Group Policy ile CD/DVD ve Çıkarılabilir Aygıtlara Dosya Yazmayı Engellemek
Group Policy ile CD/DVD ve Çıkarılabilir Aygıtlara Dosya Yazmayı Engellemek
Kurumunuzda çıkarılabilir depolama aygıtlarına (USB bellekler, taşınabilir hard diskler, hafıza kartları, USB yoluyla cep telefonu hafızaları vs.) dosya yazılmasını ve kopyalanmasını engellemek isterseniz bunu gerçekleştirmeniz mümkün. Kurumunuzda kullanılan bilgisayarlarda Active Directory yapısını kullanıyorsanız Group Policy ile çıkarılabilir depolama aygıtlarının sadece okunabilir (ReadOnly) çalışmasını sağlayabilir ve bu şekilde de yapınızdaki bilgisayarlardan çıkarılabilir depolama aygıtlarına dosya yazılmamasını veya kopyalanmamasını sağlayabilirsiniz.
Bunun nasıl yapılacağını anlatmaya başlayalım isterseniz. İşlemleri Windows Server 2012 R2 üzerinde kurulu Active Directory Group Policy üzerinden detaylı bir şekilde gerçekleştireceğim.
Group Policy Managment’i açalım (Başlat>Çalıştır> gpmc.msc komutunu kullanarak da açabilirsiniz) ve şekilde gördüğünüz şekilde sağ tık yapıp “Create a GPO in this domain, and Link it here…” diyerek yeni bir Group Policy objesi oluşturalım. (İsterseniz var olan bir GPO düzenleyerek de yapabilirsiniz. Fakat ben yeni bir GPO ile işlem yapmayı tercih ediyorum.)
Ben her Group Policy objesinde hangi kuralı tanımladığımı bilmek için isimlendirerek GPO’lar oluşturuyorum.
Oluşturduktan sonra oluşturulan GPO objesine sağ tık yapıp Edit…’e tıklayın.
Daha sonra, “Computer Configuration Policies > Administrative Templates > System > Removable Storage Access” dizinine gelin.
Burada engelleyebileceğimiz tüm depolama aygıtları mevcut aslında. İstediğimizin okuma, yazma veya çalışma izinlerini değiştirebiliriz.
- Kısımda CD ve DVD ortamında bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
- Kısımda disket ortamında bulunan verilerin, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
- Kısımda Çıkarılabilir aygıtlarda bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
- Kısımda tüm depolama aygıtlarını erişimi engelleyebileceğiniz ayarlar mevcut.
- Kısımda kaset sürücülerinde bulunan verilerin, sırasıyla çalıştırma, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
- Kısımda ise WPD aygıtlarında (Windows Taşınabilir Aygıtlar) bulunan verilerin, okuma ve yazma izinleri ile ilgili erişim izinleri mevcut.
Engellemek için yapmanız gereken ilgili kuralı açıp Enabled seçeneğini işaretlemektir.
En başta anlattığım gibi ben yazma erişimlerini engelleyeceğim.
Örnek olması amacıyla taşınabilir disklerin yazma erişimini engellemek için ilgili kuralı açtım ve Enabled seçeneğini seçerek aktif hale getirdim.
Diğer tüm yazma erişimini engelleme ile ilgili olan kuralları da aynı şekilde aktif ediyorum.
Kuralları aktif hale getirdiğimize göre domain yapımızda bulunan bilgisayarlara USB bellek veya herhangi bir depolama aygıtı taktığımızda disk içindekileri okuyabilmemiz, çalıştırabilmemiz fakat içine herhangi bir dosya yazamamamız gerekiyor.
Testi yapacağım, domain yapımda bulunan Windows 8.1 kurulu bilgisayarın öncelikle yapmış olduğum kuralı hemen alabilmesi için CMD komut ekranından “gpupdate /force” komutunu veriyorum. Daha sonra ise bir USB bellek takarak deneme yapıyorum.
USB Bellekten herhangi bir dosyayı masaüstüne kopyalayabiliyorum. Fakat USB bellek içine hiçbir şekilde dosya oluşturma, kopyalama veya yazma işlemi yapamıyorum.
Gördüğümüz gibi oluşturmuş olduğumuz kural istediğimiz gibi çalışıyor.
İyi çalışmalar.
Teşekkür ederim emeğinize sağlık…