Taşınabilir depolama aygıtları günlük işlerimizde büyük kolaylıklar sağlamasının yanında tüm bilgisayarların artık daha güvensiz olmasına neden olmuştur. USB flash diskler sunduğu yüksek depolama kapasitesi ve yüksek veri transfer hızları sayesinde şahıs ve kurum bilgilerinizin fark edilmeden çalınmasına neden olabileceği gibi zararlı ya da başka türlü istenmeyen yazılımların sisteme aktarılmasına imkan tanımaktadır. Üstelik bu aygıtlar Windows işletim sistemi tarafından otomatik olarak tanınmakta ve ayrı bir sürücüye gerek kalmadan işletim sistemi tarafından kullanıma açılmaktadır.
Bu durumda çözüm doğal olarak tüm harici portları iptal etmektir. Fakat tüm portları yasaklamak çözüm değildir. Çünkü taşınabilir aygıtların bazı meşru kullanım alanları vardır. Ayrıca klavye, Mouse ve yazıcılar artık USB portlar üzerinden bilgisayarlara bağlanmaktadır. Uygulanacak olan yasak tüm bu kullanımı meşru olan aygıtları da olumsuz etkileyecektir.
Artık günümüzde sistem yöneticilerinin sadece portları açıp/kapamalarını değil, her bir kullanıcı ya da kullanıcı gruplarının portlara ve aygıtlara erişim şekillerini kontrol edebilmelerine imkan sağlayan 3. Party yazılımlar mevcuttur. GFI EndPointSecurity de bu yazılımlardan biridir.
Programı aşağıdaki linkten indirebilirsiniz.
https://www.gfi.com/endpointsecurity
Varsayılan olarak GFI EndPointSecurity’nin tam fonksiyonel olarak 10 günlük bir deneme süresi vardır. Eğer İndirme işlemi için ilgili formu eksiksiz ve doğru olarak doldurduğunuzda indirme linki ve lisans anahtarı size e-posta ile gönderilir. Bu lisans anahtarı ile kurulum yaptığınızda 30 günlük deneme süresi verilir.
Nasıl Çalışır?
GFI EndPointSecurity erişim kontrolü için kullanıcı bilgisayarı üzerine bir küçük agent yükler. Kullanıcının bilgisayarında olduğunun farkında olmayacağı bu agent’in boyutu 1.2MB’dır. Bu agent sadece birkaç tıklama ile yüzlerce bilgisayarlara dağıtılabilir. Yükleme tamamlandıktan sonra Active Directory ortamında bir kullanıcı oturum açtığında agent farklı portlar ve aygıtlar için uygun izin ayarlarını sorgular. Atanan izinler doğrultusunda erişimi sağlar veya engeller.
NEDEN GFI ENDPOINTSECURITY?
- Fiziksel bağlantı noktasına göre protection policy oluşturabilirsiniz.
- Aygıt türüne göre protection policy oluşturabilirsiniz.
- Dosya türlerine göre protection policy oluşturabilirsiniz.
- Aygıt seri numarasına göre protection policy oluşturabilirsiniz.
- White list ile belirli aygıtlara kullanım izni verebilirsiniz.
- Black list ile belirli aygıtlara yasak koyabilirsiniz.
- Temporary unlock ile geçici kullanım policy oluşturabilirsiniz.
- Power user ile kısıtlamaya tabi olmayan kullanıcılar tanımlayabilirsiniz.
SİSTEM GEREKSİNİMLERİ
Donanım gereksinimleri
İşlemci à 2GHz İşlemci hızı
RAM à 512 MB (en az), 1GB (önerilen)
Sabit disk à Kullanılabilir alan 100MB
Yazılım gereksinimleri
İşletim sistemi à Windows 2000(SP4), XP, 2003, Vista ve 2008 (X86 ve X64 sürümleri)
Internet Explorer –> 5.5 veya üstü
.NET framework à 2.0 veya üstü
Veritabanı à SQL Server 2000, 2005, veya 2008
Bağlantı noktası à TCP bağlantı noktası (varsayılan port numarası 1116 )
NOT: Güvenlik duvarları ayarlarından ilgili port bağlantısına izin verilmelidir.
AGENT SİSTEM GEREKSİNİMLERİ
Donanım gereksinimleri
İşlemci à 1GHz İşlemci hızı
RAM à 256 MB (en az), 512MB (önerilen)
Sabit disk à Kullanılabilir alan 50MB
Yazılım gereksinimleri
İşletim sistemi à Windows 2000(SP4), XP, 2003, Vista ve 2008 (X86 ve X64 sürümleri)
DESTEKLENEN CİHAZ BAĞLANTI PORTLARI
DESTEKLENEN AYGITLAR
KURULUM İŞLEMİ
Program kurulumunda bizi ilgilendiren tek bir bölüm olduğu için o bölüme değinip kurulumu geçiyorum ;
GFI Endpointsecurity logger servisini çalıştırmak için gerekli olan Domain administrator hesap ismini ve şifresini girerek Next düğmesine tıklayın.
Kurulum işlemi bittikten sonra Launch GFI EndPointSecurity seçerek Finish düğmesine tıklayın Kurulum sonlanacak ve program çalışacaktır.
Karşınıza Quick Start ekranı gelecektir. Varsayılan olarak programı her çalıştırdığınızda sürekli karşınıza gelir. Temel operasyonel parametrelerin ayarlanmasında size yardımcı olur. Biz tüm konfigürasyonu yönetim konsolundan yapacağız. Bu yüzden programı her başlattığımızda Quick Start ekranının karşımıza gelmemesi için Show this dialog the next time GFI EndPointSecurity is started onay kutusunun işaretini kaldırarak Start düğmesine tıklıyoruz.
Quick Start ekranında aşağıdaki işlemler yapılır;
· Configure Users Groups à Aygıt ve bağlantı portlarının daha kolay yönetimi için domain kullanıcı grupları yaratır.
· Configure Backend Database à Olay günlüklerinin kaydının tutulacağı SQL Server veritabanı tanımlaması yapılır.
· Configure Alerting Options à Yetkisiz aygıt ya da bağlantı portu erişimlerinde sistem yöneticisine uyarıların nasıl gönderileceği ayarlanır. Uyarılar Email, network ya da SMS üzerinden gönderilebilir.
- GFI EndPointSecurity administrator account details à Yönetici hesabı özellikleri tanımlanır.
- Configure Protection Policies à Koruma politikaları oluşturulur.
Karşımıza GFI EndPointSecurity yönetim konsolu gelecektir.
1. Status : GFI EndPointSecurity ve cihaz erişim konusunda istatistiki bilgi durumunu görmek için bu sekmeyi kullanılır.
2. Configuration : Varsayılan koruma politikalarına erişmek ve yapılandırmak için kullanılır.
3. Protection Policies : Bilgisayarlara koruma politikaları eklemek ve yapılandırmak için kullanılır.
4. Options : Genel uyarı ve veritabanı parametrelerini ayarlamak için kullanılır.
5. Sol bölüm : GFI EndPointSecurity tarafından sağlanan ek yapılandırma seçenekleri arasında dolaşmak için kullanılır.
6. Tools : Olay günlüklerini görmek ve tarayıcı kullanarak ağ üzerindeki bilgisayarlarda aygıt taramaları yapmak için kullanılır.
7. General : Ürünün sürümünü, güncellemeleri ve lisans ayrıntılarını kontrol etmek için kullanılır.
8. Sağ bölüm : Yapılandırma işlemleri için gerekli seçenekleri seçmek için kullanılır.ullanılır. bilgisayarlarda n kullanılır.
KULLANIM: GFI EndPointSecurity kullanımını değişik örnek senaryolar üzerinde inceleyelim. Domain ortamında her biri 30 adet bilgisayara sahip 10 adet bilgisayar dershanesi olduğunu düşünelim. Bu dershane bilgisayarlarında aşağıdaki kriterleri yerine getirmek istiyoruz;
SENARYO-1: Bu dershanelerde ders gören öğrenciler kendi hesaplarıyla oturum açtıklarında hiçbir şekilde bilgisayarlardaki portlara erişememeli ve getirdikleri aygıtları bilgisayarlara bağlayarak kullanamamalıdır.
ÇÖZÜM-1 :
1. İlk olarak yeni policy oluşturmak için Create new protection policy linkine tıklayın.
2. Blank protection policy seçerek Next düğmesine tıklayın.
3. Policy’e isim vererek Finish düğmesine tıklayın.
4. Bilgisayar dershaneleri adında policy oluşmuş olur.
5. Policy uygulanacak olan bilgisayarları eklemek için Add computers to this policy linkine tıklayın.
6. Select düğmesine tıklayın.
7. Eklemek istediğiniz bilgisayarları seçerek OK düğmesine tıklayın.
8. Finish düğmesine basarak bilgisayar ekleme işlemini tamamlayın.
9. Policy uygulanacak olan bilgisayarlar eklenmiş olur. Fakat bu bilgisayarlara daha herhangi bir protection uygulanmamıştır.
10. Bilgisayar dershaneleri policy de Security’i seçerek Add permission linkine tıklayın.
11. Öğrencilerin USB portları kullanmasını engellemek için port bazında ayar yapmak gerekmektedir. Bu nedenle Connectivity ports’u seçerek Next düğmesine tıklayın.
12. USB portu seçerek Next düğmesine tıklayın.
13. Add düğmesini kullanarak permission uygulanacak olan kullanıcı / grubu seçin ve Finish düğmesine tıklayın. Biz örnek senaryomuzda domain ortamında ogrenciler adında bir grup oluşturarak tüm öğrenci kullanıcılarını bu gruba üye yaptık.
14. Security bölümüne ilgili kullanıcı grubu eklenmiş olur. Şu anda dikkat edilirse USB portu için Access/Read hakkı vardır. Yani öğrenciler USB portu kullanabilir. Bu yüzden USB portu kullanmalarını engellemek için kutu içindeki onay işareti kaldırılır.
15. Buraya kadar policy uygulanacak olan bilgisayarlar ve gruplar eklenmiş oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin.
16. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bizim yaptığımız konfigürasyona göre artık öğrenciler hangi bilgisayardan logon olurlarsa olsunlar USB portlarını kullanamayacaklardır.
17. Agents durumunu görmek için Status à Agents seçerek hangi bilgisayarlarda agents’ın kurulu olduğunu görebilirsiniz.
18. Artık ogrenci grubuna üye olan kullanıcılar istemci bilgisayarlardan logon olduklarında USB portları hiçbir şekilde kullanamayacaktır.
DEFAULT PROTECTION POLICY:
Eğer sisteminizde her port ve aygıt için tek tek izin ayarlamakla uğraşmak yerine tüm kullanıcılar için tüm port ve aygıt erişimlerini yasaklamak istiyorsanız default protection policy kullanabilirsiniz. Bunun için;
1. Protection policy oluşturduktan sonra (madde 1-4) oluşturduğunuz protection policy de computers’i seçin. Add computers linki üzerine tıklayarak protection policy uygulanacak olan bilgisayar(lar) ekleyin.
2. Daha sonra security altında herhangi bir permission tanımlamadan direkt olarak policy’i deploy edin.
3. Deploy işlemi tamamlandıktan sonra bilgisayarlarda tüm domain ve yerel kullanıcılar için (yerel ve domain administrator dahil) port ve aygıt erişimleri engellenmiş olur.
Uygulamalarda isterseniz önce tüm port ve aygıtları default protection policy kullanarak yasaklayıp daha sonra istediğiniz port ve aygıtlar için kullanıcı bazında okuma / yazma/ tam erişim izinleri verebilirsiniz.
Ayrıca yeni bir porotection policy oluşturmadan programda hazır olarak gelen protection policy’leri de kullanabilirsiniz. Sisteminizdekii sunucuları servers, istemcileri Workstations ve dizüstü bilgisayarları laptops policiyleri altına ekleyip erişim izinleri yapılandırabilirsiniz.
SENARYO-2: Bu dershanelerde ders gören öğrenciler kendi hesaplarıyla oturum açtıklarında hiçbir şekilde bilgisayarlardaki disket ve CD/DVD sürücüleri kullanamamalıdır.
ÇÖZÜM- 2 :
1. Bilgisayar dershaneleri policy de Security’i seçerek Add permission linkine tıklayın.
2. Öğrencilerin disket ve CD/DVD sürücüleri kullanmasını engellemek için aygıt bazında ayar yapmak gerekmektedir. Bu nedenle Device categories seçerek Next düğmesine tıklayın.
3. Floopy Disks ve CD/DVD aygıtlarını seçerek Next düğmesine tıklayın.
4. Add düğmesini kullanarak permission uygulanacak olan ogrenciler grubunu seçin Access/Read ve Write onay kutularındaki onayları kaldırarak Finish düğmesine tıklayın.
5. Buraya kadar policy uygulanacak olan grup eklenmiş oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin
6. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bizim yaptığımız konfigürasyona göre artık öğrenciler hangi bilgisayardan logon olurlarsa olsunlar disket ve CD/DVD sürücüleri kullanamazlar.
SENARYO-3: Bu dershanelerde derse giren öğretmenler ise bilgisayarlarda kendi hesaplarıyla oturum açtıklarında derslerine ait dökümanlarını sadece USB flash disk kullanarak bilgisayarlara atabilmelidir.
ÇÖZÜM- 3 :
1. İlk olarak domain ortamında ogretmenler adında bir grup oluşturarak tüm öğretmen kullanıcılarını bu gruba üye yaptık. Daha sonra Bilgisayar dershaneleri policy de Security’i seçerek Add permission linkine tıklayın.
2. Öğretmenlerin USB portları kullanmasını sağlamak için port bazında ayar yapmak gerekmektedir. Bu nedenle Connectivity ports’u seçerek Next düğmesine tıklayın.
3. USB portu seçerek Next düğmesine tıklayın.
4. Add düğmesini kullanarak permission uygulanacak olan ogretmenler grubunu seçin ve Finish düğmesine tıklayın.
5. Security bölümüne ilgili kullanıcı grubu eklenmiş olur. Dikkat edilirse USB portu için Access/Read hakkı vardır. Yani öğretmenler USB portu kullanabilir.
6. Buraya kadar policy uygulanacak olan grup eklenmiş oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin
7. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur.
8. Bizim yaptığımız konfigürasyona göre artık öğrenciler hangi bilgisayardan logon olurlarsa olsunlar USB portlarını kullanamazken, öğretmenler ise hangi bilgisayardan logon olurlarsa olsunlar USB portları kullanabilecektir.
Öğretmen kullanıcısı
Öğretmen kullanıcısı izini
Öğrenci kullanıcısı
Öğrenci kullanıcısı izini
SENARYO-4: Öğretmenlerin USB flash disklerindeki sadece Word, Excel veya Powerpoint dosyalarının kullanımına izin (veya yasak) verilmesi gerekmektedir.
ÇÖZÜM- 4 :
1. Bilgisayar dershaneleri policy de File Control bölümü altında yer alan File-type filter linki üzerine tıklayın.
2. Açılan Fitler penceresinde Block all files but allow the usage of the following files type seçeneğini işaretleyin. Daha sonra Add düğmesine tıklayın.
Allow all files but block the usage of the following files type à Kullanıcının USB aygıtında, bizim belirlediğimiz dosyaların çalıştırılmasını engellerken diğer tüm dosyaların çalıştırılmasını sağlamak için kullanılır.
Block all files but allow the usage of the following files type à Kullanıcının USB aygıtında, bizim belirlediğimiz dosyaların çalıştırılmasına izin verirken diğer tüm dosyaların çalıştırılmasını engellemek için kullanılır.
3. File Type bölümünde çalıştırılmasına izin verilecek olan dosyanın uzantısını yazın ya da açılır liste kutusunundan dosya uzantısını seçin. Add düğmesine basarak bu uzantıya sahip dosyaları çalıştırmasına izin verilecek kullanıcı/grubu seçin. Biz senaryomuzda öğretmenlerin doc uzantılı dosyaları çalıştırmasına izin vermek istediğimizden ogretmenler grubunu ekledik. Grup seçimini yaptıktan sonra OK düğmesine tıklayın.
4. Yukarıdaki işlemleri tekrar ederek (madde 2-3) xls ve ppt uzantılı dosyaları ogretmenler grubunun çalıştırması için ekleyin ve OK düğmesine basın.
5. Buraya kadar file type filter uygulanacak olan grup eklenmiş oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin.
6. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bu aşamadan sonra öğretmen kullanıcıları USB flash disklerindeki doc, xls ve ppt uzantılı dosyaları çalıştırabilirken, diğer dosyaları çalıştırmak istediğinde aşağıdaki gibi erişim izinlerinin olmadığına dair hata mesajları alacaklardır.
SENARYO- 5: Ayrıca bilgisayarlarda USB klavye, Mouse ve USB porttan bağlanan yazıcılar kullanılmaktadır. Öğrencilere USB kısıtlaması getirirken klavye, Mouse ve yazıcılar kısıtlamaya tabi olmamalıdır.
ÇÖZÜM- 5 :
1. Bu işlemi yapabilmek için izin verilecek aygıtlara ait bilgilere sahip olmamız gerekir. Bu noktada GFI EndPointSecurity bize kolaylık sağlamaktadır. Programda Tools menüsüne gelin Scan Target alanına izin vereceğiniz aygıtların bağlı olduğu bilgisayarın adını yazarak Scan düğmesine tıklayın. Bir süre sonra bu bilgisayarda kullanılan tüm aygıtlara ait bilgiler Device list bölümünde görülecektir. İzin vereceğiniz aygıt üzerinde sağ tuşa basarak açılan kısayol menüsünden Add to devices database seçin. Böylece aygıta ait tüm bilgiler veritabanına eklenmiş olur.
2. Bilgisayar dershaneleri policy de Security bölümü altında yer alan Devices WhiteList linki üzerine tıklayın.
3. Açılan White list penceresinde Add düğmesine tıklayın.
4. Select Devices penceresinde daha önce veritabanına kaydedilen aygıtlara ait bilgiler görülecektir. Burada izin vereceğiniz aygıtlar önündeki onay kutularını işaretleyerek Next düğmesine tıklayın. Eğer veritabanına kayıtlı aygıtınız yoksa Add New Device düğmesini kullanarak kendinizde tanımlama yapabilirsiniz. Fakat bu işlem için aygıtın üretici bilgileri ve seri numarası gibi bilgilere önceden sahip olmanız gerekir.
5. Select device serial penceresinde aygıt seri numaraları ile ilgili iki seçenek gelir.
Only selected serials à Bu seçenek seçilirse bu bilgisayarda sadece tanımlanan seri numaralı aygıtlar çalışacaktır. İleride bu aygıtlardan biri arızalanıp başka bir aygıt takılırsa yeni takılan aygıt kullanılamayacaktır çünkü seri numarası izin verilen numarayla birbirini tutmayacaktır.
All serial à Bu seçenek seçilirse bu bilgisayarda seri numarası ne olursa olsun tanımlanan aygıtlar çalışacaktır. İleride bu aygıtlardan biri arızalanıp başka bir aygıt takılırsa seri numarası önemli olmadığı için yeni takılan aygıt kullanılabilecektir.
All serials seçerek Finish düğmesine tıklayın.
6. Artık White list’e bizim aygıtlarımız eklenmiş olur. OK düğmesine tıklayarak işlemi sonlandırın.
7.Buraya kadar kullanımına izin verilecek olan belirli bir markaya ait aygıtlar tanımlanmış oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin.
8. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bu işlemlerden sonra bilgisayarlara USB porttan bağlı olan klavye ve mouse kullanılırken, başka bir USB aygıt bağlandığında kullanılamayacaktır.
SENARYO-6: Öğretmenler USB flash disk kullanabilseler dahi belirli bir markaya ait büyük kapasiteli USB flash disklerin kullanımı engellenmelidir.
ÇÖZÜM- 6 :
1. Bu işlemi yapabilmek için Kullanımı yasaklanacak olan aygıtlara ait bilgilere sahip olmamız gerekir. Bu noktada GFI EndPointSecurity bize kolaylık sağlamaktadır. Programda Tools menüsüne gelin Scan Target alanına izin vereceğiniz aygıtların bağlı olduğu bilgisayarın adını yazarak Scan düğmesine tıklayın. Bir süre sonra bu bilgisayarda kullanılan tüm aygıtlara ait bilgiler Device list bölümünde görülecektir. Kullanımını yasaklayacağınız aygıt üzerinde sağ tuşa basarak açılan kısayol menüsünden Add to devices database seçin. Böylece aygıta ait tüm bilgiler veritabanına eklenmiş olur.
2. Bilgisayar dershaneleri policy de Security bölümü altında yer alan Devices BlackList linki üzerine tıklayın.
3. Açılan Black list penceresinde Add düğmesine tıklayın.
4. Select Devices penceresinde daha önce veritabanına kaydedilen aygıtlara ait bilgiler görülecektir. Burada kullanımını yasaklayacağınız aygıt önündeki onay kutularını işaretleyerek Next düğmesine tıklayın. Eğer veritabanına kayıtlı aygıtınız yoksa Add New Device düğmesini kullanarak kendinizde tanımlama yapabilirsiniz. Fakat bu işlem için aygıtın üretici bilgileri ve seri numarası gibi bilgilere önceden sahip olmanız gerekir.
5. Select device serial penceresinde aygıt seri numaraları ile ilgili iki seçenek gelir. Bunlardan
Only selected serials à Bu seçenek seçilirse bu bilgisayarda sadece tanımlanan seri numaralı aygıt yasaklanacaktır
All serial à Bu seçenek seçilirse bu bilgisayarda aynı markanın değişik seri numaralı aygıtı yasaklanacaktır..
All serials seçerek Finish düğmesine tıklayın
6. Artık Black list’e bizim aygıtlarımız eklenmiş olur. OK düğmesine tıklayarak işlemi sonlandırın.
7. Buraya kadar kullanımı yasaklanacak olan belirli bir markaya ait aygıt tanımlanmış oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin.
8. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bu aşamadan sonra USB flash disk kullanımı serbest olan öğretmen kullanıcıları Black list’e eklenen markaya ait USB flash disklerini kullanamayacaktır.Fakat farklı markaya ait flash disklerini kullanabileceklerdir.
SENARYO-7: Masaüstü destek uzmanı bilgisayarlarda sorun giderirken uygulanan kısıtlamalara tabi olmadan tüm aygıtları kullanabilmelidir.
ÇÖZÜM- 7 :
1. Bilgisayar dershaneleri policy de Security bölümü altında yer alan Power users linki üzerine tıklayın
2. Açılan Power users penceresinde Add düğmesine tıklayın.
3. Power users grubuna üye yapılacak olan kullanıcıyı ekledikten sonra OK düğmesine tıklayın.
4. Buraya kadar power users grubuna üye olacak kullanıcı tanımlanmış oldu. Fakat yapılan policy’nin istemci bilgisayarlarda çalışabilmesi için deploy edilmesi gerekmektedir. Bunun için deploy edilecek bilgisayarlar seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin
5. Policy ilgili bilgisayara deploy edilir. Deploy işlemi başarıyla sonuçlanırsa o bilgisayarda artık policy etkin olur. Bu aşamadan sonra Power users grubuna üye yapılan kullanıcı tüm bilgisayarlarda herhangi bir kısıtlamaya tabi olmadan aygıtları kullanabilir.
SENARYO-8: Bazı aygıt ve portlara kullanıcılar için geçici erişim izni verilebilmelidir.
ÇÖZÜM- 8 :
1. Kullanıcılara geçici erişim izni vermek için ilk olarak kullanıcının bilgisayarında denetim masası içinde bulunan Device Temporary Access aracını çalıştırması gerekir.
2. Kullanıcı bu aracı çalıştırdığında bir Request code üretilir. Bu kod siz sistem yöneticisine e-mail, SMS veya diğer yollarla iletilmelidir. Burada kullanıcının dikkat etmesi gereken nokta bu pencerenin kapanmaması gerekir. Çünkü kullanıcı sistem yöneticisi tarafından üretilen ve kendisine bildirilen Unlock code buraya yazacaktır. Bu araç her çalıştırmada farklı request code üreteceğinden sistem yöneticisi tarafından size iletilen unlock code uyum sağlamayacak işlemleri yeniden yapmak zorunda kalacaksınız.
3. Bilgisayar dershaneleri policy de Temporary Access bölümü altında yer alan Grant temporary access linki üzerine tıklayın.
4. Açılan Request code penceresinde kullanıcıdan size bildirilen Request code yazın ve Next düğmesine tıklayın.
5. Devices categories and connections penceresinde geçici olarak kullanımına izin vereceğiniz aygıt yada portları seçin. Biz senaryomuzda geçici olarak USB portlarının kullanımına izin vereceğimizden sadece connection ports bölümünde USB onay kutusunu işaretleyip Next düğmesine tıkladık.
6. Açılan Time restrictions penceresinde geçici kullanımın hangi tarihte ve ne kadar süre ile yapılacağını belirtip Next düğmesine tıklayın.
7. Açılan Unlock code penceresindeki kodu kullanıcıya ileterek işlemi sonuçlandırmak için Finish düğmesine tıklayın.
8. Bu aşamadan sonra kullanıcı Unlock kodunu ilgili pencerede yazarak Unlock düğmesine tıkladığında geçici kullanım haklarına sahip olur.
9. Artık kullanıcı 30 dakika süre ile o bilgisayardaki USB portunu kullanabilir.
Süre bitiminde aygıt takılı duruyor olsa bile erişime izin verilmez.
GFI ENDPOINTSECURITY AYGIT KORUMA POLİTİKASI KONTROL SIRALAMASI
Bir aygıt bir bilgisayara bağlandığında GFI EndPointSecurity izinlerin uygulanmasında aşağıdaki öncelik sırasını kontrol eder.
- Kullanıcı Power User grubunda olup olmadığını kontrol eder
- Aygıtın White list’te tanımlı olup olmadığını kontrol eder.
- Aygıtın Black List’te tanımlı olup olmadığını kontrol eder.
- Kullanıcı için aygıt kullanımına geçici izin verilip verilmediğini kontrol eder
- Kullanıcı için aygıt kullanımına izinlerini kontrol eder.
- Dosya türü filtrelemesi olup olmadığını kontrol eder.
İZİNLER İÇİN ÖNCELİK TANIMLAMASI:
GFI EndPointSecurity de izinlerin öncelik sırasını değiştirebilirsiniz. Bunu bir uygulama üzerinde inceleyelim.
1. Bilgisayar dershaneleri protection policy de öğrenciler grubuna USB portu için block access CD/DVD aygıtı için ise full Access izinleri verilmiş olsun. USB portu için priority değeri 1, CD/DVD aygıtı için ise priority değeri 2 olsun.
2. Bu durumda öğrenci grubuna üye olan bir kullanıcı oturum açıp USB portuna bir flash disk taktığında erişim engellenir. CD/DVD aygıtı için full Access izini olmasına rağmen USB portu üzerinden bağlanan harici CD/DVD aygıtı içinde erişim engellenecektir. Çünkü USB port priority’si birinci önceliklidir ve USB port erişimi blokludur.
USB porta takılan flash disk erişimi engellenir.
USB portu üzerinden bağlanan harici CD/DVD aygıtı içinde erişim engellenir.
3. Eğer siz kullanıcının USB port üzerinden bağlanan harici CD/DVD aygıtı kullanıp, flash diskleri kullanmamasını istiyorsanız port ve aygıt priority değerlerini değiştirmeniz gerekir. Bunun için CD/DVD aygıtı üzerinde sağ tuşa basarak açılan kısayol menüsünden Increase priority seçin.
4. Böylece CD/DVD aygıtı priority değeri 1, USB port değeri 2 olur.
5. Yeni yapılan priority düzenlemesine göre öğrenci grubuna üye bir kullanıcı USB flash disk kullanmak istediğinde erişim engellenecek, fakat USB portu üzerinden bağlanan harici CD/DVD aygıta erişim sağlanacaktır. Çünkü CD/DVD aygıtı priority’si birinci önceliklidir ve full Access izni vardır.
USB porta takılan flash disk erişimi engellenir
USB portu üzerinden bağlanan harici CD/DVD aygıta erişim sağlanır.
PROTECTION POLICIY’I KALDIRMA:
1. Policy uygulanan bilgisayarlarda uygulanmış olan bir portection policy’i kaldırmak için hedef bilgisayarlarda bulunan GFI EndPointSecurity Agent’in kaldırılması gerekir.
2. Bunun için daha önce oluşturduğumuz portection policy’e gelerek Computers altında bulunan hedef bilgisayar ismi üzerinde sağ tuşa tıklayarak açılan kısayol menüsünden Delete computer(s) seçin. Bu işlemden sonra bilgisayar ismi önündeki ikon mavi renkten kırmızı renge dönüşecektir.
3. Bu işlemden sonra Agent’in kaldırılması için değişikliğin hedef bilgisayara deploy edilmesi gerekmektedir. Deploy edilecek bilgisayar(lar) seçildikten sonra mouse’nin sağ tuşuna basarak açılan kısayol menüsünden Deployement à Deploy selected agent(s) seçin.
4. Artık hedef bilgisayardaki protection policy uninstall edilmiş olur.
5. Permission’ ları silmek için ilgili protection policy’de Security bölümüne gelin ve silinecek permission üzerinde sağ tuşa basarak açılan kısayol menüsünden Delete permission’u seçin.
6. Son olarak protection policy’i silmek için silinecek olan policy üzerinde sağ tuşa basarak açılan kısayol menüsünden Delete seçin.
NOT: Eğer hedef bilgisayarlarda daha önce oluşturulmuş policy’i kaldırmadan (madde 2 ve 3 işlemlerini uygulamadan) direkt olarak protection policy’i delete ile silerseniz hedef bilgisayarlarda policy ayarları uygulanmaya devam edilir. Bu nedenle yukarıdaki işlem sırasına dikkat edilmesi gerekir.
Buraya kadar örnek senaryo üzerinde GFI EndPointSecurity kullanımı hakkında bilgi verdik. Siz kurumunuzda aşağıdaki adımları takip ederek sıfırdan kendi protection polic’lerinizi oluşturabilirsiniz.
- Taşınabilir aygıtları yapılandırın.
- Bağlantı portlarını yapılandırın.
- Power user kullanıcılarını yapılandırın.
- Aygıt erişim izinlerini yapılandırın.
- Bağlantı noktası erişim izinlerini yapılandırın.
- Belirli bir cihaz için erişim izinlerini yapılandırın.
- İzinler için öncelikleri yapılandırın.
- Black list oluşturun.
- White list oluşturun.
- Temporary Access izinleri oluşturun.
- File type filter oluşturun.
Bir sonraki makalemde görüşmek üzere.
İlker ATAY
