Group Policy Objeleri (GPO) ile Yazılım Yasaklama

Bu makalemizde Group Policy Objeleri (GPO) ile Yazılım Yasaklama nasıl yapılır bu konuyu işleyeceğiz. Belirli bir yazılımın yasaklanması için Windows Server üzerinde bu policy uygulanarak programın çalışması engellenir.

Group Policy Objeleri (GPO) ile Yazılım Yasaklama

Group Policy İçerisine giriyoruz

Software Restriction Policy; Kullanıcıların masaüstü ortamını düzenlemek için kullanılabilecek uygulamalardan biridir. Bu şekilde belirlenmiş uygulamaların çalışmamasını veya sadece belirli bir programın kullanılabilmesini sağlamak mümkündür. Yazılım yasaklama işlemleri Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies ayralarının altından yapılmaktadır.

Software Restriction Policies üzerinde sağ tıklanır ve New Software Restriction Policy seçilir. Bu işlemle birlikte yeni bir yazılım sınırlandırma ilkesi oluşturulmuş olur.Bu adımdan sonra karşımıza aşağıdaki gibi bir sayfa gelir.

Software Restriction Policy üzerinde varsayılan olarak iki farklı güvenlik seviyesi yer almaktadır. Bunlar Unrestricted (sınırsız) ve Disallowed(sınırlı) olarak adlandırılır. Burada tanımlanan ayar, sistem üzerinde varsayılan olarak kullanılacaktır. Bu tanımlanan ayarlara istisna tanımlanarak yazılım kısıtlaması uygulanır. Tanımlanan bu istisnalar kural olarak dört farklı biçimde tanımlanabilir.

1- Hash Rule : Yazılımın veri bütünlüğünün korunup korunmadığını dosyanın sonunda yeralan CRC bilgisine göre kontrol eder. Bütünlüğü bozulmuş dosyaların çalıştırılmasını engeller.

2- Certificate Rule : Üreticisi onaylanmayan yazılımların çalıştırılmasını engeller.

3- Path Rule : Belirli bir klasör içerisinde yer alan bir programın çalıştırılmasını engeller.

4- Internet Zone Rule : Belirli bir internet explorer güvenlik bölgesinde yer alan uygulamaların çalıştırılmasını engeller.

Yeni bir kural oluşturmak için Software Restriction Policy üzerinde Additional Rules aktifken sağ tıklayarak açılan menüden istediğimiz kuralı seçiyoruz. Path Rule seçeneğini seçerek örneğimize devam edelim.

Bu adım sonrasında karşımıza gelen New Path Rule sayfasında çalıştırılmasını istemediğimiz programın yolunu, verilmek istenen izni ve istersek birde açıklama yazabiliriz. İzni çalıştırılabilir yapmak için Unresticred (sınırsız) yada Disallowed (sınırlı) olarak seçebiliriz.

İşlemleri bitirip onayladıktan sonra oluşturulan policy Additional Rules altında görülecektir.

Server 2008 Domain ve Forest Function Level Yükseltilmesi

Domain ve Forest Function Level’ı kontrol edelim. Active Directory User and Computer ekranında domain üzerine sağ tıklayarak Properties seçeneğini seçelim. Açılan properties sayfasının General tabında Domain ve Forest Function Level’ı görebiliriz.

Yükseltme işlemini  Active Directory Domains and Trusts sayfasından yapabiliriz.

                Domain Function Level’ı Yükseltmek için; domain ismi üzerinde sağ tıklanır ve Raise Domain Function Level seçeneği seçilir.

Karşımıza gelen ekranda istenilen seviye seçilir ve Raise butonuna basılarak yükseltme işlemi yapılır.

Forest Function Level’ı Yükseltmek için; forest ismi üzerinde sağ tıklanır ve Raise Forest Function Level seçeneği seçilir.

Yine karşımıza gelen ekranda istenilen seviye seçilir ve Raise butonuna basılarak yükseltme işlemi yapılır.

Not: Forest function level’i arttrırabilmek için Forest içindeki bütün Domainlerin Function Level’lerini arttırıp, bütün Domain Controller’ların replikasyon ile bu bundan haberdar olduğundan emin olduktan sonra Forest Function Level’i arttırmak mümkündür. Ayrıca en önemli nokta Domain ve Forest Function Level’ler bir kez yükseltildimi bir daha düşürmek mümkün değildir.

Active Directory Üzerinde Komut ile User ve OU Oluşturma

Active Directory üzerinde komut ile user yada ou oluşturmamız gereken spesifik durumlar olabilir. Örn server core üzerinde bunu yapmamız gerekebilir.

Komut ile Ou oluşturma ;

örneğimizde aliortul.net domaininde IT isimli bir ou yaratıyoruz.

dsadd ou ou=IT (ou ya verilecek isim),dc=aliortu (domain ismi)l,dc=net(domain uzantısı)

(Başarılı olduğunda bu uyarı gelir ) dsadd succeeded:ou=IT,dc=aliortul,dc=net

 eğer bir ou nun altında bir ou yaratacaksak önce yaratacağımız alt ou yu ardından üstteki ounun adını girmemiz gerekiyor.

Komut ile User Oluşturma ;

Aşağıdaki örneğimizde ise it ousu içinde aliortul.net domaininde kullanıcı adı ali olan it ousu içinde aliortul.net domaininde ilk adı ali ikinci adı gül ve parolası 12345 olan bir kullanıcı yarattık.

dsadd user cn=ali(kullanıcı adı),ou=it(ou ismi ),dc=alirtul (dc ismi),dc=net(dc uzantısı) -fn ali (first name) –ln (last name) gül –pwd(oluşturulacak password) 12345

kullandığımız -fn -ln -pwd  active directory içindeki bir user ‘ın alanında bulunan bilgi parametrelerinin kod karşılığıdır. bunu genişletebiliriz. eğer bu bilgileri girmez sadece kullanıcı adını yazarsak user gene oluşturulur fakar parola v.b bilgisi olmadığından disable olarak gelir.

daha fazla parametre ve dsmove,dsget,dsquery,dsmod  için komut satırına dsadd /help yazabilirsiniz.