Windows Server 2019 GPO ile İstenilen Flash Belleklerin Kullanımına İzin Vermek veya Yasaklamak

Son yıllarda taşınabilir medyaların bilgisayar üzerinde kısıtlanması, bilginin taşınmasının engellenmesi, zararlı yazılım barındırabilecek taşınabilir medyaların sistemler üzerindeki risklerin artması ile birlikte, bu taşınabilir medyaların engellenmesi veya kısıtlı izin durumu çok uygulanan bir duruma geldi.

Bu iş tabi ki en iyi DLP sistemleri ile mümkün. Son zamanlarda bu işi Antivirus yazılımları da çok iyi yapmaya başladılar. Ancak benim harcayacak bütçem yok biraz zor ve iş yükü getiren bir durum olsa dahi Windows üzerinden yapmak istiyorum derseniz bu mümkün.

O zaman makalemizin konusu Windows Server 2019 üzerinde GPO ile İstenilen Flash Belleklerin Kullanımına İzin Vermek veya Yasaklamak adımlarını gerçekleştirelim. Öncelikle ortamımızı tanıyalım testlerde kullanacağımız Windows 10 pro işletim sistemi olan rizasahan.lokal domainimize üye bir kullanıcı bilgisayarımız var.

Kullanıcı bilgisayarımıza bağlı çalışan bir Flash belleğimiz var.

GPO üzerinden ayarlarımıza basacağımız Windows Server 2019 işletim sistemine sahip rizasahan.lokal isimli domain kurulu olan DC sunucumuza sahibiz.

AD üzerinde test işlemi yapacağımız kullanıcı ve bilgisayar öğemizin içinde bulunduğu USB ENGELLEME TEST isimli bir organization unit bulunmakta.

Ortamımız hazır olduğuna göre istenilen Flash Belleğe izin verme veya engellemeleri yapabileceğimiz ilkelerin olduğu ekranı yönetmek için Group Policy Management konsolumuzu açalım.

Test için kullanacak olduğumuz Organization Unit üzerinde sağ tıklayarak açılan menüden bu organization unit’e bağlı olarak çalışacak bir GPO oluşturmak için Create GPO in this domain and Link it here… açılır menüsüne tıklayalım.

Oluşturulacak olan policy için bir isim vererek OK butonuna tıklayalım.

Policy oluştu artık ilkeler üzerinde gerekli ayarlarımızı yapabiliriz. Bu işlem için policiy üzerinde sağ tıklayarak Edit açılır menüsüne tıklayalım.

Açılan ekranda Computer Configuration-> Policies -> Administrative Templates Policy-> System-> Device Installation-> Device Installation Restrictions kabına kadar gelelim ve ilkelerimizi görelim. Senaryomuzda öncelikle tüm Flash bellekleri engelleyip sonrasında hariç tutmak istediğimiz Flash belleklere izin vererek ilerleyeceğiz. Açılan ekranımızda farklı bir kuralda izi verilen bellekler haricinde tüm belleklerin yüklenmesinin engellenmesi için kullanılan Prevent installation of devices not described by other policy setting ilkesini açalım.

Enabled ile ilkemizi aktif edip OK ile kapatalım.

İlkemiz Enabled duruma geldi.

Şimdi engellenen flash bellek olması durumunda durumun kullanıcıya bilgilendirme yapması için bir mesaj özelliği aktif edelim mesajın başlık ve içerik bilgisini aktive edelim. Bu işlem için Display a custom message when installation is prevented by a policy setting ilkemizi açalım.

Açılan ekranda kullanıcı karşına çıkacak olan veya bildirim alanında pop-up olarak gözükecek olan mesajın içeriğini girelim. İlgili Text alanına mesajı girdikten sonra ilkemizi Enabled duruma getirerek OK ile bu ekranımızı kapatalım.

İlkemiz Enabled duruma geldi.

Kullanıcılara verilecek olan mesaj ekranının başlığını belirlemek için Display a custom message title when device installation is prevented a policy setting ilkemizi açalım.

İlgili alana başlık bilgisini girip ilkemizi Enabled duruma getirip OK ile bu ekranımızı kapatalım.

İlkemiz etkin duruma geldi.

Buraya kadar olan kısımlarda aksine bir ilke içerisinde tanım bilgisi olamayan tüm flash belleklerin engellenmesi işlemini yaptık. Bu engelleme sonrasında ise kullanıcılarımıza bilgilendirme yapacak olan pop-up veya bildirim mesajının başlığını ve içeriğini belirledik.

Bu ayarları kullanıcılarımız gpo dağıtım sürecinde otomatik olarak alacaktır. Bilgisayarı yeniden başlatma durumunda bu ayar GPO üzerinden yine otomatik olarak alınacaktır. Ancak biz süreci hızlandırmak için CMD üzerinde gpupdate /force komutunu çalıştırarak ayarların anında alınmasını sağlayacağız.

İlgili işlemden sonra kullanıcının bu ayarları alıp almadığını görmek için kullanıcı üzerinde çalıştır ekranına Rsop.msc yazarak alınan policy ayarlarını bizlere gösteren konsolu açalım.

Kullanıcının aldığı policyler denetleniyor.

Açılan ekranda Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem -> Aygıt Yükleme-> Aygıt Yükleme Kısıtlamaları başlığına gelelim. İlgili başlıklar altına geldiğimizde kullanıcının yapılandırdığımız ilkeleri aldığını görebiliyoruz.

Bu işlemlerden sonra bilgisayarımıza bir Flash Bellek takalım.

Kullanıcımız ilkeleri aldı. Takılan Flash Belleğin yüklenmesine izin verilmediği için Flash Bellek takılı olmasına rağmen erişim sağlanamıyor.

Takılan belleğin engellendiğine dair içeriğini bizim belirlediğimiz mesaj kullanıcımıza bildirim alanında yansıdı.

Bu Flash Belleğimiz bilinmeyen aygıt olarak yüklenmesine izin verilmedi ve sistemimiz bu nedenle Flash Belleğe erişim sağlayamıyor.

Bu aşamada firmamızda kullanılacak bir tür Flash Bellek olduğunu ve bu Belleklere firmamızda izin vermemiz gerektiği senaryosu üzerinde duralım. Flash bellek kullanımı minimum derecede dahi olsa günümüzde illaki gerekmektedir. Bu nedenle kaliteli, kendi üzerinde koruması olan belleklerden alıp tüm bellekleri kapatarak sadece bu belleklerin kullanımına izin vermemiz mümkün bundan sonraki adımlarımızı buna göre ele alıyor olacağız.

Bu gibi işlemler için Kingston kriptolu bellekler ideal olacaktır. Kullanıcılar bu belleklere parola ile erişim sağlamakta. Çalınması veya kaybolması durumunda belirlenen sayıdan sonra yanlış parola girilmesi durumunda cihaz kendini formatlanacak ve içeriğine erişimi imkânsız hale getirecektir.

Şimdi farklı bir bilgisayarımıza yukarıdaki belleğimizi bağlıyorum.

Tüm sistemimizde çalışmasına izin vereceğimiz Kingston Kriptolu bellek üzerine sağ tıklayarak açılan menüden Özellikler açılır menüsünü tıklayalım.

Flash Belleklerin GUID bilgisi, VID, PID bilgisi gibi bilgilere göre engellenmesi veya izin verilmesi mümkün. Ancak biz firma ortamımızda 10 adet bu belleklerden aldığımızı düşünelim ve bu belleklerin her bir bilgisayarda çalışmasına izin vereceğimizi hesaplayalım. Bu durumda seri no v.s. değil de cihaz tanımına göre izin vermemiz mantıklı olacaktır. Açılan ekranda Ayrıntılar-> Donanım Kimlikleri alanına gelelim. Burada cihazımızla ilgili kimlikler gelecektir. Burada genel tanımı seçmemiz bir çok cihaza izin vermemiz anlamına gelecek. Bu nedenle Biz cihazın marka model gibi bilgilerini bulunduran tanımını kullanacağız.

İlgili tanımı sağ tıklayarak açılan menüden Kopyala ile kopyalayalım.

Şimdi ilgili policy üzerinde bilgilerimizi kopyaladığımız Flash Belleğimize izin verme işlemini yapalım. Policy ekranımızda Allow installation of devices that match any of these device IDS ilkesini çift tıklatalım. Bu ilke en altta aktif ettiğimiz herhangi bir ilkenin içerisinde izin verilen tüm flash bellekler haricinde geri kalan bellekleri engelle anlamındaki, Prevent installation of devices not described by other policy setting ilkesinin devamı niteliğinde.

İlgili policy üzerinde Enabled özelliğini aktive edip, izin verilecek olan bellek tanım bilgisini girmek için Show… butonuna tıklayalım.

Kopyaladığımız Tanım bilgimizi ilgili ekrana yapıştırıp OK ile bu ekrandan çıkalım.

OK ile ilkemizi kaydedip kapatalım.

İlkemiz Enabled duruma geldi.

Policy üzerinde işlemlerimiz tamam. Buraya kadar olan işlemleri tekrar özetleyecek olursak Tanım Bilgisi ile izin verdiğimiz Flash Bellekler haricindeki diğer tüm Flash Bellekler engellenmiş ve durumla ilgili kullanıcımıza pop-up olarak bilgilendirme alanında içeriğini bizim belirlediğimiz mesaj veriliyor durumda.

Kullanıcının GPO süresini beklemeden veya bilgisayarı yeniden başlatmadan ayarları alması için gpupdate /force komutumuzu çalıştıralım.

İlgili işlemden sonra kullanıcının bu ayarları alıp almadığını görmek için kullanıcı üzerinde çalıştır ekranına Rsop.msc yazarak alınan policy ayarlarını bizlere gösteren konsolu açalım.

Kullanıcının aldığı policyler denetleniyor.

Açılan ekranda Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem -> Aygıt Yükleme-> Aygıt Yükleme Kısıtlamaları başlığına gelelim. İlgili başlıklar altına geldiğimizde kullanıcının yapılandırdığımız ilkeleri aldığını görebiliyoruz.

Şimdi bilgisayarımıza tanım bilgisi ile GPO üzerinden kullanımına izin verdiğimiz Kingston Kriptolu belleğimizi takalım.

Flash Belleğimize GPO üzerinden izin verildiği için bilgisayarımız belleğimizi gördü.

Belleğin içeriği erişilebilir durumda.

Bilgisayarımıza izinli olmayan bir bellek takıyoruz.

Bilgisayarımıza farklı bir bellek bağlıyoruz. İzin verilen bellek olmadığı için yüklenmesine izin verilmiyor ve tanınmayan aygıt niteliği alıyor.

Makalemizin ana anlatımı bu anda bitti şimdi birkaç önemli bilgi vermek istiyorum.

-Bilgisayarlarımıza daha önce takılan bir bellek olması durumunda bu bellek bilgisayarımızda daha önce tanındığı için yasaklama ilkesi uygulanır ise buna rağmen yine çalışmaya devam edecek ve aşağıdaki gibi sistemde kullanılmasını izin verilecektir.

Bu işlemi engellemek için bir defaya mahsus olmak üzere, Aygıt Yöneticisi ekranında ilgili belleğin üzerine sağ tıklayarak Cihazı Kaldır açılır menüsüne tıklayarak çözebiliriz.

Bu işlem sonrasında Flash Bellek ilkelerimiz gereği engellenecek ve bize bununla ilgili bildirim alanında pop-up mesaj verilecektir.

Bu makalemizin de sonuna geldik. Makalemizin son kısmında yer alan kalın punto belirttiğimiz alanlara özellikle dikkat etmenizi öneririm. Yararlı olması dileğiyle bir başka makalede görüşmek üzere.