Kuruluşların veri sızıntısını engellemek için Microsoft Active Directory Group Policy ile BitLocker kullanılarak usb harici diskleri kriptolu bir şekilde şifreleyip merkezi bir şekilde yönetebilirsiniz. 

Bu rehberde kuruluşunuzdaki tüm istemcilerin usb harici disklerini BitLocker ile şifrelemeye zorlayacağız, yani bitlocker ile şifrelenmemiş harici diskler kullanıcılarınız tarafından kullanılamayacak bu sayede çalınma, kaybolma ve yetkisiz erişimleri engellenerek veri güvenliğini sağlayacağız.

USB harici diskleri şifrelemeye zorlarken bu şifreleri kullanıcının unutma riskine karşı kurtarma anahtarlarını merkezi bir alanda depolanmasını sağlamak için AD DS’den yararlanacağız. 

1. Özelik (Features) Kurulumu

Active Directory’de bilgisayarların BitLocker kurtarma anahtar bilgilerini görüntüleyebilmek için Bitlocker Drive Encyption Administration Utiliy özelliğinin kurulumunu yapmamız gerekmektedir.

BitLocker kurtarma anahtarı özelliğini yüklemek için sırasıyla aşağıdaki adımları uygulayınız.

Server Manager / Add roles and features / Features / Remote Server Administration Tools

BitLocker Drive Encryption Administratoration Utilities

  • BitLocker Drive Drive Encryption Tools
  • BitLocker Recovery Password Viewer

2. GPO İşlemleri

Uygulamak istediğiniz bilgisayar grubu (OU) için yeni bir gpo oluşturalım. (BitLockerRD adında olabilir) Ardından sırasıyla; Computer Configuration / Administrative Templates / Windows Components / Bitlocker Drive Encryption / Removable Data Drives bölümünü açıyoruz. Açılan ekrandaki 5 adet kural üzerinde düzenleme yapacağız. 

1. Control use of Bitlocker on removable drivers; bu kural usb harici disklerinizin üzerinde BitLocker kullanımını denetleyecektir.

Allow users to apply BitLocker protection on removable data drives (Kullanıcıların harici sürücüler üzerinde BitLocker koruması uygulamasına izin verir.)

Allow users to suspend and decrypt BitLocker protection on removable data drives (Kullanıcıların harici sürücüler üzerinde BitLocker korunmasını askıya almasına ve şifre çözmesine izin verir.)

2. Deny write access to removable drivers not protected by Bitlocker; Bu kural BitLocker ile korunmayan çıkarılabilir sürücülere salt okunur yetkisi verir yani disk üzerine yazma yetkisini kullanıcının elinden alır.

Do not allow write access to devices configured in another organization kutucuğunu seçerseniz başka bir kuruluş tarafından yapılandırılmış cihazlara izin vermez.

3. Enforce drive encyption type on removable data drivers; bu kural harici diskleri şifrelemeye zorlar.

Full encryption; BitLocker açıldığında sürücünün tamamının şifrelenmesi için kullanılır.

Used Space Only encryption; BitLocker açıldığında şifreli verilerin depolanmasında kullanılan sürücünün yalnızca bir bölümünün kullanılması için kullanılır.

4. Configure use of passwords for removable data drives; bu kural parola kullanımını yapılandırır. Bu kuralda 3 seçenek bulunuyor. 

Allow password complexity – Karmaşık parola kullanımına izin verir.

Do not allow password complexity – Karmaşık parola kullanımını engeller.

Require password complexity – Karmaşık parola kullanımını zorlar.

Bu kural için bu rehberde Allow password complexity seçeneği ile devam ediyoruz.

5. Choose how BitLocker-protected removable drives can be recoverd; Bu kural en önemli kuraldır çünkü kuruluşunuzdaki BitLocker ile şifrelenmiş tüm harici disklerin kurtarma seçeneğini ayarlar.

Kuralı Enabled moduna getirdikten sonra Do not enable BitLocker until recovery information is stored to AD DS for removable data dirves kutucuğunu aktif hale getirmelisiniz. Bu seçenek kurtarma anahtarını AD DS’ne kaydetmeden şifrelemeye başlamaz. Bu sayede kullanıcı cihaza verdiği parolayı unutsa bile kurtarma anahtarı sayesinde verileri kurtarmanıza yardımcı olur.

Kullanıcı tarafından şifrelenmiş bir harici cihazın kurtarma anahtarına erişebilmek için Active Directory Users and Computers‘dan kullanıcı bilgisayar özelliklerinden BitLockler Recovery sekmesinden öğrenebilirsiniz.

Hepsi bu kadar umarım yardımcı olmuştur. Bir sonraki bölümde görüşmek üzere…

Kaynak; Bilişim Notları / Microsoft

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Reklamları bizde sevmiyoruz fakat Bilişim Notları’nın devamlılığını sağlaması için
reklam gelirlerine ihtiyacı vardır.

Lütfen Adblock eklentisi üzerinden bilisimnotlari.com adresini whitelist’e ekleyiniz.