USB Diskler ReadOnly Kullanılsın
Merhaba,
USB disklerin (aslında taşınabilir bellekler) kullanımının engellenmesi işletmelerde sıkça gerek duyulan bir durumdur. Çünkü USB diskler, veri hırsızlığı yapmak için kullanılabilecek araçların başında geliyor. (kapasite, fiziksel boyut, kullanım kolaylığı) Bunun önüne geçmek için third-party yazılımlar mevcut ancak Windows üzerinde yapacağımız birkaç küçük değişiklik ile bu programlara gerek duymadan da bu işi halledebiliyoruz. Hem de tamamen engellemek yerine sadece okunabilir olacak şekilde. Yani kullanıcılar USB disk içine başka bilgisayardan atılmış verileri okuyabilecek ve alabilecekler. Ama kullanıcı, bilgisayarları üzerinden hiçbir veriyi USB diske atamayacak.
Bildiğiniz gibi en sık kullanılan yöntemlerden birisi USB depolama aygıtlarının çalışmasını tamamen engellemek. Bunu aşağıdaki adımları takip ederek yapabiliyoruz.
Başlat/ çalıştır/ regedit
“HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR” anahtarı altındaki “Start” değerini “4” olarak değiştiriyoruz ve makinemizi Restart ediyoruz.
Bu değişiklikten sonra bilgisayara takılan hiçbir USB Disk çalışmıyor, ancak diğer tüm USB aygıtlar çalışmaya devam ediyor. (Klavye, Mouse, Webcam, yazıcı, vs..) Bu yöntem ile USB portu asla tamamen kapatmış olmuyoruz. (Bu değerin Regedit altında olması için bilgisayara en az bir kez USB Disk takılmış olması gerekiyor. Veya bu değeri bizim oluşturmamız gerekiyor.) (Değer tekrar “3” yapılarak işlem geri alınabiliyor.)
Şimdi esas konuya gelirsek; USB Disk kısıtlamak için daha şık ve kullanışlı bir yöntem var. Bu yöntemde Takılan USB Diskler çalışıyor, içindeki veriler okunabiliyor ancak USB Disk içerisine veri yazılamıyor. Böylece daha esnek bir yapı kurmuş oluyoruz ve güvenlikten de kısmen ödün vermemiş oluyoruz. Aşağıdaki adımları takip edelim.
Başlat/ Çalıştır/ Regedit
“HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Control” anahtarı altında “StorageDevicePolicies” anahtarını yaratıyoruz. (Dikkat edin değer değil, anahtar)
Yarattığımız bu anahtar altında, değeri “1” olan “WriteProtect” isimli bir DWORD girdisi yaratıyoruz.
Hepsi bu. Artık bilgisayara takılan USB Disk aygıtları ReadOnly durumda çalışıyor ve içerisine veri yazılmasına izin verilmiyor. Herhangi bir veri yazmak istediğimizde aşağıdaki uyarıyı alıyoruz.
Yarattığımız anahtar silinerek işlem geri alınabiliyor.
Ayrıca her iki yöntemi de GPO ile (Administrative Templates kullanarak) Domain ortamına kolayca uygulayabiliyoruz.
Yazı Etiketleri: GPO , Windows Server 2003 , Windows XP
Aşağıdakiler de İlgini Çekebilir
- • Remote Desktop Services CVE-2019-0708 ve Etki Kapsamı
- • Windows’lar için Time Zone DST Güncellemesi ve 30 Ekim 2016 Tarihine Kadar Yapılması Gerekenler
- • Windows Server 2016 Sürümleri, Lisanslama, Özellikler
- • Windows 25 Ekim Sabahı 1 Saat Gerideyse Yapılması Gerekenler
- • Get-DstInfo | Windows Yaz Saati Uygulaması için Kontrol Aracı
Bölümler
Blog'u Takip Et
12.05.2008 - 14:11
Yazınız günlük hayatta karşımıza çıkan bir sorunun kolayca halledilmesini sağlıyor.Öncelikle paylaşımınız için teşekkürler.Bende bu adreste alıntı gösterek paylaştım.Bilgilerinize
10.06.2008 - 12:52
serhat akıncı; öncelikle verdiğin emekler için tşk. ederim siten gerçekten dolu dolu ve çok hoş
benim şöyle bi sorum olacak
dediğin gibi usbler için read olayı etkinleştirildi ve write olayı kapatıldı aslında bi yerde güvenlikten ödün veriyormuşuz gibime geliyor
neden diye sorucak olursan
kullanıcıların pc lerini bu şekilde ayarladıktan sonra o pc yi kullanan arkadaş regedit yedeğini almışsa yedeği geri yükler ve düzeltir sistemi ya da usb belleğin içerisine bu makaleyi atıp okuyup uygulayarak açabilir :))
10.06.2008 - 16:24
Merhaba Eyüp bey.
Kullanıcıların registry ayarlarını değiştirebiliyor olması, zaten başlı başına bir güvenlik açığıdır ve çok daha ciddi sorunlar doğurabilir.
Ağımızdaki kullanıcılar “User” yetkisinde çalışıyor olmalıki bu tip değişiklikler yapamasınlar.
Eğer kullanıcılarımız administrator yetkisinde ise, zaten yapacak birşey yok. Her şekilde, hertürlü kısıtlamayı aşabilirler.
03.08.2011 - 11:50
merhaba uzun bı sure once yazmıssınız ama benım sormak ıstedıgım bırsey var bu ayarları yaparsak kendı bılgısayarımızda ısı halledıyoruz ama benım aradıgım sey flash dıskı taktıgım hıc bır bılgısayarda ıcıne verı atamasın ya da sılemesın.. bu ayarları kod yardımıyla taktıgımız her pcde ayarlama sansım var mı ??
04.08.2011 - 09:28
Bunu bir script haline getirip her bilgisayarda çalıştırabilirsiniz.
18.08.2012 - 10:35
Merhaba Serhat Bey Xp Geçerli Bu yöntem ama windows 7 için nasıl bir yöntem izleyebiliriz.
23.12.2016 - 11:08
Serhat bey merhaba,
Ben bunu script yada batch dosyası haline getirip kullanıcıların bilgisayarlarına yüklemek istiyorum. Gpo’da yetkim yok o yüzden bu işlemi manuel yapmak zorundayım.
Bunun için bir örneğiniz var mı ?