Merhaba bu makalemizde Windows 10 işletim sistemi üzerinden Flash bellek engelleme veya salt okunur olarak çalışmasını ele alıyor olacağız. Bu işlemi ayrıca kurumumuzda tüm yapıya uygulayabilmek için Group Policy üzerinden yapılması gerekenleri ele alıyor olacağız.
Not: İşletim sistemi üzerinden Flash bellek veya USB aygıtların kontrolünü sağlamak adına DLP sistemleri ile çözüm üretilmelidir. Bu büyük yapılarda izlenebilirlik, efor ve işlem kolaylığı sağlar.
Sahip olduğum Flash Bellek bilgisayarıma bağlı durumda.
İçerisine erişim sağlayabilir durumdayım.
Flash Bellek üzerinde okuma ve yazma işlemi yapabilir durumdayım. Deneme amaçlı bir WordPad dosyası oluşturdum.
Dosyamızı sorunsuz olarak silebiliyoruz.
Dosyamız sorunsuzca silindi. Buraya kadar olan işlemlerde bir işletim sistemi ile Flash Bellek arasındaki normal durumu gözlemledik.
Biz Lokal Policy üzerinden önce belleği salt okunur, sonra erişime kapalı duruma getireceğiz. Lokal Policy işlemlerini yapmak için GPEDIT.MSC konsolumuzu açalım.
Flash Bellek kısıtlaması için Kullanıcı Yapılandırması–>Yönetim Şablonları–>Sistem–>Çıkarılabilir Depolama Erişimi konteynerini açalım. Cihazı Salt Okunur yani sadece okunabilir duruma getirmek için Çıkabilir Diskler: Yazma erişimini engelle policy objesini çift tıklayarak açalım.
Etkin seçimini yaparak policy özelliğini aktif hale getirelim. Tamam ile ayarı uygulayalım.
Ayarımız Etkin duruma geldi. Normalde Gpupdate komutu ile bilgisayarımızı yeniden başlatmadan ayarı alabiliriz. Ancak Windows 10 işletim sistemi ile buna gerek kalmadı ayar otomatik olarak etkin oluyor.
Flash Belleğimizi açıp bir klasör oluşturmayı deneyelim.
Bu özellik artık Lokal Policy ile kapatıldığı yani Flash Belleğimi Salt okunur duruma getirildiği için engellenmiş durumda. Bize bu işlemi yapabilmemiz için Onay vermemiz gerektiğini söylüyor. Devam diyerek bakalım sonra ne olacak gözlemleyelim.
Bu eylemi gerçekleştirebilmek için izne ihtiyacımız olduğu belirtiliyor. Yani Flash Bellek salt okunur duruma geldiği için içerisinde yazma işlemi yapamıyoruz.
Şimdi Aynı Lokal Policy ekranı üzerinden bu özelliğimizi kapatalım. Yapılandırılmadı seçimini yaparak Tamam butonuna tıkladıktan sonra normal ayarlarımıza dönelim.
Şu an Yapılandırılmadı olarak normal ayarlarımıza döndük. Şimdi Flash Belleğe komple erişimi kapatmak için Çıkabilir Diskler : Yazma Erişimini Engelle seçimini çift tıklatalım.
Etkin seçimini işaretleyerek ve Tamam butonuna tıklayarak Flash Belleğe olan erişimi komple engelleyelim.
Ayarımızı yaptıktan sonra Flash Belleğimizin içeriğine göz atmaya çalışalım.
Cihaz erişimini komple engellediğimiz için Flash Belleğimiz erişime kapalı duruma geldi. Erişim Engelledi hata uyasını görüyoruz. Tamam ile kapatalım.
CMD üzerinden Flash Bellek içeriğini okumak istediğimde durum yine aynı.
Buraya kadar olan işlemleri lokal olarak gerçekleştirdik. Şimdi bundan sonraki adımımızda bu işlemleri şirket ortamında Group Policy üzerinden nasıl yapacağımıza göz atalım. Sunucu üzerinde Group Policy konsolumuzu açalım.
Group Policy Objects üzerinde sağ tıklayarak New açılır menüsüne tıklayalım.
Oluşturulacak olan policy için bir isim vererek OK butonu ile kaydedelim.
Oluşturulan Policy üzerinde ayar yapmak için sağ tıklayarak Edit… açılır menüsüne tıklayalım.
Açılan ekrandan User Configuration–>Policies–>Administrative Templates–>System–>Removable Storage Access konteynerini açalım. Bu örneğimizde Flash Belleğimizi erişime kapalı duruma getireceğimiz için Removable Disk: Deny read access seçimini çift tıklatalım.
Policy ayarını etkin hale getirmek için Enabled seçimini yapalım ve OK butonuna tıklayalım.
State tabında Policynin Enabled duruma geldiğini görebiliyoruz.
Şimdi oluşturulan Policy’i firmanızda yasaklama yapacağınız konteynere bağlamanız gerekmekte. İlgili konteynere sağ tıklayıp Link an Existing GPO… açılır menüsünü tıklayalım.
Konteynere atanacak olan Flash Bellek Engelleme isimli Policy’mizi seçelim ve OK butonuna tıklayalım.
Seçtiğimiz konteynere Flash Bellek Engelleme policy objemiz bağlanmış duruma geldi.
Policy objesinin içeriğinde Flash Belleği erişime kapalı duruma getiren ayarın olduğunu görebiliyoruz.
Normalde kullanıcılar ayarları kendiliğinden GPO döngü süresi içerisinde alacak fakat biz sonucu hızlıca görmek adına Policy ayarı uygulanan bir kullanıcıda işlemi hızlandırmak için tetikliyoruz.
Kullanıcı üzerinde CMD üzerinde gpupdate /force komutunu çalıştırıyorum.
Normalde Policy ayarını almamız gerekir ancak emin olup kontrol etmek adına RSOP.MSC konsolumuzu çalıştıralım. İlgili konteynerler üzerinde GPO tarafından bilgisayarımıza basılan ayarı görebilmekteyiz.
Sonuç olarak yine ayarları aldıktan sonra kullanıcısının Flash Bellek erişiminin kapatıldığını görebiliyoruz.
Umarım yararlı oldur. Bir başka makalede görüşmek dileğiyle.
Rıza hocam ellerinize sağlık, çözüm park tarafında da sordum bu soruyu. Belki gözünüzden kaçmıştır bir de buradan sorayım
Domain içerisindeki bilgisayarların bazılarına belirli usb leri okuma izni vermek istediğimde neler yapacağım.
Bu konuda engin bilgilerinizden faydalanmak isterim.
Selamlar
Merhaba,
GPO ile bu iş çok sağlıklı olmaz demek istediğim belli sayıda kullanıcı hacmine ulaşan yapılarda GPO ile bellek engellemek yönetmek iş akışına uygun değil.
Bu iş GPO değil DLP ve Antivirüs yazılımlarının işi.
Ben bu işi 200 kişilik yapıda Nod32 ERA ile yapıyorum.
Çok kullanışlı ve yönetimi kolay.
Size sorunuzla ilgili bu akşam yetişmez ama yarın makale yazacağımı söyleyebilirim.
6 saatimi tam olarak sorunuza göre bir makaleye ayırdım. Ancak handikaplı sorunlu olan yerleri var bunuda makalede adım adım anlatacağım.