Anasayfa » Forum

GPO ile USB portu k...
 

[Çözüldü] GPO ile USB portu kapanıyor. Ancak sanal linux da usb çalışmaya devam ediyor  

  RSS
Emre Albayrak
(@emrealbayrak)
Üye

Arkadaşlar merhaba,

GPO ile windows işletim sistemli makinalardaki USB portunu storage için kapattık.

Fakat iş gerekliliği nedeni ile usb portu kapalı olan makinaya vmware vb. sanallaştırma uygulaması üzerinde linux sanal makine kurulduğunda fiziksel makinenin usb'si çalışmadığı halde sanaldaki makinada usb storage çalışıyor ve içeriği görüp değiştirebiliyor.

Bu soruna çözüm olarak ne önerirsiniz?

 

Windows makinalarda usb aşağıdakiler gpo ya eklenerek kapatıldı.

1-regedit den usbstor start değeri 4 yapıldı

2-c windows system32 driver usbstor.sys dosyasının adı değiştirildi ve deny access verildi

3-c windows inf usbstor.inf ve usbstor.pnf dosyalarına deny access verildi.

Forumda baya gezdim ama bulamadım. 

Aşağıdaki kaynaklara da baktık.

https://social.technet.microsoft.com/Forums/ie/en-US/0be0c42b-950c-4a16-8be6-3f3a3d22e712/process-for-usb-port-blocking-via-active-directory-group-policy?forum=winserverGP

https://www.cozumpark.com/community/ipucu/167746/

 

 

Alıntı
Gönderildi : 16/08/2019 11:00
Konu Etiketleri
Tayfun DEĞER
(@tayfundeger)
Saygın Üye Forum Yöneticisi
Gönderen: @emrealbayrak

Arkadaşlar merhaba,

GPO ile windows işletim sistemli makinalardaki USB portunu storage için kapattık.

Fakat iş gerekliliği nedeni ile usb portu kapalı olan makinaya vmware vb. sanallaştırma uygulaması üzerinde linux sanal makine kurulduğunda fiziksel makinenin usb'si çalışmadığı halde sanaldaki makinada usb storage çalışıyor ve içeriği görüp değiştirebiliyor.

Bu soruna çözüm olarak ne önerirsiniz?

 

Windows makinalarda usb aşağıdakiler gpo ya eklenerek kapatıldı.

1-regedit den usbstor start değeri 4 yapıldı

2-c windows system32 driver usbstor.sys dosyasının adı değiştirildi ve deny access verildi

3-c windows inf usbstor.inf ve usbstor.pnf dosyalarına deny access verildi.

Forumda baya gezdim ama bulamadım. 

Aşağıdaki kaynaklara da baktık.

https://social.technet.microsoft.com/Forums/ie/en-US/0be0c42b-950c-4a16-8be6-3f3a3d22e712/process-for-usb-port-blocking-via-active-directory-group-policy?forum=winserverGP

https://www.cozumpark.com/community/ipucu/167746/

 

 

Merhaba,

Sanal sunucu üzerindeki USB Controller'ı kaldırdığınız taktirde bir daha virtual machine USB aygıtına ulaşamaz. Lütfen bunu deneyebilir misiniz?

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com

CevapAlıntı
Gönderildi : 16/08/2019 11:22
Emre Albayrak
(@emrealbayrak)
Üye

@tayfundeger

Merhaba Tayfun hocam,

Mesajınızdan şunu anladım.

GPO ile tüm sanallaştırma uygulamalarının USB aygıtını kaldırmalıyım?

Tüm sanallaştırma uygulamalarını tek tek belirtmek durumunda kalacağız. 

Doğru mu anladım?

Bu ileti 1 ay önce 2 defa Emre Albayrak tarafından düzenlendi
CevapAlıntı
Gönderildi : 16/08/2019 11:29
Buğra PARLAYAN
(@bugraparlayan)
Saygın Üye Forum Yöneticisi

Selamlar,

Doğrudur sanal sunucularda teker teker bu işlemi yapmanız gerekir.

CevapAlıntı
Gönderildi : 16/08/2019 11:38
Tayfun DEĞER
(@tayfundeger)
Saygın Üye Forum Yöneticisi

@emrealbayrak

Merhaba,

Benim belirtmiş olduğum işlem sanal sunucu üzerineki aygıt. Yani, ESXi veya vCenter Server'a bağlanıp ardından ilgili virtual machine'in edit settings'ine girip USB Controller aygıtını kaldıracaksınız. Bunun GPO ile bir alakası bulunmuyor. Virtual machine'in aygıta erişmesini sağlamazsanız USB kullanamaz.

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com

CevapAlıntı
Gönderildi : 16/08/2019 11:39
Emre Albayrak
(@emrealbayrak)
Üye
Gönderen: @tayfundeger

@emrealbayrak

Merhaba,

Benim belirtmiş olduğum işlem sanal sunucu üzerineki aygıt. Yani, ESXi veya vCenter Server'a bağlanıp ardından ilgili virtual machine'in edit settings'ine girip USB Controller aygıtını kaldıracaksınız. Bunun GPO ile bir alakası bulunmuyor. Virtual machine'in aygıta erişmesini sağlamazsanız USB kullanamaz.

Tayfun hocam,

Sorunumu eksik anlatmışım. Sanal olarak kast ettiğim son kullanıcının kullandığı windows işletim sistemli bir client üzerine kurulmuş vmware player, oracle benzeri sanallaştırma uygulaması üzerinde çalışan bir linux vb sanal makine.

Son kullanıcının kendi insiyatifi ile oluşturduğu bu sanal makineler bizim yönetimimizde değil. Ama fizksel tarafına domain kullanıcıları ile log on oldukları için GPO ile fiziksel clientları yönetebiliyoruz.

GPO ile fiziksel makinanın usb portunu kapatıyoruz. Kullanılmıyor. Ancak aynı pc ye sanallaştırma uygulaması aracılığı ile bir sanal makine kurulur ise o sanal makine, fiziksel makineye takılı olan usb belleğin içeriğine ulaşabiliyor. Sorunumuz bu 🙂

Umarım izah edebilmişimdir.

Kıymetli vaktiniz için tekrar teşekkür ederim

CevapAlıntı
Gönderildi : 16/08/2019 12:23
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu sorun sanki sanallaştırma ile ilgili değil, Windows ile ilgili ve ne yazık ki sanal makine kurabiliyor ise bir kişi bu tür aksiyonları alır. Yani sanal makine kurma yetkisine sahip ise USB kapatsanız bile açar. Bence sorun zaten bir son kullanıcı neden sanal makine kuruyor ki?

Sanal makine kuracak güçte laptop makine vereceğinize bunun için bir node ESX kurun istek yaptın orada takılsın.

Özetle bazen yanlış olan kullanım alışkanlıklarınız için çözüm bulamıyor olmanız normal çünkü yaptığınız aslında doğru bir yöntem değil.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/08/2019 23:44
Emre Albayrak beğendi
servertunca
(@servertunca)
Üye

@emrealbayrak

Merhaba.

İlgili bilgisayar da BIOS tan usb portlarını kapatmayı denediniz mi?

CevapAlıntı
Gönderildi : 19/08/2019 10:48
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici
Gönderen: @servertunca

@emrealbayrak

Merhaba.

İlgili bilgisayar da BIOS tan usb portlarını kapatmayı denediniz mi?

Komple kapatmak istemiyorlar ama, soruda öyle bir ayrıntı var, store mode olmasın istiyorlar, aksi halde söylediğin çok mantıklı.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/08/2019 11:09
Emre Albayrak
(@emrealbayrak)
Üye

Öncelikle yanıt veren herkese teşekkür ederim.

ServerTunca hocam, konu sanallaştırmadan ziyade windows ve GPO ile ilgili. Windowsun kapattığı bir ayarı o windows üzerinde çalışan sanal makine ezebiliyor.

Hakan hocam, çalışma alışkanlıkların değişimi dediğiniz gibi gerçekten çok önemli. Ancak yetişmesi gereken projeler ve zaman skıntısı süreçleri sil baştan yapmak malesef uygulanabilir değil şuan için.

Şöyle bir çözüm ürettik.

Her bir sanallaştırma uygulaması kendine has driver koyuyor system32 nin altına.

Bu dosyaları vmware için bulduk ve o dosyaları gpo ile hem rename ediyoruz hem de okuma yetkisine deny veriyoruz. (kullanıcı ilgili dosyanın okunmadığını bilir ise x bir yerden ilgili dosyayı göstererek yükleyebilir) 

Aynı şeyleri diğer sanal uygulamalar için de yapacağız. 

Sonuç olarak tam manası ile çözüm üretmiş olmasakta direkt olarak erişimi kısıtlamış olduk. Okurken verdiğiniz cevabı duyar gibiyim. Evet biraz kurcalama ile isteyen kişi bunu çözebilir. Ama biz ilk etapta kapıyı açık bırakmamış olduk hepsi bu 🙂

Selamlar.

 

Bu ileti 4 hafta önce Emre Albayrak tarafından düzenlendi
CevapAlıntı
Gönderildi : 19/08/2019 11:20
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Geri dönüş ve bilgilendirme için teşekkürler. Aslında host üzerine uyguladığınız GPO gibi sanal sunucuya da gpo uygulamışsınız, ama sorun bunu kuran kişi domain e almadan önce bu erişime sahip olacaktır, yani bu çok güvenli bir çözüm olmamış.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/08/2019 11:22
Emre Albayrak beğendi
Paylaş:

Lütfen Giriş yap yada Kayıt ol