediğim Hardware ID (donanım kimliği) bilgisidir. 

GPO ile USB Hardware ID bilgisine göre izin verme

3.2- Bunun üzerinde de sağ tıklayarak Copy seçeneğini seçerek, belleğe alıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

3.3- Aynı işlemi, PowerShell üzerinden aşağıdaki komut yardımıyla da kolayca ve daha hızlı bir şekilde yapabiliriz.

((Get-CimInstance -Class win32_PnPSignedDriver) | ?{($_.Description -like '*mass*')}) |Select Description, DeviceClass, DeviceID, Manufacturer

GPO ile USB Hardware ID bilgisine göre izin verme

4- Domain Controller'da Group Policy Management'ı açıyor, ilgili Organization Unit üzerinde bir GPO-Group Policy Object oluşturuyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

GPO ile USB Hardware ID bilgisine göre izin verme

5- Oluşturduğum GPO-Group Policy Object üzerinde sağ tıklayarak Edit... seçeneğini seçiyor ve yapılandırmaya başlıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

6- İlk olarak Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions yolunu izleyerek;

6.1- Allow installation of devices that match the device IDs üzerine çift tıklayarak açıyorum. Bu yapılandırma seçeneğinde elde ettiğim USB bellek Hardware ID'sini tanımlayacağım.

GPO ile USB Hardware ID bilgisine göre izin verme

6.2- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra, Options altında Show... butonuna tıklıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

6.3- Açılan penceredeki Vlue alanına elde ettiğim ve kopyalayarak belleğe altığım USB bellek Hardware ID'sini buraya yapıştırıyor, OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

6.4- İkinci adımda da Apply layered order of evaluation for Allow and Prevent device installation policies accross all device match criteria üzerine çift tıklayarak açıyorum. Bu adım çok önemli. Burada, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında hiçbir USB belleğin kullanılmamasına yönelik yasaklama işlemi uyguluyorum. Yapılandırma seçeneğimi Enabled duruma getirdikten sonra OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

GPO ile USB Hardware ID bilgisine göre izin verme

6.5- Üçüncü ancak zorunlu olmayan bir diğer ayar da, Display a custom message title when device installation is prevented... olcak ki bu ayar ile, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında başka herhangi bir USB bellek bilgisayarların USB Port'larına takıldığında, kullanıcıya sizin belirleyeceğiniz bir bilgi/uyarı mesajı verdirmek içindir. Bu seçeneği de Enabled duruma getiriyor, Policy dışında bir USB bellek kullanımı durumunda görünmesini istediğim bir uyarısı yazısı giriyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

GPO ile USB Hardware ID bilgisine göre izin verme

6.6- İsteğe bağlı olarak, Policy dışındaki bir USB bellek kullanımı ile birlikte göstermek istediğiniz uyarı mesajını detaylandırmak isterseniz, Display a custom message when installation is prevented by a policy setting ayarını Enabled duruma getirerek, uyarı mesajınızı detaylandırabilirsiniz.

GPO ile USB Hardware ID bilgisine göre izin verme

7-  Oluşturmuş olduğuğum ilgili Group Policy Object (GPO) üzerindeki tüm ilgili ayarları yapılandırdım. Farklı amaçlar doğrultusunda diğer ayarları da inceleyebilir, bunları da kullanabilirsiniz ancak bizim ihtiyacımızı gidermesi açısından bu ayarlar yeterlidir. Client PC'de CMD (Command Promt) açarak, gpupdate /force komutunu uygulayarak, GPO ayarlarımın Client PC'de tanımlanmasını sağlıyorum.

GPO ile USB bellek yasaklama

7.1- gpupdate /force komutuna ek olarak, aşağıdaki PowerShell komutu ile, Domain'deki hostname bilgisi verilmiş olan belli bir bilgisayara direkt olarak uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.

Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Yine aynı PowerShell komutu ile Domain'deki hostname bilgisi belli bir isimle başlayan bilgisayarlara (ör. PC*) uygulatılmasını sağlayabilirsiniz.

Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Ya da Domain'deki  sadece [*] işareti ile direkt olarak Domain'deki tüm bilgisayalara uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.

Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

8- Sıra geldi, yaptığımız GPO-Group Policy Object ayarlarının çalışıp çalışmadığını kontrol etmeye. Client PC'deki USB Port'una izin verdiğim USB belleği takıyor, This PC üzerinden sistemin USB belleğimi tanıdığını görüyorum.

GPO ile USB Hardware ID bilgisine göre izin verme

GPO ile USB Hardware ID bilgisine göre izin verme

9- Sağlamasını yapmak ve Group Policy Object (GPO) ayarlarımızın gerçekten tam anlamıyla, bizim istediğimiz yapılandırma ayarları ile çalışıp, çalışmadığını anlamak için de Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışındaki başla bir USB belleği Client PC'deki USB Port'una takıyorum ve GPO'da donanım kimlik bilgisini tanımlamış olduğum USB bellek dışındaki bir USB belleğin kullanımına izin vermemiş oldum. Bu GPO ayarı ile sadece şirket içindeki USB belleklerin kullanımına izin verip, diğer tüm USB bellekleri kullanıma kapatabilirsiniz.

GPO ile USB bellek yasaklama

Unutulmaması gereken bir şey daha var. O da; izin verilen bu USB belleklerin de hiçbir şekilde dışarıya çıkmamalarını sağlamak. Bunun için size önerebileceğim sistem TRAKA sistemidir. Bu sistem yüksek güvenliklidir. Kabin açılışı bir Proximity kart ve parola ile yapılmaktadır. Önce tanımlı kartınızı okutursunuz, sonrasında ise parolanızı girerek kabin kapağını açabilirsiniz. Bu sistem server kabinlerinin kitleri için kullanılan anahtarlar için kullanılıyor ancak USB bellekler de bunun içinde rahatlıkla saklanabilmektedir. Ek güvenlik önlemi olarak da Key Pad'li USB bellekler kullanabilirsiniz.

usb with keypad
traka

Sistemin TRAKA kabini ile entegreli bir yazılımı ve loglama sistemi bulunmaktadır.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 21 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


11.01.2024 Demir
Merhabalar, öncelikle makale için çok teşekkürler. Server 2019 group policy tarafında anlattığınız işlemleri yaptım, cihaz donanım id yi powershell komutunu kullanarak alıp kurala ekdim, windows11 cihazlarda gpupdate /force leri de başarılı şekilde yaptım ancak kural çalışmıyor, tüm usb disklere izin veriyor, sebebi ne olabilir? Teşekkürler
17.09.2021 Samed K
Çok teşekkürler ancak benim yapımda harf yolları kapatılmis yani c d e f g... Gibi sürücü letter harfleri gide yapılan bir policy link halde Ben g ve h harfini sadece belli usbler için açmak istediğimde Dolayısıyla USB takilinca Windows gizli harfi atıyor ve USB görünmüyor ilgiLi usbler sadece ilgili harfte gorunsun diğer usbler takılınca zaten sizin yazinizdaki gibi engellendiği sen problem olmayacak Yani kurumda izin verilen USB aygitlarini sadece izin verdiğim letter(H G ) gibi atanmasını nasil saglarim
26.08.2021 Ali
Elinize sağlık hocam. Policy USB aygıtlar için çalışıyor ancak hafıza kartı girişi olan cihazlarda bu giriş full çalışmaya devam ediyor. Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access altından CD/DVD - Floppy gibi aygıtlar ekstra kapatılabiliyor ancak USBde tek cihaza izin verip aynı zamanda hafıza kartını kapalı yapabileceğim uygun bir konfigürasyon bulamadım.

29.08.2021 Fırat Boyan
Bilgi için teşekkürler Ali. Denemediğim bir şeydi. Deneyecektim ama önce davranıp cevapladın.

29.08.2021 Ali
Hocam sorumu kendin yanıtlayayım. Hafıza kartı daha önce takıldığından policy uygulansa bile çalışmaya devam ediyormuş. Aygıt yöneticisinde gizli öğeleri göster deyip daha önce takılan çıkarılabilir aygıtları sildiğimde sorun çözüldü.


19.04.2021 Yuksel Celik
Merhaba Fırat hocam, Makale için teşekkür ederim. Bir müşterimde uygulamaya çalışıyorum ancak hiçbirşey yapmamış gibi tüm usb store lara izin veriyor. Sunucu üzerinde server 2012r2 var. Sizce nerede hata yapıyorum

19.04.2021 Fırat Boyan
Merhaba Yüksel, teşekkür ederim. GPO uygulanmamış olabili. gpresult /r ile bir kontrol etmeni öneririm.


16.10.2020 Ferhat Ülker
Detaylı ve anlaşılır anlatım.
30.04.2020 Mehmet
Hocam merhaba Policy uyguladıktan sonra eklediğim donanım kimliği hariç diğer tüm usb ler çalışıyor. Yani tam tersi oluyor. Nerde yanlış yapmış olabilirim.SERVER2019 Teşekkürler..

30.04.2020 Mehmet
Hocam şimdi fark ettim en son ki görselde 3 adet ayarı kırmızı olarak işaretlemişsiniz . Ama bir ayar daha var prevent installation of devices that match any of these device IDs resimde disable edilmiş bunu yapmamıştım . Buna da ekleyip deneyim , Teşekkürler

30.04.2020 Fırat Boyan
Merhaba Mehmet, Makale içeriğini bire bir uyguladın mı? Belki Device ID'yi hatalı girmişsindir? Doğru Policy ayarlarını yapılandırdığından emin ol. Gerçi ben bu makaleyi Windows Server 2016 üzerinde hazırladım ama 2019 için de bir fark olacağını sanmıyorum.


18.06.2019 mehmet şenol
iyi günler fırat hocam, ben bunu server da değilde kişisel bilgisayarım da nasıl uygulayabilirim.

18.06.2019 Fırat Boyan
Anladım, ancak bu makalede domain ortamındaki bir DC üzerinden yapılan GPO üzerinden basılmıştır. Local'deki GPO'da yoksa yoktur zaten ki yapılabiliyorsa da nasıl yapılır bilmiyorum. Hiç denemedim.

18.06.2019 mehmet şenol
benim belirlediğim tek bir usb açık diğerlerine kapalı olması lazım bu makale gibi

18.06.2019 Fırat Boyan
İllaki sadece bu makale konusunda geçtiği gibi tek bir usb belleği bırakıp diğerleri mi yasaklı olacak yoksa tümden kapalı olması işini görmüyor mu?

18.06.2019 mehmet şenol
peki hocam local gpo dan nasıl ayarlayabilirim benim için önemli de

18.06.2019 Fırat Boyan
Doğal olarak. Local GPO ile Server GPO arasında fark var.

18.06.2019 mehmet şenol
hocam dediğiniz gibi gpedit.msc çalıştırdığım da yerel grup ilkesi çıkıyor ve yukarıdaki menülerden farklı oluyor.

18.06.2019 Fırat Boyan
Selamlar. Bilgisayar domain'e bağlı bir bilgisayar ise, yapamazsın. Değilse, gpedit.msc çalıştırarak local GPO üzerinden yapabilirsin.


20.12.2018 emre kara
firat hocam, bu sekilde yapilan policyde , kingstondatatravel_2.0 olan tüm kingston marka usb ler çalismaz mi ?

20.12.2018 Fırat Boyan
Merhaba Emre, USBSTOR\KingstonDataTraveler_2.0P olarak güncelledim.