Günümüzde çoğu şirket izledikleri "Güvenlik Politikaları" çerçevesinde bir takım önlemler almakta, hatta işin ayarını paranoyaklık derecesine ulaştırıp akla hayale sığmayacak şeyler yapmak istemektedirler. Belki amaçları sistemlerinin güvenliğini sağlamaktan öte bir şey değil ama aldıkları önlemlerin isteklerini ne kadar karşıladığı tartışılır bir gerçek.

Konumuz ile ilgili bir örnek vermek gerekirse:
Bir şirketteki yönetici organizasyon içerisindeki datalarının hiçbir şekilde dışarıya çıkmasını istemiyor. Ve bu amaçla Bilgi-İşlem departmanından tüm bilgisayarların USB portlarının Disable edilmesini istiyor. Çünkü insanlar Flash Diskler ile yada USB Bağlantılı External diskler ile data hırsızlığı yapabilirmiş. Tabi şirket içerisindeki tüm yalaka personel bu fikrin dahiyane olduğunu ve hemen uygulamaya geçirilmesi konusunda destek verdiklerini belirtiyor. Uygulama hemen hayata geçiriliyor.
Windows Server ile yönetilen ve yaklaşık 30 terminal barındıran bir networkte, bilgi yoksunu Bilgi-İşlem elemanları tarafından tüm işlemler bilgisayarların başına gidilerek tek tek elle yapılıyor! (Biostan USB Portları İptal Etmek Sureti İle) Daha sonra sabah bilgisayarlar açıldığında hiçbir USB bağlantılı yazıcının çalışmadığı ve aynı şekilde USB bağlantılı klavye ve mouseların çalışmadığı görülüyor ve ardından yaşanan bir karmaşa .. (Acilen Tüm USB Portlar Tekrar Açılıyor)
Ve akıllı arkadaşlarımızın dikkat etmedikleri bir diğer nokta ise çoğu bilgisayarda CD-RW olması ve hepsinin kullanılır durumda olması.USB Disk kullanamayan hırsızlar kolaylıkla dataları CD ye yazabilir . Her neyse .. Buradan sonrası daha komik :)
Bu arada bu çözümün hala işe yarayacağını düşünen yönetici USB porttan çalışan yazıcıları kullanmak için fazlaca maliyetli olan “Print Server” cihazları sipariş etmiştir bile. Cihazlar gelir (Masraf 1000$ civarı). Printerlar büyük uğraşlar sonucunda “Print Server” cihazlarına bağlanır ve sistem USB portlar iptal edilmiş olarak çalışmaya devam eder. Ama hala CD-RW'lar kullanımdadır. Bu yönetici şirket geleninde yapılan aylık gelir-gider toplantısında bu ekstra masrafların açıklaması olarak “Sistemimizin güvenliği için USB portların kapatılması ve bu cihazların alınması şarttı, artık data çalınması konuda içimiz rahat!” diyecektir. :) (Eminim ki “Print Server”ların satın alındığı firma sahibi bizim yöneticinin arkadaşıdır)

Evet hikaye işte böyle. Şimdi ben size geçek çözümü anlatıyorum! Maliyeti: 20 Sn. :) iyice dinleyin.

Amaç : Bilgisayarda yapacağımız küçük bir ayar ile "USB External Disk", "Flash Disk" yada "Kameraların USB diskleri" gibi taşınabilir depolama aygıtlarının kullanımını engelliycez. Tabi USB Portunu kullanan diğer tüm aletler (Yazıcılar, Mouse, Klavye, webcam vs..) çalışmaya devam edecek.

İşlem Çok basit, Önce Work Group’ta çalışan makineler için anlatıyorum.

Başlat/Çalıştır/Regedit açılır ve aşağıdaki DWORD değerine gidilir.

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR altındaki "START"

Bu değer defaultta "3" olarak gelir. Eğer biz bunu "4" yaparsak bundan böyle bu bilgisayarda USB taşıma aygıtları çalışmaz! Şekle bakınız. (Bu ayarın aktif olması için Restart gerekir)

Her şey bu kadar, sanırım 20 sn. bile sürmez. Eğer tekrar USB Diskleri kullanmak istersek aynı değeri eski haline getirip "3" yapıyoruz.

Bir Domain Ortamında Policy ile bu ayarı yapmak için :

Öncelikle şunu belirteyim bu özellik "Group Policyi"ler ile gelen bir özellik değil (Yada ben denk gelmedim :) ). Ekstradan template olarak eklenmesi gerekiyor. (.adm)

Sizin için bir tane template hazırladım aşağıdaki linkten indirebilirsiniz.
http://www.olympos.org/files/DriversDisable.zip

İndirdiğiniz bu tampleti kullanarak Group Policy ile bu ayarları merkezi olarak yapabilirsiniz. Hatta hazırladığım tamplete ile CD sürücüleri ve Disket sürücüleri de devre dışı bırakabilirsiniz. (Bu özellikleri de ayrıca ekledim) Bu işi yapacak kişilerin template uygulama bilgisi olduğunu düşünerek anlatma gereği duymuyorum. Yinede “ben nasıl olduğunu hatırlayamıyorum!” diyenler varsa mail atabilirler :)

Ps. GPO Üzerinden template uygulanması konusu ile ilgili aşağıdaki makaleyi referans alabilirsiniz.

http://www.olympos.org/blog/serhat-akinci/gpo-uzerinden-administrative-template-adm-file-uygulanmasi-84603.html 

Serhat AKINCI - IT Professional

__________________________
MCSA:S+M | MCSE:S+M MCTS(2008) | MCITP(2008)
serhatakinci.com çözümpark.com