Windows Server 2019 GPO ile İstenilen Flash Belleklerin Kullanımına İzin Vermek veya Yasaklamak

By | Temmuz 11, 2020

Son yıllarda taşınabilir medyaların bilgisayar üzerinde kısıtlanması, bilginin taşınmasının engellenmesi, zararlı yazılım barındırabilecek taşınabilir medyaların sistemler üzerindeki risklerin artması ile birlikte, bu taşınabilir medyaların engellenmesi veya kısıtlı izin durumu çok uygulanan bir duruma geldi.

Bu iş tabi ki en iyi DLP sistemleri ile mümkün. Son zamanlarda bu işi Antivirus yazılımları da çok iyi yapmaya başladılar. Ancak benim harcayacak bütçem yok biraz zor ve iş yükü getiren bir durum olsa dahi Windows üzerinden yapmak istiyorum derseniz bu mümkün.

O zaman makalemizin konusu Windows Server 2019 üzerinde GPO ile İstenilen Flash Belleklerin Kullanımına İzin Vermek veya Yasaklamak adımlarını gerçekleştirelim. Öncelikle ortamımızı tanıyalım testlerde kullanacağımız Windows 10 pro işletim sistemi olan rizasahan.lokal domainimize üye bir kullanıcı bilgisayarımız var.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kullanıcı bilgisayarımıza bağlı çalışan bir Flash belleğimiz var.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

GPO üzerinden ayarlarımıza basacağımız Windows Server 2019 işletim sistemine sahip rizasahan.lokal isimli domain kurulu olan DC sunucumuza sahibiz.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

AD üzerinde test işlemi yapacağımız kullanıcı ve bilgisayar öğemizin içinde bulunduğu USB ENGELLEME TEST isimli bir organization unit bulunmakta.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Ortamımız hazır olduğuna göre istenilen Flash Belleğe izin verme veya engellemeleri yapabileceğimiz ilkelerin olduğu ekranı yönetmek için Group Policy Management konsolumuzu açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Test için kullanacak olduğumuz Organization Unit üzerinde sağ tıklayarak açılan menüden bu organization unit’e bağlı olarak çalışacak bir GPO oluşturmak için Create GPO in this domain and Link it here… açılır menüsüne tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Oluşturulacak olan policy için bir isim vererek OK butonuna tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Policy oluştu artık ilkeler üzerinde gerekli ayarlarımızı yapabiliriz. Bu işlem için policiy üzerinde sağ tıklayarak Edit açılır menüsüne tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranda Computer Configuration-> Policies -> Administrative Templates Policy-> System-> Device Installation-> Device Installation Restrictions kabına kadar gelelim ve ilkelerimizi görelim. Senaryomuzda öncelikle tüm Flash bellekleri engelleyip sonrasında hariç tutmak istediğimiz Flash belleklere izin vererek ilerleyeceğiz. Açılan ekranımızda farklı bir kuralda izi verilen bellekler haricinde tüm belleklerin yüklenmesinin engellenmesi için kullanılan Prevent installation of devices not described by other policy setting ilkesini açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Enabled ile ilkemizi aktif edip OK ile kapatalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlkemiz Enabled duruma geldi.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Şimdi engellenen flash bellek olması durumunda durumun kullanıcıya bilgilendirme yapması için bir mesaj özelliği aktif edelim mesajın başlık ve içerik bilgisini aktive edelim. Bu işlem için Display a custom message when installation is prevented by a policy setting ilkemizi açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranda kullanıcı karşına çıkacak olan veya bildirim alanında pop-up olarak gözükecek olan mesajın içeriğini girelim. İlgili Text alanına mesajı girdikten sonra ilkemizi Enabled duruma getirerek OK ile bu ekranımızı kapatalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlkemiz Enabled duruma geldi.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kullanıcılara verilecek olan mesaj ekranının başlığını belirlemek için Display a custom message title when device installation is prevented a policy setting ilkemizi açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlgili alana başlık bilgisini girip ilkemizi Enabled duruma getirip OK ile bu ekranımızı kapatalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlkemiz etkin duruma geldi.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Buraya kadar olan kısımlarda aksine bir ilke içerisinde tanım bilgisi olamayan tüm flash belleklerin engellenmesi işlemini yaptık. Bu engelleme sonrasında ise kullanıcılarımıza bilgilendirme yapacak olan pop-up veya bildirim mesajının başlığını ve içeriğini belirledik.

Bu ayarları kullanıcılarımız gpo dağıtım sürecinde otomatik olarak alacaktır. Bilgisayarı yeniden başlatma durumunda bu ayar GPO üzerinden yine otomatik olarak alınacaktır. Ancak biz süreci hızlandırmak için CMD üzerinde gpupdate /force komutunu çalıştırarak ayarların anında alınmasını sağlayacağız.

ekran görüntüsü, ekran, dizüstü, bilgisayar içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlgili işlemden sonra kullanıcının bu ayarları alıp almadığını görmek için kullanıcı üzerinde çalıştır ekranına Rsop.msc yazarak alınan policy ayarlarını bizlere gösteren konsolu açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kullanıcının aldığı policyler denetleniyor.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranda Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem -> Aygıt Yükleme-> Aygıt Yükleme Kısıtlamaları başlığına gelelim. İlgili başlıklar altına geldiğimizde kullanıcının yapılandırdığımız ilkeleri aldığını görebiliyoruz.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu işlemlerden sonra bilgisayarımıza bir Flash Bellek takalım.

bilgisayar, elektronik eşyalar, dizüstü, iç mekan içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kullanıcımız ilkeleri aldı. Takılan Flash Belleğin yüklenmesine izin verilmediği için Flash Bellek takılı olmasına rağmen erişim sağlanamıyor.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Takılan belleğin engellendiğine dair içeriğini bizim belirlediğimiz mesaj kullanıcımıza bildirim alanında yansıdı.

ekran görüntüsü, dizüstü, bilgisayar içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu Flash Belleğimiz bilinmeyen aygıt olarak yüklenmesine izin verilmedi ve sistemimiz bu nedenle Flash Belleğe erişim sağlayamıyor.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu aşamada firmamızda kullanılacak bir tür Flash Bellek olduğunu ve bu Belleklere firmamızda izin vermemiz gerektiği senaryosu üzerinde duralım. Flash bellek kullanımı minimum derecede dahi olsa günümüzde illaki gerekmektedir. Bu nedenle kaliteli, kendi üzerinde koruması olan belleklerden alıp tüm bellekleri kapatarak sadece bu belleklerin kullanımına izin vermemiz mümkün bundan sonraki adımlarımızı buna göre ele alıyor olacağız.

Bu gibi işlemler için Kingston kriptolu bellekler ideal olacaktır. Kullanıcılar bu belleklere parola ile erişim sağlamakta. Çalınması veya kaybolması durumunda belirlenen sayıdan sonra yanlış parola girilmesi durumunda cihaz kendini formatlanacak ve içeriğine erişimi imkânsız hale getirecektir.

Şimdi farklı bir bilgisayarımıza yukarıdaki belleğimizi bağlıyorum.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Tüm sistemimizde çalışmasına izin vereceğimiz Kingston Kriptolu bellek üzerine sağ tıklayarak açılan menüden Özellikler açılır menüsünü tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Flash Belleklerin GUID bilgisi, VID, PID bilgisi gibi bilgilere göre engellenmesi veya izin verilmesi mümkün. Ancak biz firma ortamımızda 10 adet bu belleklerden aldığımızı düşünelim ve bu belleklerin her bir bilgisayarda çalışmasına izin vereceğimizi hesaplayalım. Bu durumda seri no v.s. değil de cihaz tanımına göre izin vermemiz mantıklı olacaktır. Açılan ekranda Ayrıntılar-> Donanım Kimlikleri alanına gelelim. Burada cihazımızla ilgili kimlikler gelecektir. Burada genel tanımı seçmemiz bir çok cihaza izin vermemiz anlamına gelecek. Bu nedenle Biz cihazın marka model gibi bilgilerini bulunduran tanımını kullanacağız.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlgili tanımı sağ tıklayarak açılan menüden Kopyala ile kopyalayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Şimdi ilgili policy üzerinde bilgilerimizi kopyaladığımız Flash Belleğimize izin verme işlemini yapalım. Policy ekranımızda Allow installation of devices that match any of these device IDS ilkesini çift tıklatalım. Bu ilke en altta aktif ettiğimiz herhangi bir ilkenin içerisinde izin verilen tüm flash bellekler haricinde geri kalan bellekleri engelle anlamındaki, Prevent installation of devices not described by other policy setting ilkesinin devamı niteliğinde.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlgili policy üzerinde Enabled özelliğini aktive edip, izin verilecek olan bellek tanım bilgisini girmek için Show… butonuna tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kopyaladığımız Tanım bilgimizi ilgili ekrana yapıştırıp OK ile bu ekrandan çıkalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

OK ile ilkemizi kaydedip kapatalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlkemiz Enabled duruma geldi.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Policy üzerinde işlemlerimiz tamam. Buraya kadar olan işlemleri tekrar özetleyecek olursak Tanım Bilgisi ile izin verdiğimiz Flash Bellekler haricindeki diğer tüm Flash Bellekler engellenmiş ve durumla ilgili kullanıcımıza pop-up olarak bilgilendirme alanında içeriğini bizim belirlediğimiz mesaj veriliyor durumda.

Kullanıcının GPO süresini beklemeden veya bilgisayarı yeniden başlatmadan ayarları alması için gpupdate /force komutumuzu çalıştıralım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İlgili işlemden sonra kullanıcının bu ayarları alıp almadığını görmek için kullanıcı üzerinde çalıştır ekranına Rsop.msc yazarak alınan policy ayarlarını bizlere gösteren konsolu açalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Kullanıcının aldığı policyler denetleniyor.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranda Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem -> Aygıt Yükleme-> Aygıt Yükleme Kısıtlamaları başlığına gelelim. İlgili başlıklar altına geldiğimizde kullanıcının yapılandırdığımız ilkeleri aldığını görebiliyoruz.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Şimdi bilgisayarımıza tanım bilgisi ile GPO üzerinden kullanımına izin verdiğimiz Kingston Kriptolu belleğimizi takalım.

elektronik eşyalar, bilgisayar, iç mekan, dizüstü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Flash Belleğimize GPO üzerinden izin verildiği için bilgisayarımız belleğimizi gördü.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Belleğin içeriği erişilebilir durumda.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bilgisayarımıza izinli olmayan bir bellek takıyoruz.

elektronik eşyalar, bilgisayar, oturma, dizüstü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bilgisayarımıza farklı bir bellek bağlıyoruz. İzin verilen bellek olmadığı için yüklenmesine izin verilmiyor ve tanınmayan aygıt niteliği alıyor.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Makalemizin ana anlatımı bu anda bitti şimdi birkaç önemli bilgi vermek istiyorum.

-Bilgisayarlarımıza daha önce takılan bir bellek olması durumunda bu bellek bilgisayarımızda daha önce tanındığı için yasaklama ilkesi uygulanır ise buna rağmen yine çalışmaya devam edecek ve aşağıdaki gibi sistemde kullanılmasını izin verilecektir.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu işlemi engellemek için bir defaya mahsus olmak üzere, Aygıt Yöneticisi ekranında ilgili belleğin üzerine sağ tıklayarak Cihazı Kaldır açılır menüsüne tıklayarak çözebiliriz.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu işlem sonrasında Flash Bellek ilkelerimiz gereği engellenecek ve bize bununla ilgili bildirim alanında pop-up mesaj verilecektir.

ekran görüntüsü, dizüstü, bilgisayar içeren bir resim

Açıklama otomatik olarak oluşturuldu

Bu makalemizin de sonuna geldik. Makalemizin son kısmında yer alan kalın punto ile belirttiğimiz alanlara özellikle dikkat etmenizi öneririm. Yararlı olması dileğiyle bir başka makalede görüşmek üzere.

One thought on “Windows Server 2019 GPO ile İstenilen Flash Belleklerin Kullanımına İzin Vermek veya Yasaklamak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir