USB cihazlarının kullanımını denetlemek, özellikle kurumsal ortamlarda veri güvenliği açısından kritik bir öneme sahiptir. Gelişen teknolojiyle birlikte USB belleklerin yaygın kullanımı, veri taşınabilirliğini kolaylaştırırken aynı zamanda güvenlik açıklarını da beraberinde getirir. Bu nedenle, sistemlerde yalnızca belirli USB belleklerin kullanımına izin vermek, diğerlerini engellemek gereklidir. Group Policy Object (GPO) kullanarak belirli USB belleklerin tanınmasına izin vermek, sistemlerin güvenliğini artırmak ve izinsiz veri transferlerini önlemek adına etkili bir yöntemdir.
GPO üzerinden yapılan bu tür yapılandırmalar, cihazların kimlik bilgilerinin kullanılmasıyla gerçekleştirilir. USB belleklerin Vendor ID (VID) ve Product ID (PID) bilgileri, cihazları tanımlamak için kullanılır. Bu bilgiler, Device Manager veya PowerShell komutları ile kolayca elde edilebilir. Belirli bir USB belleğin tanınmasına izin vermek için, bu kimlik bilgileri GPO'ya eklenir ve yalnızca belirtilen cihazların sisteme erişimine izin verilir. Diğer tüm USB cihazları, GPO tarafından otomatik olarak engellenir. Bu yapılandırma, organizasyon genelinde uygulanarak, tüm Client makinelerde aynı güvenlik politikası etkin hale getirilir.
Sistemde uygulanacak GPO politikası, hem kullanıcı hem de bilgisayar düzeyinde tanımlanabilir. Kullanıcı düzeyinde tanımlanan politikalar, belirli kullanıcıların bu cihazlara erişimini kısıtlarken, bilgisayar düzeyinde tanımlanan politikalar, tüm bilgisayarlarda geçerli olur. Bu esneklik, sistem yöneticilerine belirli durumlar için özelleştirilmiş çözümler geliştirme imkanı verir. Özellikle güvenliğin ön planda olduğu ortamlarda, sadece tanımlanmış USB cihazlarının kullanılmasına izin verilmesi, veri sızıntısı riskini büyük ölçüde azaltır.
Bu tür politikaların etkinleştirilmesi, geniş çaplı bir Network ortamında merkezi yönetimi de kolaylaştırır. Tek bir GPO politikası ile, yüzlerce hatta binlerce bilgisayarda aynı güvenlik standardı sağlanır. Yapılan bu yapılandırma, sadece verilerin korunmasını sağlamakla kalmaz, aynı zamanda sistemlerin izinsiz müdahalelerden korunmasına da yardımcı olur. Ayrıca, bu tür bir politika değişikliğinin GPO Force yöntemiyle uzaktan anında uygulanabilmesi, acil güvenlik güncellemeleri sırasında zaman kazandırır.
1- This PC'ye tıkladığımda kullanmak istediğim USB belleği görebiliyorum.
2- İlk adım olarak, kullanmak istediğim bu USB belleğin Hardware ID'sini (donanım kimliği) öğrenmek olacak. Bunun için Computer Management altındaki Device Manager'ı tıkladığımda, yüklü olan tüm donanımlarımı görebiliyorum. Buradan Disk Drives altında USB belleğimi seçerek sağ tıklıyor, Properties seçeğini seçerek donanım özelliklerini açıyorum.
3- Donanım özelliklerinde Details sekmesi altında Property alanındaki listeden Parent seçeneğini seçiyorum.
3.1- Seçimle birlikte Value bölümü altında görülen
|
USB\VID_0951&PID_1666\C860008AE2888F2415903C8B |
bilgisi, USB belleğime ait olan, öğrenmek istediğim Hardware ID (donanım kimliği) bilgisidir.
3.2- Bunun üzerinde de sağ tıklayarak Copy seçeneğini seçerek, belleğe alıyorum.
3.3- Aynı işlemi, PowerShell üzerinden aşağıdaki komut yardımıyla da kolayca ve daha hızlı bir şekilde yapabiliriz.
|
((Get-CimInstance -Class win32_PnPSignedDriver) | ?{($_.Description -like '*mass*')}) |Select Description, DeviceClass, DeviceID, Manufacturer |
4- Domain Controller'da Group Policy Management'ı açıyor, ilgili Organization Unit üzerinde bir GPO-Group Policy Object oluşturuyorum.
5- Oluşturduğum GPO-Group Policy Object üzerinde sağ tıklayarak Edit... seçeneğini seçiyor ve yapılandırmaya başlıyorum.
6- İlk olarak Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions yolunu izleyerek;
6.1- Allow installation of devices that match the device IDs üzerine çift tıklayarak açıyorum. Bu yapılandırma seçeneğinde elde ettiğim USB bellek Hardware ID'sini tanımlayacağım.
6.2- Yapılandırma seçeneğimi Enabled duruma getirdikten sonra, Options altında Show... butonuna tıklıyorum.
6.3- Açılan penceredeki Vlue alanına elde ettiğim ve kopyalayarak belleğe altığım USB bellek Hardware ID'sini buraya yapıştırıyor, OK butonuna basarak işlemimi sonlandırıyorum.
6.4- İkinci adımda da Apply layered order of evaluation for Allow and Prevent device installation policies accross all device match criteria üzerine çift tıklayarak açıyorum. Bu adım çok önemli. Burada, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında hiçbir USB belleğin kullanılmamasına yönelik yasaklama işlemi uyguluyorum. Yapılandırma seçeneğimi Enabled duruma getirdikten sonra OK butonuna basarak işlemimi sonlandırıyorum.
6.5- Üçüncü ancak zorunlu olmayan bir diğer ayar da, Display a custom message title when device installation is prevented... olcak ki bu ayar ile, Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışında başka herhangi bir USB bellek bilgisayarların USB Port'larına takıldığında, kullanıcıya sizin belirleyeceğiniz bir bilgi/uyarı mesajı verdirmek içindir. Bu seçeneği de Enabled duruma getiriyor, Policy dışında bir USB bellek kullanımı durumunda görünmesini istediğim bir uyarısı yazısı giriyorum.
6.6- İsteğe bağlı olarak, Policy dışındaki bir USB bellek kullanımı ile birlikte göstermek istediğiniz uyarı mesajını detaylandırmak isterseniz, Display a custom message when installation is prevented by a policy setting ayarını Enabled duruma getirerek, uyarı mesajınızı detaylandırabilirsiniz.
7- Oluşturmuş olduğuğum ilgili Group Policy Object (GPO) üzerindeki tüm ilgili ayarları yapılandırdım. Farklı amaçlar doğrultusunda diğer ayarları da inceleyebilir, bunları da kullanabilirsiniz ancak bizim ihtiyacımızı gidermesi açısından bu ayarlar yeterlidir. Client PC'de CMD (Command Promt) açarak, gpupdate /force komutunu uygulayarak, GPO ayarlarımın Client PC'de tanımlanmasını sağlıyorum.
7.1- gpupdate /force komutuna ek olarak, aşağıdaki PowerShell komutu ile, Domain'deki hostname bilgisi verilmiş olan belli bir bilgisayara direkt olarak uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.
|
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
Yine aynı PowerShell komutu ile Domain'deki hostname bilgisi belli bir isimle başlayan bilgisayarlara (ör. PC*) uygulatılmasını sağlayabilirsiniz.
|
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
Ya da Domain'deki sadece [*] işareti ile direkt olarak Domain'deki tüm bilgisayalara uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.
|
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} |
8- Sıra geldi, yaptığımız GPO-Group Policy Object ayarlarının çalışıp çalışmadığını kontrol etmeye. Client PC'deki USB Port'una izin verdiğim USB belleği takıyor, This PC üzerinden sistemin USB belleğimi tanıdığını görüyorum.
9- Sağlamasını yapmak ve Group Policy Object (GPO) ayarlarımızın gerçekten tam anlamıyla, bizim istediğimiz yapılandırma ayarları ile çalışıp, çalışmadığını anlamak için de Hardware ID (donanım kimliği) ile kullanıma açtığım USB bellek dışındaki başla bir USB belleği Client PC'deki USB Port'una takıyorum ve GPO'da donanım kimlik bilgisini tanımlamış olduğum USB bellek dışındaki bir USB belleğin kullanımına izin vermemiş oldum. Bu GPO ayarı ile sadece şirket içindeki USB belleklerin kullanımına izin verip, diğer tüm USB bellekleri kullanıma kapatabilirsiniz.
Unutulmaması gereken bir şey daha var. O da; izin verilen bu USB belleklerin de hiçbir şekilde dışarıya çıkmamalarını sağlamak. Bunun için size önerebileceğim sistem TRAKA sistemidir. Bu sistem yüksek güvenliklidir. Kabin açılışı bir Proximity kart ve parola ile yapılmaktadır. Önce tanımlı kartınızı okutursunuz, sonrasında ise parolanızı girerek kabin kapağını açabilirsiniz. Bu sistem server kabinlerinin kitleri için kullanılan anahtarlar için kullanılıyor ancak USB bellekler de bunun içinde rahatlıkla saklanabilmektedir. Ek güvenlik önlemi olarak da Key Pad'li USB bellekler kullanabilirsiniz.
Sistemin TRAKA kabini ile entegreli bir yazılımı ve loglama sistemi bulunmaktadır.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.