Adım Adım Group Policy kullanarak USB cihazların kontrolü
Bu makale yalnızca USB Flash Drive lar için
yazılmış olmaktadır.USB üzerinden kontrol edilen diğer cihazlar için
(Cd-Rom – Floppy Drive) geçerli değildi.Ama mantık aynıdır.
Öncelikle bu işlerim yapılabilmesi için USB cihazların
hardware IDs ve compatible IDs lerinin bilinmesi gerekmektedir.Bunu
yapabilmenin temelde iki yolu vardır.Birincisi grafiksel arayüz
kullanarak Device Manager üzerinden bir diğeri ise DevCon Command-Prompt
aracıdır.Bu tool u kullanmak için Driver Development Kit (DDK)
gerekmektedir.Yazımızda bu seneryo atlanmıştır.Bunun yerine daha kolay
anlaşılabilmesi için grafiksel arayüz kullanacağız.
Device Manager kullanılarak Flash Disk in identification (IDs) lerinin bulunması
- Flash Diskinizi Bilgisayarınıza bağlayınız ve yüklenmesini bekleyiniz.
- Device Manager i açınız,Start – Run – ‘mmc devmgmt.msc’
- Kullandığınız işletim sistemine göre UAC (User Account Control) onayı isteyebilir.Bunu kabul ediyoruz.
- Disk drives ı çift tıklayarak bağlamış olduğumuz USB Device ı buluyoruz. (Şekil 1)
Şekil 1 .
- Sağ klik ile Flash Disk özelliklerine geliyoruz.(Şekil 2)
Şekil 2
- Details tabına geliyoruz.
- Property listesinden, Hardware Ids i seçiyoruz.
- Value yazan yerdeki açıklamaları Ctrl+C kombinasyonu ile kopyalayıp Notepad e kayıt edelim ileride lazım olacak.(Şekil 3)
Şekil 3
- Property listesinden, Compatible Ids i seçiyoruz.
- Value yazan yerdeki açıklamaları Ctrl+C kombinasyonu ile kopyalayıp Notepad e kayıt edelim ileride lazım olacak.(Şekil 3)
Şekil 4
.
Flash Diskimizi Unistall ediceğiz
- Flash Diskinizi Bilgisayarınıza bağlayınız ve yüklenmesini bekleyiniz.
- Device Manager i açınız,Start – Run – ‘mmc devmgmt.msc’
- Kullandığınız işletim sistemine göre UAC (User Account Control) onayı isteyebilir.Bunu kabul ediyoruz.
- Flash Diskimizi sağ klik ile tıklayıp Uninstall diyoruz (Şekil 5).
Şekil 5
- Confirm Device Removal dialog kutusuna,OK diyip işlemi bitiriyoruz.
- İşlem bittikten sonra Flash Diskimiz buradan
gitmiş olacaktır.Daha sonrasında Fiziksel olarakta Flash Diskimizi
bilgisayarımızdan kaldırıyoruz.
Kalıcı olarak diğer USB aygıtların yüklenmesini engelleme.
Yapıcak olduğumuz ayarların temel amacı kullanıcı
bilgisayarlarına Local Administrator yetkisi dışındaki kullanıcıların
USB aygıt yüklemesini engellemek amaçlıdır
Local Group Policy ile USB cihazların yüklenmesini ve Update edilmesini engellemek için :
- Device Manager i açınız,Start – Run – ‘mmc gpedit.msc’
- Kullandığınız işletim sistemine göre UAC (User Account Control) onayı isteyebilir.Bunu kabul ediyoruz.
- Açılan ekranda sırası ile Computer Configuration – Administrator Templates – System – Device Installation – Device Installation Restrictions (Şekil 6).
Şekil 6
- Prevent installation of devices not described by other policy settings, seçip Properties diyoruz.
- Setting tabından Enabled diyoruz ve policy i aktif hale getiriyoruz.
- OK deyip Group Policy Object Editör e geri dönüyoruz.
Administrator yetkisine sahip kullanıcıların yapmış olduğumuz ayarlardan etkilenmemesi için :
- Allow administrators to override device installation policy, seçip Properties diyoruz.(Şekil 7)
- Setting tabından, Enabled diyoruz ve policy i aktif hale getiriyoruz.
- Click OK to save your setting and return to Group Policy Object Editor.
- OK deyip Group Policy Object Editör e geri dönüyoruz.
Şekil 7
- Allow installation of devices that match any of these device IDs seçip Properties diyoruz.
- Setting tabından, Enabled diyoruz ve policy i aktif hale getiriyoruz.(Şekil 8)
Şekil 8
- Show butonunu tıklıyoruz . (Default, olarak burası boş gelir.)
- Add diyoruz ve gelen ekrana Device ID mizi yazıyoruz (Notepad bu ID yi daha önce koplamıştık) (Şekil 9)
.
Şekil 9
- OK deyip Show Contents kutusunda eklediğimiz Device ID yi görüyoruz. (Şekil 10)
Şekil 10
- OK deyip policy mizi kaydediyoruz.
Test etmek için Flash Diskimizi tekrardan fiziksel olarak
bilgisayarımıza bağlayabiliriz.Bu işlemi yaparken USERS yetkisindeki bir
kullanıcı ile denemeliyiz.Çünkü Administrator yetkisine sahip olan
kullanıcıları bu durumlardan muaf tutmuştuk.
Not : Yaptığımız ayarların etkin olabilmesi için gpupdate /force komutunu
kullanmalıyız.Artık kullanıcılarımız sadece bizim izin verdiğimiz
Flash Diskleri bilgisayarlarında kullanabilirler.