Yükleniyor...
jumbotron

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Kategori: Group Policy

Fırat Boyan 20.12.2018 14

Group Policy'de GPO üzerinden USB Bellek Donanım ID Bilgisine Göre Sadece Belirli USB Belleklere İzin Verme

Yönettiğiniz sistem alt yapılarında güvenliğin ne kadar önemli olduğunu biz IT uzmanları bilmekteyiz. Güvenlik, çok geniş kapsamda ele alınacak bir şeydir ancak güvenlik önemlerinden bazıları da, Data'larımızın hiçbir şekilde dışarıya çıkmamasıdır. Bu nedenle şirket bilgisayarlarımızdaki USB belleklerin kullanımını genelde kapatıyoruz ancak sadece şirket içinde kullanılan ve sadece şirket politikalarımız gereği kullanabileceğimiz USB bellekler olabiliyor. Bu nedenle de sadece sadece şirket içinde kullanacağımız USB belleklere izin vermek şeklinde bir güvenlik politikası izleyebiliriz.

Bu makalemde sizlere Group Policy'de GPO-Group Policy Object üzerinden USB bellek Hardware ID (donanım kimlik) bilgisine göre sadece belli USB belleklere izin verme, bu belirlenenler dışındakilerin de yine kullanımlarını engelleme yönünde nasıl bir yapılandırma yapacağınızdan bahsediyor olacağım.

1- This PC'ye tıkladığımda kullanmak istediğim USB belleği görebiliyorum.

GPO ile USB bellek yasaklama

2- İlk adım olarak, kullanmak istediğim bu USB belleğin Hardware ID'sini (donanım kimliği) öğrenmek olacak. Bunun için Computer Management altındaki Device Manager'ı tıkladığımda, yüklü olan tüm donanımlarımı görebiliyorum. Buradan Disk Drives altında USB belleğimi seçerek sağ tıklıyor, Properties seçeğini seçerek donanım özelliklerini açıyorum.

GPO ile USB bellek yasaklama

3- Donanım özelliklerinde Details sekmesi altında Property alanındaki listeden Hardware Ids seçeneğini seçiyorum. Seçimle birlikte de Value altında USBSTOR\KingstonDataTraveler_2.0P benim USB belleğime ait, öğrenmek istediğim Hardware ID'sidir (donanım kimliği). Bunun üzerinde de sağ tıklayarak Copy seçeneğini seçerek, belleğe alıyorum.

GPO ile USB bellek yasaklama

4- Domain Controller'da Group Policy Management'ı açıyor, ilgili Organization Unit üzerinde bir GPO-Group Policy Object oluşturuyorum.

GPO ile USB bellek yasaklama

GPO ile USB bellek yasaklama

5- Oluşturduğum GPO-Group Policy Object üzerinde sağ tıklayarak Edit... seçeneğini seçiyor ve yapılandırmaya başlıyorum.

GPO ile USB bellek yasaklama

6- İlk olarak Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions yolunu izleyerek;

6.1- Allow installation of devices that match the device IDs üzerine çift tıklayarak açıyorum. Bu yapılandırma seçeneğinde elde ettiğim USB bellek Hardware ID'sini tanımlayacağım.

GPO ile USB bellek yasaklama

6.2- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra, Options altında Show... butonuna tıklıyorum.

GPO ile USB bellek yasaklama

6.3- Açılan penceredeki Vlue alanına elde ettiğim ve kopyalayarak belleğe altığım USB bellek Hardware ID'sini buraya yapıştırıyor, OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.4- İkinci adımda da Prevent installation of devices not described by other policy settings üzerine çift tıklayarak açıyorum. Bu adım çok önemli. Burada, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında hiçbir USB belleğin kullanılmamasına yönelik yasaklama işlemi uyguluyorum. 

NOT 1: Bu ayarı yapmazsanız, Allow installation of devices that match the device IDs yapılandırmasının hiçbir anlamı kalmayacaktır.

GPO ile USB bellek yasaklama

6.4.1- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.5- Üçüncü ancak zorunlu olmayan bir diğer ayar da, Display a custom message title when device installation is prevented... olcak ki bu ayar ile, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında başka herhangi bir USB bellek bilgisayarların USB Port'larına takıldığında, kullanıcıya sizin belirleyeceğiniz bir bilgi/uyarı mesajı verdirmek içindir.

GPO ile USB bellek yasaklama

6.5.1- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra Options altında, kullanıcıya göstermek istediğim bilgi/uyarı mesajını buraya yazıp, OK butonuna basarak işlemimi sonlandırıyorum.

GPO ile USB bellek yasaklama

6.6- GPO-Group Policy Object üzerindeki tüm ilgili ayarları yapılandırdım. Farklı amaçlar doğrultusunda diğer ayarları da inceleyebilir, bunları da kullanabilirsiniz ancak bizim amacımıza hizmet etmesi açısından bu ayarlar yeterlidir.

GPO ile USB bellek yasaklama

7- Client PC'de CMD (Command Promt) açarak, gpupdate /force komutunu uygulayarak, GPO ayarlarımın Client PC'de tanımlanmasını sağlıyorum.

GPO ile USB bellek yasaklama

7.1- gpupdate /force komutuna ek olarak, aşağıdaki PowerShell komutu ile, Domain'deki hostname bilgisi verilmiş olan belli bir bilgisayara direkt olarak uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.

Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Yine aynı PowerShell komutu ile Domain'deki hostname bilgisi belli bir isimle başlayan bilgisayarlara (ör. PC*) uygulatılmasını sağlayabilirsiniz.

Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Ya da Domain'deki  sadece [*] işareti ile direkt olarak Domain'deki tüm bilgisayalara uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.

Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

8- Sıra geldi, yaptığımız GPO-Group Policy Object ayarlarının çalışıp çalışmadığını kontrol etmeye.
Client PC'deki USB Port'una izin verdiğim USB belleği takıyor, This PC üzerinden sistemin USB belleğimi tanıdığını görüyorum.

GPO ile USB bellek yasaklama

9- Sağlamasını yapmak ve GPO-Group Policy Object ayarlarımızın gerçekten tam anlamıyla, bizim istediğimiz yapılandırmayı yerine getirip getirmediğini anlamak için de Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışındaki başla bir USB belleği Client PC'deki USB Port'una takıyorum ve GPO'daki Prevent installation of devices not described by other policy settings ayarı ile izin verilen dışındaki USB belleklerin yasaklanmasını gerçekleştirmiş oluyorum.

GPO ile USB bellek yasaklama

Bu GPO ayarı ile sadece şirket içindeki USB belleklerin kullanımına izin verip, diğer tüm USB bellekleri kullanıma kapatabilirsiniz.

Unutulmaması gereken bir şey daha var. O da; izin verilen bu USB belleklerin de hiçbir şekilde dışarıya çıkmamalarını sağlamak. Bunun için size önerebileceğim sistem TRAKA sistemidir. Bu sistem yüksek güvenliklidir. Kabin açılışı bir Proximity kart ve parola ile yapılmaktadır. Önce tanımlı kartınızı okutursunuz, sonrasında ise parolanızı girerek kabin kapağını açabilirsiniz. Bu sistem server kabinlerinin kitleri için kullanılan anahtarlar için kullanılıyor ancak USB bellekler de bunun içinde rahatlıkla saklanabilmektedir. Ek güvenlik önlemi olarak da Key Pad'li USB bellekler kullanabilirsiniz.

usb with keypad
traka
Sistemin TRAKA kabini ile entegreli bir yazılımı ve loglama sistemi bulunmaktadır.

Faydalı olması dileğiyle...
 


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. Sistem ve Ağ Mühendisi (MCSE), Microsft Sertifikalı Bilgi Teknolojileri Eğitmeni (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest , Noter Yeminli Tercümanım. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum ve 15 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda MİRSİS Bilgi Teknolojileri bünyesinde Kıdemli Sistem Uzmanı olarak çalışıyorum ve Bilişim Teknolojileri alanında eğitim hizmeti veren en önde gelen eğitim kurumu olan Network Akademi'ye bağlı MCT-Microsoft Sertifikalı Eğitmen olarak Sistem ve Ağ eğitimleri vermekteyim. Kurumsal firmalara da bireysel bazda IT Danışmanlık Hizmetleri veriyorum.
Hakkımda daha fazla bilgi sahibi olmak ve sahip olduuğum olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.




14
YORUMLAR
Bu makaleye 14 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Yorum Yaz:
   
  
(Yorum onay bildirimi için gereklidir. Yayınlanmaz.)
 
750 Karakter yazabilirsiniz.

   
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.


Yapılan yorumlar:
16.10.2020 Ferhat Ülker
Detaylı ve anlaşılır anlatım.


30.04.2020 Mehmet
Hocam merhaba Policy uyguladıktan sonra eklediğim donanım kimliği hariç diğer tüm usb ler çalışıyor. Yani tam tersi oluyor. Nerde yanlış yapmış olabilirim.SERVER2019 Teşekkürler..

30.04.2020 Mehmet
Hocam şimdi fark ettim en son ki görselde 3 adet ayarı kırmızı olarak işaretlemişsiniz . Ama bir ayar daha var prevent installation of devices that match any of these device IDs resimde disable edilmiş bunu yapmamıştım . Buna da ekleyip deneyim , Teşekkürler

30.04.2020 Fırat Boyan
Merhaba Mehmet, Makale içeriğini bire bir uyguladın mı? Belki Device ID'yi hatalı girmişsindir? Doğru Policy ayarlarını yapılandırdığından emin ol. Gerçi ben bu makaleyi Windows Server 2016 üzerinde hazırladım ama 2019 için de bir fark olacağını sanmıyorum.


18.06.2019 mehmet şenol
iyi günler fırat hocam, ben bunu server da değilde kişisel bilgisayarım da nasıl uygulayabilirim.

18.06.2019 Fırat Boyan
Anladım, ancak bu makalede domain ortamındaki bir DC üzerinden yapılan GPO üzerinden basılmıştır. Local'deki GPO'da yoksa yoktur zaten ki yapılabiliyorsa da nasıl yapılır bilmiyorum. Hiç denemedim.

18.06.2019 mehmet şenol
benim belirlediğim tek bir usb açık diğerlerine kapalı olması lazım bu makale gibi

18.06.2019 Fırat Boyan
İllaki sadece bu makale konusunda geçtiği gibi tek bir usb belleği bırakıp diğerleri mi yasaklı olacak yoksa tümden kapalı olması işini görmüyor mu?

18.06.2019 mehmet şenol
peki hocam local gpo dan nasıl ayarlayabilirim benim için önemli de

18.06.2019 Fırat Boyan
Doğal olarak. Local GPO ile Server GPO arasında fark var.

18.06.2019 mehmet şenol
hocam dediğiniz gibi gpedit.msc çalıştırdığım da yerel grup ilkesi çıkıyor ve yukarıdaki menülerden farklı oluyor.

18.06.2019 Fırat Boyan
Selamlar. Bilgisayar domain'e bağlı bir bilgisayar ise, yapamazsın. Değilse, gpedit.msc çalıştırarak local GPO üzerinden yapabilirsin.


20.12.2018 emre kara
firat hocam, bu sekilde yapilan policyde , kingstondatatravel_2.0 olan tüm kingston marka usb ler çalismaz mi ?

20.12.2018 Fırat Boyan
Merhaba Emre, USBSTOR\KingstonDataTraveler_2.0P olarak güncelledim.