Taşınabilir diskler başlıca iki türlü risk barındırırlar:
1) Bilinmeyen bir taşınabilir diskin Kurumsal ağa takılması nedeniyle Kurum ağına zararlı içeriğin bulaşma ve yayılma riski vardır.
2)Kurumsal içeriklerin taşınabilir disklerde taşınması durumunda çalınma/kaybolma nedeniyle yetkisiz kişilerin eline verilerin geçmesi riskleri vardır.
Dolayısı ile Kurum ölçeğinde çalıştırılmasına izin verilen taşınabilir diskler belirlenerek bu disklerin dışındakiler engellenmeli ve izin verilen bu taşınabilir diskler kriptolanmalıdır.
Bu nedenle makalemizi iki bölümde inceleyeceğiz.
1) Sadece bağlantı yapmasına izin verilen harici disklerin belirlenmesi
İlk olarak sadece Kurum tarafından kullanıcılara dağıtımı yapılmış olan taşınabilir disklere erişim verip diğer tüm diskleri nasıl engelleyebileceğimizi görelim:
Kaspersky Security Center (KSC) 'yi açıyoruz ve bu kısıtlamayı hangi bilgisayarlar için yapacak isek o bilgisayarların bulunduğu grubun içerisindeki "Kaspersky Endpoint Security..." politikasına çift tıklayarak giriş yapıyoruz. Açılan pencerede "Device Control" bölümüne girip, "Types of devices" sekmesine geçiyoruz ve "Removable Drives" üzerinde iken sağ tuş yapıyor ve "Block" seçeneğini seçiyoruz. Bu sayede "varsayılan olarak" tüm taşınabilir diskleri bloklamış olacağız.
Device ID tespiti:
Bu diski bilgisayarımıza taktıktan sonra, "Denetim Masası"'na girip "Aygıt yöneticisi" ne geçtiğimizde bu cihazı göreceğiz (tak-çıkar işlemi ile cihazın bu olduğundan emin olabiliriz). Cihazın ayrıntılarına girip "Özellik" olarak "Aygıt Örneği Yolu" nu seçtiğimizde ise sadece bu cihaza özel "Device ID" yi görebilmekteyiz. Bu aşamada istersek sadece bu marka modeldeki belirli "Device ID" ye sahip taşınabilir diskler için de izin kuralı oluşturabiliriz (daha güvenli olur tabiki). Eğer öyle yapacak isek bu ekrandaki "Device ID" numaralarını not etmeliyiz.
Bu örneğimizde, Kinsgton DT 101 G2 modeline sahip tüm taşınabilir disklere izin verdiğimizi kabul edelim.
Device ID tespiti için alternatif metot ise; "Events" yani log bölümündeki "device disconnected" veya "device connected" loglarına bakmaktır. Bunun için önce "Kaspersky Endpoint Security" Politikasında ilgili olaylar aktif edilmeli, daha sonra ise "Administration Server" --> "Events" altındaki loglar gözlemlenmelidir:
Güvenilen (Trusted ) cihazların belirlenmesi:
KSC'ye tekrar giriş yapıyor ve bu sefer ilgili kuralın "Device Control" sekmesindeki "Trusted Devices" bölümüne tıklıyoruz. Açılan pencerede "Add" tıkladıktan sonra gelen menüden "Devices by ID Mask" seçiyoruz.
Gelen ekranda "Removable Drives" seçiyoruz ve "Refresh" yaptığımızda ortamımızda bulunan tüm taşınabilir diskler listeleniyor. Burada wildcard arama yapabiliriz.
"Mask" bölümüne *KINGSTON&PROD_DT_101_G2* yazıp altta adı "Kingston" ile başlayan satırı seçiyor ve "OK" tıklıyoruz:
Listemiz şu şekilde oluştu:
Eğer yukarıda bahsettiğimiz gibi sadece belirli "Device ID"lere sahip taşınabilir disklere izin vereceksek yani daha güvenli bir yapı istiyorsak bu sefere "Add" yaptıktan sonra gelen menüdeki "Device by ID" seçip burada listelenen cihazları teker teker seçmeliyiz (Hatırlarsanız Device ID'leri Aygıt Yöneticisi üzerinden tespit etmiş ve not etmiştik. Bkz. Device ID tespiti)
Böylece organizasyonumuz içerisinde sadece Kingston DT 101 G2 modelindeki taşınabilir disklere izin verdik diğerlerini ise engelledik. İzin verdiğimiz taşınabilir diskleri bilgisayara taktığımızda herhangi bir uyarı almayacak ve normal şekilde çalıştığını göreceğiz.
İzin verilmeyen bir harici disk takıldığında ise sağ alt köşede aşağıdaki pop-up uyarıyı göreceğiz:
Burada istersek, "Request temporary access" tıklayarak geçici olarak bu cihaza erişim sağlanması için Sistem yöneticisine key dosyası oluşturup iletebilir veya "Request access" tıklayarak sistem yöneticisine uyarı mesajı iletebiliriz. Bu detaylara şimdilik girmiyoruz.
Log (Kayıt) Takibi:
Peki engellenen usb cihazlarına ait logları nereden göreceğiz?
"Administration Server" altındaki "Event" sekmesine giriş yaptığımızda "Recent Events" seçersek "Operation with the device prohibited" başlığı altında bu logları görebileceğiz:
Yukarıdaki bölümde sadece belirli Marka/model taşınabilir diske izin verip diğer tüm harici diskleri nasıl engelleyebileceğimizi gördük. Şimdi güvenliği bir adım daha öteye taşıyarak izin verdiğimiz bu harici diskleri nasıl kriptolayabileceğimizi ve böylece yetkisiz kişilerden nasıl koruyabileceğimizi göreceğiz.
Taşınabilir diskler adları üzerinde taşınırlar yani sadece Kurum içerisinde değil evde, semirde vs. dış ortamlarda da üzerindeki verilerin okunabilir ve yazılabilir olması gerekir.
Öncelikle Kasperksy EndPoint Security uygulana paketimizin özelliklerine bakarak "Encryption of hard drives" seçeneğinin işaretli olduğunu kontrol ediyoruz. (eğer işaretli değilse işaretleyelim)
Daha sonra ilgili pakete sağ tuş yapıp "Create standalone installation package" tıklayarak bu özelliğin aktif olduğu "standalone" paketi yeniden oluşturalım.
Bu paketi ya uzaktan bilgisayarlarımıza kuracağız ya da "standalone" paketi indirip manuel olarak bilgisayarlarımıza kuracağız.
Kurulumdan sonra artık politika ayarlarımıza bakabiliriz.
Kuralı uygulayacağımız bilgisayarlar grubuna ait olan "Kaspersky endpoint security ...." politikasına çift tıklayarak giriyoruz ( Kurum içindeki bilgisayarlarda harici diske kopyalanan tüm dosyalar kriptolanması gerektiğinden bu politikayı tüm kurum bilgisayarlarını kapsayacak şekilde düzenlemeliyiz. Aksi halde sadece politikanın uygulandığı bilgisayarlarda kopyalanan dosyalar kriptolu diğerleri açık olur )
"Encryption of Removable Drives" bölümüne girip "Encrypt new files only" seçiyor ve yanındaki "Portable mode" seçeneğini işaretliyoruz.
Daha sonra "Common encryption settings" bölümüne giriyoruz. "Password Settings" e girdiğimizde ve "Portable File Manager" sekmesine geçtiğimizde aşağıdaki ayarları göreceğiz. Şifrenin karmaşıklığını ve kaç gün süreyle geçerli olacağını belirten ayarlar burada mevcut.
NOT:
Şifreler 30 gün sonra kullanıcılar tarafından değiştirilirse muhtemelen sistem yöneticileri yeni şifreden haberi olmayacak ve muhtemelen kullanıcılar da bu yeni şifreyi unutabileceklerinden, taşınabilir disk üzerindeki veriler erişilemez hale gelecektir. Bu nedenle mümkünse şifreyi değiştirmiyor ve sistem yöneticileri olarak şifreyi bir kenara not ediyoruz (kağıda yazıp bilgisayarımıza yapıştırmıyoruz tabiki 💀)
Politikayı "OK" deyip kaydedelim ve bilgisayarlarımıza uygulandığını KSC üzerinden gözlemleyelim.
Bilgisayarlara harici diskler takıldığında sağ alt köşede aşağıdaki pop-up görünecektir. "Encrypt files" seçeneğine tıklayalım:
Bizden şifre belirlememizi istiyor. Yukarda politika ayarlarında belirlediğimiz gibi en az 8 karakterden oluşan karışık şifremizi ard arda iki kez girmeliyiz:
(Bu şifreyi mümkünse sistem yöneticileri tüm cihazlarda aynı olacak şekilde girmeli veya aynı şifrenin girilmesini kullanıcılardan istemeliler. Ayrıca bu şifreyi de not almalılar)
Taşınabilir diskimize baktığımızda aşağıdaki dosyaları göreceğiz. Sistem yöneticilerinin pmv uygulamasına ait dosyayı bir defaya mahsus yedek almalarında fayda var. Harici diskimizin root yani ana dizinine dosyaları kopyaladığımızda artık dosyalar kriptolanacaktır.
Pmv adlı uygulamayı çift tıklarsak bizden şifre isteyecektir:
Şifreyi doğru girersek, açılan ekranda dosyamıza tıklayarak kriptolu dosyamızı açabileceğiz (örnekte: test file.txt) Bu dosyayı bir şekilde kriptosuz halini başka bir yere kopyalamk istersek "Decrypt files when copying" tıkladıktan sonra kopyalama işlemi yapmamız gerekir.
ÖNEMLİ NOT:
Harici diskimizin root yani ana dizinine dosyaları kopyaladığımızda artık dosyalar kriptolanacaktır. Burada dikkat edilmesi gereken husus; "Sadece Kaspersky endpoint security (KES) kurulu olan ve ilgili politikayı alabilen bilgisayarlarda harici diske doğru kopyalanan dosyalar kriptolanacaktır. Mesela evdeki veya dış ortamdaki herhangi bir bilgisayarda eğer KES kurulu değilse ve/veya politikayı almamış ise dış ortamdaki bilgisayarımızdan bu harici diske koymuş olduğumuz dosyalar kriptolu olmayacaktır. Eğer bu dosyaların da manuel olarak şifrelenmesini istiyorsak "pmv" uygulamasını açıp açılan pencere üzerinde ilgili dosyaya sağ tuş yaparak kriptolama işlemini yapmalıyız. Bu hususlar Kurum çalışanları ile mutlaka paylaşılmalıdır.
Umarım faydalı olmuştur.
Hiç yorum yok:
Yorum Gönder