Windows 10 İşletim Sistemi Üzerinde İstenilen Flash Belleğe İzin Vermek veya Engellemek

Son yıllarda taşınabilir medyaların bilgisayar üzerinde kısıtlanması, bilginin taşınmasının engellenmesi, zararlı yazılım barındırabilecek taşınabilir medyaların sistemler üzerindeki risklerin artması ile birlikte, bu taşınabilir medyaların engellenmesi veya kısıtlı izin durumu çok uygulanan bir duruma geldi.

Bu iş tabi ki en iyi DLP sistemleri ile mümkün. Son zamanlarda bu işi Antivirus yazılımları da çok iyi yapmaya başladılar. Ancak benim harcayacak bütçem yok biraz zor ve iş yükü getiren bir durum olsa dahi Windows üzerinden yapmak istiyorum derseniz bu mümkün.

O zaman makalemizin konusu olan Windows 10 işletim sistemi üzerinden istenilen belleğin çalışması veya engellenmesi makalemize başlayalım. Ortamımızda Windows 10 Pro kurulu bir laptop cihazımız var.

Cihazımız üzerinde iki adet Flash bellek takılı duruma.

Test amaçlı olarak Flash belleklerden bir tanesine göz atıyoruz ve erişimde sorun yok.

Kısıtlama işlemleri için Lokal Policy düzenleyici olan gpedit.msc konsolumuzu açalım.

Bilgisayar üzerinde tüm flash belleklerin tanınmasını engellemek, istenilen bellekleri yasaklamak veya izin vermek için Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem -> Aygıt Yükleme-> Aygıt Yükleme Kısıtlamaları başlığının altına gelelim.

Biz ilk olarak tüm bellekleri yasaklayalım. Başka ilke ayarları tarafından açıklanmayan aygıtların yüklenmesini engelle ilkesine çift tıklatarak açalım. Bu ilke üstteki kurallarda özellikle çalışmasına izin verilen bir Flash Bellek varsa onun gibi izinli cihazları hariç tutarak geriye kalan tüm cihazların çalışmasını engelleyecektir.

Seçeneğimizi Etkin hale getirelim ve Tamam ile bu ekranı kapatalım. Bu ilke ile birlikte farklı bir kuralda özellikle çalışmasına izin verilen Flash bellekler haricindeki tüm bellekler engellenecektir.

İlkemiz etkin duruma geldi.

Tüm bellekleri engellemişken kullanıcılarda Usb portların çalışmaması gibi bir izlenim olmaması ve durumdan haberdar olması için bir uyarıyı karşılarına çıkartmamız iyi olacaktır. Bu işlemi yapmak için Aygıt Yüklemesi bir ilke ayarı tarafından engellediğinde özel bir ileti başlığı göster ilkesini açalım.

İlkemizi Etkin duruma getirince İleti Mesajının başlık kısmında gözükecek olan metni ilgili Text alanına girerek Tamam ile bu ekrandan çıkalım.

İlkemiz Etkin duruma geldi. Şimdi kullanıcılara gösterilecek olan mesajın içeriğini belirlemek için Yükleme bir ilke ayarı tarafından engellendiğinde özel ileti görüntüle ilkesini tıklayalım.

Kullanıcıların karşısına gelecek olan uyarım mesajının içeriğini ilgili text alanına girerek, ilkemizi Etkin duruma getirelim ve Tamam ile bu ekrandan çıkalım.

Şimdi buraya kadar olan ayarların etkin olması için Gpupdate / force komutunu CMD üzerinden çalıştıralım. Bu işlem için bilgisayarı yeniden başlatarak aynı işlevi sağlamış oluruz ancak bu daha efektif olan yöntem.

Şu anda iki adet bilgisayarımıza bağlı olan Flash Bellek sürücüleri gördüğümüz ekranda yine gözükmekte. Flash bellekleri söküp tekrardan bilgisayarımıza bağlamamız durumunda durum değişmeyecektir. Yani bu ayarları uygulamadan önce bilgisayarımıza bağlı olan flash belleklerimiz sistem tarafından görünmeye devam edecektir.

Bu biraz saçma bir durum ancak bunun nedeni bu ilkeler aslında sisteme takılan bir Belleğin Donanımsal olarak tanınmasını engelleyip çalıştırmama üzerine konumlanmıştır.

Tabi bu durumunda bir çözümü var. Bir kereye mahsus olmak üzere Aygıt yönetici konsoluna girip, ilgili Flash bellekleri seçtikten sonra üzerine sağ tıklayıp açılan menüden Cihazı Kaldır açılır menüsüne tıklamamız gerekmekte.

Gelen uyarı mesajına Kaldır diyerek işlemin tamamlanmasını sağlayalım.

Bu işlemden sonra Flash Bellek sürücülerimizin artık tamamen engellendiğini görüyoruz.

Bildirim alanında bilgisayarımıza taktığımız Flash Bellekler ile ilgili olarak karşımıza çıkan ve bizim set ettiğimiz mesajın geldiğini görebiliyoruz. Bu ekran saat bölgesinde pop-up olarak gelmekte ve bildirim alanımıza düşmektedir.

Engellenen Flash Bellekler tanınmayan aygıt olarak gözükmekte. Bu İlkeler tam olarak bunu yapmakta bu metot ile işletim sistemi ile Flash Bellek arasındaki tanınmayı engelleyip kullanımını imkânsız kılmaktadır.

Şimdi biz buraya kadar olan kısımda, tüm Flash Bellek kullanımlarını kapattık. Sisteme Flash bellek bağlanması durumunda çalışmasını engelledik ve konu ile ilgili olarak kullanıcıyı haberdar eden bir uyarı mesajı belirledik.

Şirket ortamlarında Tüm belleklerin kapalı olup, sadece firma tarafından alınan ve kullanıcılara zimmetlenen kripto korumalı bellek kullanılması ideal olaraktır. Zira bir firma ortamında minimum seviyede de olsa bellek kullanımı olacaktır.

Şimdi biz kullanıcılarımıza Kingston Kripto Bellek aldığımızı düşünelim ve bunların kullanımına izin verelim.

Bu işlem için cihaz bilgisini alıp ilgili ilke üzerinden izin vermemiz gerekmekte. İlgili cihaz bilgisayarımıza bağlı fakat tüm Flash Bellekleri engellediğimiz için çalışmıyor tanınmayan donanım durumunda. Üzerine sağ tıklayarak açılan menüden Özellikler açılır menüsünü tıklayalım.

Cihazımızın GUID bilgisi, VID, PID bilgisi gibi bilgilere göre engellenmesi veya izin verilmesi mümkün. Ancak biz firma ortamımızda 10 adet bu belleklerden aldığımızı düşünelim ve bu belleklerin her bir bilgisayarda çalışmasına izin vereceğimizi hesaplayalım. Bu durumda seri no v.s. değil de cihaz tanımına göre izin vermemiz mantıklı olacaktır. Açılan ekranda Ayrıntılar-> Donanım Kimlikleri alanına gelelim. Burada cihazımızla ilgili kimlikler gelecektir. Burada genel tanımı seçmemiz bir çok cihaza izin vermemiz anlamına gelecek. Bu nedenle Biz cihazın marka model gibi bilgilerini bulunduran tanımını kullanacağız.

İlgili tanımı sağ tıklayarak açılan menüden Kopyala ile kopyalayalım.

Şimdi Bu aygıt Kimliklerinden herhangi biriyle eşleşen aygıtların yüklenmesine izin ver ilkesini açalım. Bu işle alt kısımda yasaklamış olduğumuz tüm Flash Belleklere ilave olarak bu ilkede yer alan Flash Bellek tanımlarına göre, tanımı bulunan belleğin bilgisayarımız tarafından kullanımına imkân sağlayacaktır.

İlkemizi etkin duruma getirelim. Kullanımına izin verilecek olan Flash Bellek tanım bilgisini girmek için Göster… butonuna tıklayalım.

Açılan ekranımızda izin vereceğimiz belleğimizin tanım bilgisini yapıştıralım. Burada birden fazla tanım bilgisi eklemek mümkün. Bilgisi yapıştırdıktan sonra Tamam ile bu ekrandan çıkalım.

Tamam butonu ile çıkarak ilkemizi devreye alalım.

İlkemiz Etkin duruma geldi. Özetleyecek olursak izin verdiğimiz marka modele sahip Kingston Flash bellekler haricinde tüm belleklerin kullanımı yasak olacak, kullanımı yasak olan bir bellek kullanıldığında kullanıcımıza pop-up olarak ve bildirim alanında mesaj gözükecek.

Gpupdate / Force ile kurallarımızı beklemeden veya bilgisayarımızı yeniden başlatmandan hızlıca aktif edelim.

Bu işlem sonrasında bilgisayarımıza iki Flash bellek bağlı olmasına karşın bir tanesi çalışmazken, Kingston marka ve modeline göre izin verdiğimiz belleğin çalıştığını görebiliyoruz.

Belleğimizin içeriğini görebiliyoruz.

İzin verdiğimiz belleğin donanımsal olarak yüklenmesine izin verildiğini görebiliyoruz.

Engellenen Flash Bellekler ile ilgili olarak Olay görüntüleyici üzerine loglar düşmektedir.

Cihaz marka ve modeli haricinde cihaza özgü olan GUID ile özelleştirilmiş engelleme veya izin verme işlemlerini de yapmamız mümkün durumda.

Yine cihazları VID veya PID bilgisine göre engelleyebilir veya izin verebiliriz.

Gerekli olabilecek durum var ise hiçbir flash belleğin yüklenmesine izin vermeyerek kullanımını engelleyebiliriz.

Bu makalemizin de sonuna geldik. Yararlı olması dileğiyle bir başka makalede görüşmek üzere.