fbpx
Anasayfa » Symantec Endpoint Protection : Application and Device Control

Makaleyi Paylaş

3. Parti Yazılımlar / Uncategorized

Symantec Endpoint Protection : Application and Device Control


 


image001


Bu makalede Endpoint üzerinde şirket güvenliği nedeniyle bazı donanımların kullanım izinlerinin  nasıl ayarlandığını göreceğiz. Şirket güvenliği ve kullanım politikaları gereği bilgisayar üzerinde standart olarak gelen USB, CD-Rom gibi donanımların kullanıma kapatılması, kayıtlarının tutulması veya bu cihaza dosya kopyalanmasının engellenmesi  istenmektedir. Kullanıcıların bu donanımları kullanarak güvensiz programları kurmaları, şirket datalarını bu cihazları kullanarak dışarıya çıkarmaları engellenebilir. Symantec Endpoint programı ile bu izinleri cihaz türü (USB, CD veya bluetoothe) olarak veya sadece belli bir marka model cihaz (Örneğin belli bir markanın belli bir model printer’ı) olarak ayarlayabiliyoruz. Bu izinleri ayarlarken kullanacağımız özellik her üretici, her cihaz türü ve cihaz için verilmiş bulunan “device id / donanım kimlikleri” dir. Program üzerinde USB, Printing Devices, Imaging Devices, Disk Drives gibi standart tanımlar bulunduğu gibi kendi istediğimiz cihazlarıda tanımlayabiliyoruz.



Programa kurulumu yapıldıktan sonra aşağıdaki resimlerde görüldüğü gibi programa giriş yapıyoruz.



image002


 


image003


 


Symantece Endpoint programına ilk girildiğinde ana ekran aşağıdaki gibidir.


 


image004


Burada Policies kısmını kullanarak şirketimize uygun kuralları oluşturacağız.  Policies kısmına girdiğimizde karşımıza çıkacak ekran aşağıdaki gibidir:

Sponsor

image005


 


Bu ekranda çeşitli seçenekler karşımıza çıkmaktadır:


·         Antivirus and Antispyware


·         Firewall


·         Intrusion Prevention


·         Application and Device Control


·         Live Update


·         Centralized Exception


Bu seçeneklerin altında ise Policy Components seçeneği bulunmaktadır. Bizim kullanacağımız seçenekler Application and Device Control kısmında policy lerimizi oluşturmak ve “Policy Components” kısmında bu policy lerde kullanılacak cihazları tanımlamak ve Clients olacaktır. Policies seçeneğine girdiğimizde karşımıza aşağıdaki gibi bir ekran çıkacaktır.


image006


Bu ekranda görüleceği üzere daha önce oluşturduğum bir takım policy ler mevcut. Kullanıların kullanım durumuna göre bazı cihazları açıp bazılarını kapatabiliyoruz. Örneğin bir kullanıcımızda tüm cihazlar açıkken, bir başkasında sadece CD-Rom u veya bir başkasında sadece USB porttan belli bir marka printer a kullanım izni verebiliriz. Buradaki yapı oldukça esnek bir kullanım sunmaktadır. 


Öncelikler yapmamız gereken ne tür policy ler uygulayacaksak buna uygun planlama yapmak olmalıdır. Hangi bilgisayarlar hangi cihazları kullanacak ise bunların bir listesini çıkarıp uygun policyleri oluşturup, daha sonra bu bilgisayarların içinde bulunduğu grupları “Clients” seçeneğinde oluşturarak policy ler ile grupları eşleştirmemiz gerekmektedir.


image007


Yukarıdaki resimde oluşturulmuş örnek grupları görebilirsiniz. Bilgisayarlara Symantec Endpoint programını yüklediğinizde ilk olarak Default Group altına eklenir. Daha sonra buradan uygun gruplara taşıyarak doğru policy lerin uygulanması sağlanır. Geçici olarak bir bilgisayarda belli bir cihaza kullanım izni vermek istediğinizde de grup değiştirerek o kullanıcının cihazı kullanmasını sağlayabilirsiniz. Tek yapmanız gereken policy güncelleme süresini (Örn. 15dk.) beklemek veya bilgisayar üzerinde Symantec Antivirus simgesine sağ tuşlayarak gelen seçeneklerden Update Policy yi seçmek olacaktır.


 


image008


Policies seçeneğine girerek ihtiyacımız olan policy leri oluşturmaya başlıyoruz. Bu seçeneğe girdiğimizde ilk karşımıza aşağıdaki ekran çıkacaktır. Burada:


·         Policy Name : Policy mize vereceğimiz isim (Örn. Device Policy)


·         Description : Policy mizin açıklaması. (Örn. CD ve USB kapalı, USB printer açık)


·         Enable this policy : Policy nin çalışıp çalışmayacağı.


image009


Buradaki tanımları yaptıktan sonra Application Control seçeneğini açıyoruz. Burada karşımıza değişik seçenekler çıkıyor.


image010


·         Make all removable drives read-only: Tüm taşınabilir cihazları sadece okunabilir yap


·         Block programs from running from removable drives: Taşınabilir cihazlardan çalışabilecek programları blokla.


·         Block applications from running: Çalışan uygulamaları blokla.


·         Protect client files and registry keys:  Sistem dosyalarını ve registry kayıtlarını koru.


·         Block writing to USB drives: USB sürücülerine yazmayı blokla.


·         Log Files written to USB drives: USB sürücülerine yazılan dosyaların kayıt et.


·         Block modifications to host file: Host dosyası değişikliklerini blokla.


Application Control bölümünde cihazların kullnılmasını engelleyebilir, sadece okunabilir olmasını sağlayabilir veya seçtiğimiz sürücülere dosya kopyalandığında bu işlemlerin Log larının tutulmasını sağlayabiliriz. Bu ekranda da uygun seçeneği işaretleyerek bir sonraki Device Control bölümüne geçeceğiz.


image011


Bu bölümde karşımıza 2 seçenek çıkıyor:


·         Blocked Devices: Application Control bölümünde seçtiğimiz kuralın hangi cihazlara uygulanacağını burada seçiyoruz.


·         Devices Excluded From Blocking: Application Control bölümünde seçtiğimiz kuraldan hangi cihazların etkilenmeyeceğini burada belirtiyoruz. (Örn. USB portlar kapalı fakat belli bir model USB printer kullanıma açık olacak).


Add butonuna basarak aşağıda bulunan resimdeki cihazları seçerek kuralımızı ayarlamaya devam ediyoruz. Program üzerinde kurulumla birlikte gelen birçok standart seçenek bulunmaktadır. Bunlar USB, Floppy, Printing devices, Bluetooth Radios, Modems gibi Class girilerek yapılan tanımlardır. Program ile birlikte standart olarak geldiği için değişiklik yapılamamaktadır. 


image012


 


image013


Standart olarak gelen bu seçeneklerin dışında kendi istediğimiz cihazların “vendor id/ üretici kimliği” veya “device id / donanım kimliklerini “ kullanarak burada bulunan cihaz listesini genişletebiliriz. Bunun için yapmamız gereken eklemek istediğimiz cihazın  “device id / donanım kimliklerini “ bulmak olacaktır.


Öncelikle Vendor ID nedir oradan başlayalım. Vendor ID, donanım üreticilerinin sahip olduğu benzersiz bir numaradır. Bilgisayarlar bu ID numarası ile takılan donanımları tanırlar. Vendor ID tek başına kullanılmaz yanında bir de Device ID bulunur. Bu da o üreticeye ait hangi ürün olduğunu gösterir numaradır.


Örneğin Nvidia marka bir ekran kartının Vendor ID ve Device ID bilgileri şöyledir:


10DE&DEV_0421 Nvidia Geforce 8500 GT


Burada ilk dört hane “10DE Vendor ID bilgisidir yani Nvidia firmasının tanımlama bilgisi“0421 ise takılı olan cihazın Device ID bilgisidir.


PCI\VEN_10DE&DEV_0421&SUBSYS_82451043&REV_A1


Örnek vendor listesi:


image014


 


Device classes listesi:


image015


 


Örnek Nvidia ürünlerinin bir listesi:


image016


Windows bilgisayara tanıtılan cihazların bağlantı özelliklerini kayıt altına alır ve saklar. Eğer bunu yapmazsa değişik zamanlarda bu cihazları çalıştırmaya kalktığımızda hatırlayamaz. Bağlanan aygıtın, Windows tarafından yönetilebilmesi ve buna uygun sürücülerin yüklenebilmesi için, cihaz tarafında işletim sistemine yarayacak bilgiler bulunmaktadır. Örneğin bir aygıt USB portundan bilgisayara bağlandığında, el sıkışma (handshaking) sırasında, Windowsa kimlik bilgilerini rapor etmek zorundadır. Bu bilgiler üretici – ürün IDleri, protokol numarası ve sınıf – alt sınıf vb. bilgilerdir. Daha sonra gelen bilgiler, Windowsun içindeki aygıt sürücüleri tarafından bir tanımlama formatına çevrilir. Buna örnek vermek gerekirse bir USB donanım IDsi şu şekillerden birine sahiptir:

USB\Vid_XXXX&Pid_XXXX
USB\Vid_XXXX&Pid_XXXX&Rev_XXXX
















VID:


Donanım üreticisi kimlik numarası. Örnek, “8086” Intel, “03f0” Hewlett-Packard, “045e” Microsoft gibi.


PID:


Her üretici tarafından kendi ürününe verdiği benzersiz ürün kimlik numarası. Aynı numara diğer üreticiler tarafından kullanılabilir.


REV:


Ürün revizyon numarası.


XXXX:


Hexadecimal sayı.


VID ve PID kodlarını, donanım üreticilerinin sitelerinden veya USBye destek veren sitelerden bulabilirsiniz.


Ayrıca bilgisayarımıza taktığımız herhanbir cihaza ait bu bilgileri Windows ta bulunan Aygıt Yöneticisi seçeneğini kullanarakta bulabiliriz. Bu bilgiyi bulabilmek Aygıt Yöneticisi ne girilir ve ilgili donanımın Özellikler sayfasında Ayrıntılar bölümünde Windows XP için“Aygıt Kopya Kimliği” veya Windows 7 için “Donanım Kimlikleri” olarak bulabilirsiniz.


image017


 


 


image018


 


Burada bulunan bilgileri Symantec üzerinde tanımlarken yazmanız gerekmektedir. Bu bilgiler kopyala ile aktarılamamaktadır. Bu kimliğin tamamını kullanabileceğiniz gibi uygun bölümlerini alarakta kullanabilirsiniz. Örneğin STORAGE\* veya STORAGE\REMOVABLEMEDIA\* ya da USBSTOR\* vs.. Bu bilgilerin neleri içerdiği yukarıda anlatılmıştır.


Kural oluşturacağımız cihazlar program ile gelen listede yok ise bu bilgileri kullanarak cihazımızı listeye ekliyoruz. Bunun için yapmamız gereken Policies bölümünde bulunan Policy Components  i seçmek ve daha sonra alt bölümde bulunan Add a Hardware Device ile gelen ekrana bilgilerimizi girmek olacaktır.


image019


 


image020


 


Device Name kısmına tanımlayacağımız cihazın açıklayıcı bilgini giriyoruz. Device ID kısmına ise Aygıt Yöneticisi ekranından veya internetten bulduğumuz cihazın donanım kimliğini giriyoruz.


 


image021


 


image022


 


Cihaz tanımlarını yaptıktan sonra kural tanımladığımız ekrana tekrar geri dönüyoruz.


image023


 


Blocked Device kısmına Add butonuna basarak çıkan listeden kuralın uygulanacağı cihazları seçerek ekliyoruz. Device Excluded From Blocking kısmına bu kuraldan etkilenmeyecek cihazları seçiyoruz. Add butonuna bastığımızda çıkan liste aşağıdaki gibidir:


image024


 


Kural uygulayacağımız cihazı seçip OK tuşuna basmak yeterlidir.


image025


 


Örneğin yukarıdaki ekranda USB portların kullanımını yasaklayıp sadece HP printer ın kullanımına izin verebiliriz. Kuralı oluşturmayı bitirdikten sonra Application and Device Control kısmında listede oluşturduğumuz kural listelenecektir.


 


image026


 


Kuralları oluşturduktan sonra sıra hangi gruplara hangi kuralların uygulanağına geliyor. Bunun için kuralı seçip Assign edebiliriz. Bu seçenek kuralın hangi gruba uygulanacağını seçmemizi sağlar.


 


image027


 


Assign tuşuna bastığımızda karşımıza daha önceden oluşturduğumuz grupların bir listesi çıkar.


image028


 


İlgili grubu seçerek Assign butonuna bastığımızda oluşturduğumuz kural bu gruba atanacaktır.


image029


 


Clients bölümüne girerek ilgili grubu seçtiğimizde uygulanan policy leri burada görebiliriz.


Application And Device Control bölümünde cihaz tanımları ve kurallar esnek olduğu için birçok kural oluşturabiliriz. Tüm taşınabilir cihazların kullanımını kısıtlayıp sadece bir printer ın kullanımına izin verebiliyoruz. Dikkat edilmesi gereken nokta doğru tanımların,  doğru seçeneklerin işaretlenmiş olmasıdır. Örneğin USB portları kısıtlarken kullanılan kuralın USB mouse ları ve printer larıdakullanılamaz duruma getireceğini unutmamak gerekir. Burada amaç kullanılabilirliği azaltmak değil güvenliği sağlamaktır.  Bu dengeyi iyi kurmak gerekir.


Kurallar bilgisayarlara Symantec Endpoint programı ile uygulandığı için programın bilgisayar üzerinde düzgün çalışması ve policy update leri yapabilmesi gerekmektedir.

Makaleyi Paylaş

Cevap bırakın