RSS

Group Policy ile CD/DVD ve Çıkarılabilir Aygıtlara Dosya Yazmayı Engellemek

1 10 Aralık 2014 ~ Emre FIRAT — Active Directory

Group Policy ile CD/DVD ve Çıkarılabilir Aygıtlara Dosya Yazmayı Engellemek

Windows-Server-Active-Directory-v-black-logo_2Kurumunuzda çıkarılabilir depolama aygıtlarına (USB bellekler, taşınabilir hard diskler, hafıza kartları, USB yoluyla cep telefonu hafızaları vs.) dosya yazılmasını ve kopyalanmasını engellemek isterseniz bunu gerçekleştirmeniz mümkün. Kurumunuzda kullanılan bilgisayarlarda Active Directory yapısını kullanıyorsanız Group Policy ile çıkarılabilir depolama aygıtlarının sadece okunabilir (ReadOnly) çalışmasını sağlayabilir ve bu şekilde de yapınızdaki bilgisayarlardan çıkarılabilir depolama aygıtlarına dosya yazılmamasını veya kopyalanmamasını sağlayabilirsiniz.

Bunun nasıl yapılacağını anlatmaya başlayalım isterseniz. İşlemleri Windows Server 2012 R2 üzerinde kurulu Active Directory Group Policy üzerinden detaylı bir şekilde gerçekleştireceğim.

Screenshot_1 copy

Group Policy Managment’i açalım (Başlat>Çalıştır> gpmc.msc komutunu kullanarak da açabilirsiniz) ve şekilde gördüğünüz şekilde sağ tık yapıp “Create a GPO in this domain, and Link it here…” diyerek yeni bir Group Policy objesi oluşturalım. (İsterseniz var olan bir GPO düzenleyerek de yapabilirsiniz. Fakat ben yeni bir GPO ile işlem yapmayı tercih ediyorum.)

Screenshot_2 copy

Ben her Group Policy objesinde hangi kuralı tanımladığımı bilmek için isimlendirerek GPO’lar oluşturuyorum.

Oluşturduktan sonra oluşturulan GPO objesine sağ tık yapıp Edit…’e tıklayın.

Screenshot_3 copy

Daha sonra, “Computer Configuration Policies > Administrative Templates > System > Removable Storage Access” dizinine gelin.

Screenshot_5_num copy

Burada engelleyebileceğimiz tüm depolama aygıtları mevcut aslında. İstediğimizin okuma, yazma veya çalışma izinlerini değiştirebiliriz.

  1. Kısımda CD ve DVD ortamında bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
  2. Kısımda disket ortamında bulunan verilerin, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
  3. Kısımda Çıkarılabilir aygıtlarda bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
  4. Kısımda tüm depolama aygıtlarını erişimi engelleyebileceğiniz ayarlar mevcut.
  5. Kısımda kaset sürücülerinde bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
  6. Kısımda ise WPD aygıtlarında (Windows Taşınabilir Aygıtlar) bulunan verilerin, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.

Engellemek için yapmanız gereken ilgili kuralı açıp Enabled seçeneğini işaretlemektir.

En başta anlattığım gibi ben yazma erişimlerini engelleyeceğim.

Screenshot_6 copy

Örnek olması amacıyla taşınabilir disklerin yazma erişimini engellemek için ilgili kuralı açtım ve Enabled seçeneğini seçerek aktif hale getirdim.

Diğer tüm yazma erişimini engelleme ile ilgili olan kuralları da aynı şekilde aktif ediyorum.

Kuralları aktif hale getirdiğimize göre domain yapımızda bulunan bilgisayarlara USB bellek veya herhangi bir depolama aygıtı taktığımızda disk içindekileri okuyabilmemiz, çalıştırabilmemiz fakat içine herhangi bir dosya yazamamamız gerekiyor.

Testi yapacağım, domain yapımda bulunan Windows 8.1 kurulu bilgisayarın öncelikle yapmış olduğum kuralı hemen alabilmesi için CMD komut ekranından “gpupdate /force” komutunu veriyorum. Daha sonra ise bir USB bellek takarak deneme yapıyorum.

Screenshot_7 copy

USB Bellekten herhangi bir dosyayı masaüstüne kopyalayabiliyorum. Fakat USB bellek içine hiçbir şekilde dosya oluşturma, kopyalama veya yazma işlemi yapamıyorum.

Gördüğümüz gibi oluşturmuş olduğumuz kural istediğimiz gibi çalışıyor.

İyi çalışmalar.

"Group Policy ile CD/DVD ve Çıkarılabilir Aygıtlara Dosya Yazmayı Engellemek" yazısı için bir yorum yapılmış.

  1. UĞUR ERKEK dedi ki:

    Teşekkür ederim emeğinize sağlık…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir