Windows Server 2008 üzerinde GPO ile Aygıt Yönetimi

Windows Server 2008 üzerinde aygıtlar üzerinde yönetimi sağlayabilmek için birden fazla policy ayarı bulabiliriz. Eskiden server 2003 üzerinde şablonlar ekleyerek bu ayarları aktif hale getirebiliyorduk. Fakat ws2008 ile birlikte hazır şablonlar önümüze sunulmuş durumda.

     İlgili policy’lere ulaşmak için aşağıdaki yolu izleriz.

Computer ConfigurationAdministrative TemplatesSystemDevice InstallationDevice Installation Restrictions.

Burada dikkat etmemiz gereken en önemli özellik policy ’lerin etkili olduğu işletim sistemleri. Yukarıda gördüğümüz aygıt yönetimi policy ’leri yalnızca Windows server 2008 ve Vista işletim sistemine sahip bilgisayarlar üzerinde etkilidir. İsterseniz buradaki policy ’leri ayrıntılı bir şekilde inceleyelim. Policy’leri tek tek tanıtmadan önce Windows Server 2008 üzerinde nasıl bir policy işleyişinin olduğunu kavramak için aşağıdaki diyagramı kullanabiliriz.

  Tüm işleyiş buradaki diyagrama göre uygulanmaktadır. Diyagramı daha iyi anlayabilmek için aygıtları yönetebildiğimiz policy’leri daha yakından inceleyelim.  

Allow Administrators to Override Device Installation Policy: Bu policy ’i aktif edersek Local Administrator grubunun üyeleri uyguladığımız policy’den hariç tutulacaktır.  Allow installation of devices using drivers that match these devices setup classes:Bu policy sayesinde aygıtları classlarına göre yani kategorilerine göre kısıtlayabiliriz.Bildiğimiz gibi aygıtlar belirli kategoriler altında bulunur.   Yukarıdaki resimde gördüğümüz gibi network adaptörleri monitörler modemler vb tüm aygıtlar burada class ‘larına göre sıralanmıştır.İşte ikinci group policy ayarımız burada devreye giriyor.Her bir aygıtın kendine ait özel bir GUID numarası vardır.İşletim sistemi de bu GUID numarasına bakarak aygıtın hangi class’a ait olduğuna ve üzerinde nasıl bir işlem uygulanacağına karar verir.İşte biz bu group policy aracılığı ile GUID leri kullanarak kısıtlama yapabiliriz.Tabi bunun için ilgili aygıtın GUID numarasına ulaşmamız lazım.Bunun için Device Manager’da ilgili aygıta sağ tıklayarak özellikler penceresine gireriz.Burada Details tabına geçeriz.Device Class Guid seçeneğini seçtiğimiz takdirde aygıtın Guid numarasına ulaşabiliriz.   Şimdi Group Policy ayarına geri dönelim.İkinci policy’e tıklayarak yapılandırma penceresine geçelim. 

 Ayarı “Enabled” yaptığımızda alt taraf aktif olacaktır.Buradaki Show butonuna bastığımız takdirde ilgili class için aygıtların yüklenmesine izin verebiliriz.Yani bu policy genel anlamda bir bloklama getirir.Sadece seçim yaptığımız class’lara yükleme izni verilir.   Resimde gördüğümüz gibi add butonuna basarak ilgili guid numarasını girerek aygıt class’ları belirleyebiliriz.Prevent installation of devices using drivers that match these devices setup classes:Bir önceki policy ayarında belirlenen class yeni kategoriler dışındaki aygıtların yüklenmemesini sağlamıştık.Bu policy’de ise tam tersi işlemini gerçekleştirebiliriz. Seçtiğimiz aygıt kategorilerinin yüklenmesine izin verilmeyecek,geri kalan aygıtlar izinli olacaktır. Display a custom message when installation is prevented by policy:Server 2008 ile gelen bir diğer güzel özellikte bu policy’de karşımıza çıkıyor.Eğer bir aygıtın yüklenmesini policy aracılığı ile engellediysek yükleme girişimi sırasında kullanıcıya belirlediğimiz bir mesajın görüntülenmesini sağlayabiliriz.   Allow Installation of Devices that Match any of these Device IDs: Önceki policy’lerde aygıtları GUID numarasına göre sınıflandırıp yasakladık yada izin verdik.Fakat GUID numarasının dışında bir aygıtı özelleştiren diğer bir özellikte aygıt ID’leri.Her bir aygıtın kendine ait ID’si bulunur.Bunu görüntülemek için Device Manager altında ilgili aygıta sağ tıklayarak properties penceresine gireriz.Ardından details tabına geçerek Hardware IDs seçeneğini seçerek ilgili aygıtın ID’sini görüntüleyebiliriz.   Yukarıda seçtiğimiz aygıtın ID’sini görüyoruz. Yalnız dikkat edersek birden fazla değer bulunuyor. Bunun nedeni ise bazı aygıtların kendi fiziksel sürücü ID’lerinin yanında logical (mantıksal) sürücülerinin de ID’lerinin listelenmesidir.Bu özellik genellikle ses kartlarında bulunur. Eğer biz ID numarasına göre izin verme yada kısıtlama yapacaksak tüm bu ID’leri listelememiz gerekmektedir. Bu sınırlamaları yapmak için ilgili group policy’ye tıklayarak konfigürasyon penceresine gireriz.   Bir önceki policy’de olduğu gibi Show butonuna basarak ilgili ID’leri seçeriz ve izin işlemini gerçekleştiririz.   Prevent Installation of Devices that Match these Device Ids : Bir önceki policy’de, seçtiğimiz aygıtlar dışındaki tüm aygıtların yüklenmesini engellemiştik.Bu policy’de ise ID ‘lerine göre seçtiğimiz aygıtları engelleriz ve diğer aygıtların yüklenmesine izin verebiliriz. Bu policy ile belirlediğimi kısıtlamarı aşmak isteyen bir kullanı olduğunda Windows uyarı mesajı ile karşılacaktır. 

Prevent Installation of Removable Devices:
Aslında makalenin başında bahsettiğimiz güvenlik anlamında bir adım önde olmak için kullanabileceğimiz bir yöntem.Bu policy sayesinde kullanıcıların bilgisayarlarında çıkarılabilinir diskleri kullanmalarını engelleyebiliriz.Bu bir USB cihazı da olabilir bir firewire cihazı da olabilir.

Prevent Installation of Devices Not Described By Other Policy Settings:
Bu policy’de ise bir önceki policy’lerde tanımladığımız aygıtların dışındaki kalan tüm cihazların yüklenmesini engelleyebiliriz.Örneğin ID ‘ye yada Guıd’e göre bazı kısıtlamaları yaptık.Ardından bu policy’yi aktif ettiğimizde kullanıcıların diğer aygıtları yüklemesini engellemiş oluruz.

İsterseniz bir örnekle bunu pekiştirelim.Bunun için yaratacağımız policy ile tüm kullanıcıların herhangi bir aygıt sürücüsü yüklemesini yada güncelleştirmesini engelleyelim.Fakat aynı zamanda local administrator’ların bu kısıtlamadan etkilenmemesini ve sürücü yükleme işlemini gerçekleştirebilmelerini sağlayalım.

İlk yapacağımız ayar Prevent Installation of Devices Not Described By Other Policy Settings policy’si üzerindedir.Bu policy’yi aktif ederek tüm kullanıcıları kısıtlayabiliriz.Sırasıyla ilgili policy’e tıklayarak konfigurasyon penceresini açarız.Policy Computer ConfigurationAdministrative TemplatesSystemDevice InstallationDevice Installation Restrictions dizini altındadır.

Bu kısımda “Enabled” ı seçerek policy’i aktif hale getiririz.
Bu dakikadan itibaren istemci makinalar üzerinde (işletim sistemlerinin vista yada server 2008 olması zorunludur) kullanıcılar herhangi bir aygıt yüklemesi gerçekleştiremezler.Şimdi yapmamız gereken ise administratorların bu ayardan etkilenmemesini sağlamak.Bunun için Allow Administrators to Override Device Installation Policies üzerine tıklayarak konfigurasyon penceresine gireriz.

Bu ekranda “Enabled” seçeneğini işaretleyerek policy’i aktif hale getirebiliriz. OK diyerek pencereyi kapatıp Group policy editor ekranına dönebiliriz.
Böylece administratorler dışındaki tüm kullanıcıların aygıt yükleme işlemini gerçekleştirmelerini engellemiş olduk.