USB Diskler ReadOnly Kullanılsın

28.10.2007 | 23:38 Çözümler , Windows , Windows Server 7 Yorum

Merhaba,

USB disklerin (aslında taşınabilir bellekler) kullanımının engellenmesi işletmelerde sıkça gerek duyulan bir durumdur. Çünkü USB diskler, veri hırsızlığı yapmak için kullanılabilecek araçların başında geliyor. (kapasite, fiziksel boyut, kullanım kolaylığı) Bunun önüne geçmek için third-party yazılımlar mevcut ancak Windows üzerinde yapacağımız birkaç küçük değişiklik ile bu programlara gerek duymadan da bu işi halledebiliyoruz. Hem de tamamen engellemek yerine sadece okunabilir olacak şekilde. Yani kullanıcılar USB disk içine başka bilgisayardan atılmış verileri okuyabilecek ve alabilecekler. Ama kullanıcı, bilgisayarları üzerinden hiçbir veriyi USB diske atamayacak.

Bildiğiniz gibi en sık kullanılan yöntemlerden birisi USB depolama aygıtlarının çalışmasını tamamen engellemek. Bunu aşağıdaki adımları takip ederek yapabiliyoruz.

Başlat/ çalıştır/ regedit

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR”  anahtarı altındaki “Start” değerini “4” olarak değiştiriyoruz ve makinemizi Restart ediyoruz.

Bu değişiklikten sonra bilgisayara takılan hiçbir USB Disk çalışmıyor, ancak diğer tüm USB aygıtlar çalışmaya devam ediyor. (Klavye, Mouse, Webcam, yazıcı, vs..) Bu yöntem ile USB portu asla tamamen kapatmış olmuyoruz. (Bu değerin Regedit altında olması için bilgisayara en az bir kez USB Disk takılmış olması gerekiyor. Veya bu değeri bizim oluşturmamız gerekiyor.) (Değer tekrar “3” yapılarak işlem geri alınabiliyor.)

Şimdi esas konuya gelirsek; USB Disk kısıtlamak için daha şık ve kullanışlı bir yöntem var. Bu yöntemde Takılan USB Diskler çalışıyor, içindeki veriler okunabiliyor ancak USB Disk içerisine veri yazılamıyor. Böylece daha esnek bir yapı kurmuş oluyoruz ve güvenlikten de kısmen ödün vermemiş oluyoruz. Aşağıdaki adımları takip edelim.

Başlat/ Çalıştır/ Regedit

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Control” anahtarı altında “StorageDevicePolicies” anahtarını yaratıyoruz. (Dikkat edin değer değil, anahtar)

Yarattığımız bu anahtar altında, değeri “1” olan “WriteProtect” isimli bir DWORD girdisi  yaratıyoruz.

Hepsi bu. Artık bilgisayara takılan USB Disk aygıtları ReadOnly durumda çalışıyor ve içerisine veri yazılmasına izin verilmiyor. Herhangi bir veri yazmak istediğimizde aşağıdaki uyarıyı alıyoruz.

Kısıtlanmış USB Disk

Yarattığımız anahtar silinerek işlem geri alınabiliyor.

Ayrıca her iki yöntemi de GPO ile (Administrative Templates kullanarak) Domain ortamına kolayca uygulayabiliyoruz.

Yazı Etiketleri: , ,

Sayfa Başı ▲

Yorumlar (7)

  1. codegon

    Yazınız günlük hayatta karşımıza çıkan bir sorunun kolayca halledilmesini sağlıyor.Öncelikle paylaşımınız için teşekkürler.Bende bu adreste alıntı gösterek paylaştım.Bilgilerinize

  2. eyüp çelik

    serhat akıncı; öncelikle verdiğin emekler için tşk. ederim siten gerçekten dolu dolu ve çok hoş

    benim şöyle bi sorum olacak

    dediğin gibi usbler için read olayı etkinleştirildi ve write olayı kapatıldı aslında bi yerde güvenlikten ödün veriyormuşuz gibime geliyor

    neden diye sorucak olursan

    kullanıcıların pc lerini bu şekilde ayarladıktan sonra o pc yi kullanan arkadaş regedit yedeğini almışsa yedeği geri yükler ve düzeltir sistemi ya da usb belleğin içerisine bu makaleyi atıp okuyup uygulayarak açabilir :))

  3. Serhat AKINCI

    Merhaba Eyüp bey.

    Kullanıcıların registry ayarlarını değiştirebiliyor olması, zaten başlı başına bir güvenlik açığıdır ve çok daha ciddi sorunlar doğurabilir.

    Ağımızdaki kullanıcılar “User” yetkisinde çalışıyor olmalıki bu tip değişiklikler yapamasınlar.

    Eğer kullanıcılarımız administrator yetkisinde ise, zaten yapacak birşey yok. Her şekilde, hertürlü kısıtlamayı aşabilirler.

  4. ahmet solbas

    merhaba uzun bı sure once yazmıssınız ama benım sormak ıstedıgım bırsey var bu ayarları yaparsak kendı bılgısayarımızda ısı halledıyoruz ama benım aradıgım sey flash dıskı taktıgım hıc bır bılgısayarda ıcıne verı atamasın ya da sılemesın.. bu ayarları kod yardımıyla taktıgımız her pcde ayarlama sansım var mı ??

  5. Serhat AKINCI

    Bunu bir script haline getirip her bilgisayarda çalıştırabilirsiniz.

  6. Erdal

    Merhaba Serhat Bey Xp Geçerli Bu yöntem ama windows 7 için nasıl bir yöntem izleyebiliriz.

  7. erdem

    Serhat bey merhaba,

    Ben bunu script yada batch dosyası haline getirip kullanıcıların bilgisayarlarına yüklemek istiyorum. Gpo’da yetkim yok o yüzden bu işlemi manuel yapmak zorundayım.

    Bunun için bir örneğiniz var mı ?

Yorum Ekle