Taşınabilir Aygıtların Kullanılmasını Yasaklamak

Şirket güvenliği için sistemlerde bulunan bilgilerinin taşınabilir bir aygıtla başka sistemlerde kullnılmasını istemeyebilirsiniz. Bu işlemi bir kaç ayrı yoldan yapabilirsiniz. Örneğin tüm sistemlerde ayrı ayrı USB girişleri ve Cd-rom kullanımlarını BIOS’dan disable hale getirebilirsiniz. Ancak bu net bir çözüm sağlayamayacaktır. Çünkü USB girişleri kapatmak diğer usb aygıtlarında kullanımını engeleyecektir. Ayrıca tüm sistemlerin başına giderek bu işlemi yapmak fazladan iş yükü getirecektir.
Bu aşamada sistem yöneticilerinin yapması gereken bu işlemi group policy ile nasıl yapılacağını düşünmek olacaktır. Gruop policy içersinde default da bu şekilde bir ayar bulunmuyor. Bu işlem için bir adm file oluşturularak group policy içersine import edilmesi gerekiyor. Yapılacak işlemleri şu şekilde olmalıdır.
Aşağıdaki scripti bir text dosyası içersine yapıştırın ve bu dosyayı .adm uzantılı olacak kayıt edin
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME “SYSTEM\CurrentControlSet\Services\USBSTOR”
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME “Start”
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME “SYSTEM\CurrentControlSet\Services\Cdrom”
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME “Start”
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME “SYSTEM\CurrentControlSet\Services\Flpydisk”
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME “Start”
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME “SYSTEM\CurrentControlSet\Services\Sfloppy”
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME “Start”
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category=”Custom Policy Settings”
categoryname=”Restrict Drives”
policynameusb=”Disable USB”
policynamecd=”Disable CD-ROM”
policynameflpy=”Disable Floppy”
policynamels120=”Disable High Capacity Floppy”
explaintextusb=”Disables the computers USB ports by disabling the usbstor.sys driver”
explaintextcd=”Disables the computers CD-ROM Drive by disabling the cdrom.sys driver”
explaintextflpy=”Disables the computers Floppy Drive by disabling the flpydisk.sys driver”
explaintextls120=”Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver”
labeltextusb=”Disable USB Ports”
labeltextcd=”Disable CD-ROM Drive”
labeltextflpy=”Disable Floppy Drive”
labeltextls120=”Disable High Capacity Floppy Drive”
Enabled=”Enabled”
Disabled=”Disabled”

Adm uzantılı olarak kayıt ettiğiniz bu dosyayı group policye import etmek için group policy management konsolunu çalıştırdıktan sonra
Computer configuration altında administrator templates’e sağ tıklayın ve add/remove templates seçeneğini seçerek kayıt ettiğimiz adm file’ gösterin ve listeye ekleyin.

Sonrasında gruop policy altında aşağıdaki custom group policy olarak yeni bir policy seçeneği oluşacaktır.

Bu bölümde Restrict Drivers olarak gelen policy karşılı boş olarak görebilirsiniz bu aşamada yapılması gereken işlem sağ taraftaki panelde sağ tıklayın ve view seçeneği altında filtering seçeneğine tıklayın.

Gelen bölüm içersinde “Only show policy settings that can be fully managed” seçeneğinin yanındaki işareti kaldırmanız ve ok butonuna nasmanız yeterli olacaktır. Sonrasında kullanılmasını istemediğiniz aygıtları Restrict Drivers altında görebilirsiniz.

Bu bölümden ilgili policy’i enable ettikten sonra sistemi policy etkin hale gelecektir ve sisteminizde bu aygıtların kullanımını yasaklamış olacaksınız.
Kaynak : http://support.microsoft.com/kb/555324