DLP Device Control Manager ile Domain harici, WorkGroup Makinalarına yetkiler atamak…
McAfee DLP’de Device Control Manager Modülü ile engellemeler yaparlen bazı durumlarda ikilem yaşana biliyor. Tıpkı Domainde olan makinalara uygulanacak politikalarla WorkGroup olan bilgisayar yada sunuculara uygulanacak politilar gibi.
Bildiğiniz gibi Device Control Manger tarafında Device Rules ve Device Definitions’da oluşturulan kurallar ve politikalar User Assigntment tarafında yetkilendiriliyor. Ancak Domain tarafında kullanıcılar LDAP sorgusu ile seçilip yetkilendirme yada engel atana bilirken, WorkGroup makinalar için sadece “Add Local User” seçeneği mevcut.
Şayet Tüm WorkGroup Makinaları engelleyecek yada izinli olarak atayacaksanız sorun yok. Ancak bazılarına farklı yetkiler vermeniz gerekiyorsa. Bu iş yatar J
Örneğin 100 WorkGroup makinam var. Bunlardan belli başlı olanlarına USB Disk okuma, başkabir kısmına USB Disk Yazma ve okuma bir kısmında CD rom okuma yetkisi vermek istiyorum. Bu ayarları DLP üzerinden User Assigntment menüsünden Add Local User diyerek yapmak mümkün değil.
Peki böyle bir ihtiyaca nasıl çözüm bulabiliriz? Cevap basit. AD de olan makine ve kullanıcılarınıza DLP üzerinden yetki ve engel koymaya devam edin. Ancak bu yetki ve engellere “Add Local User” ı dahil etmeyin. “Device Rules” a WorkGroup makinalarını için ayrı birer rule oluşturun.
Ancak oluşturduğunuz bu Rule lere User Assigntment oluşturmayın yada oluşmuş bir User Assigntment’a ekleme yapmayın. Kurallarını oluşturduktan sonra McAfee ePO dan “Policy Catalog” menüsünü seçin. Policy catalog tan Data Loss Prevention’u seçin. Atamalar ve ayarları “McAfee Default Computers Assignment Group” tan yapacağız. Bu sebeple, oluşturacağınız kural sayısı kadar Dublicate seçeneği ile Politikayı çoğaltın.
Ardından oluşturduğunuz politikanın içine girerek. DLP de “Device Rules” ta girdiğimiz kriterler dahilinde seçimlerinizi yapın.
Bu işlemlerin ardından McAfee ePO’dan “System Tree” menüsünü seçin. System Tree den en kökü seçin “My Organization” Ençok hangi politka yaygın olacaksa Bura o policy i atayın.
Ardından özel izinli olmasını istediğiniz makinalara giderek bireysel yada SubGroup seçimi ile veya Tag tanımı yaparak istediğini gibi politika atamaları dilediğini makinaya yapabilirsiniz.
Ümit GÖRÜR
Dağıtık Sistemler Departmanı | Sistem Mühendisi 1
Ugorur@anadolubank.com.tr | www.anadolubank.com.tr
(212) 368 70 00
Bu e-posta ve muhtemel eklerinde verilen bilgiler kişiye özel ve gizli olup, yalnızca mesajda belirlenen alıcı ile ilgilidir.Bu mesajda bulunan tüm fikir ve görüşler ve ekindeki dosyalar sadece adres sahip(ler)ine ait olup, Anadolubank A.Ş. hiç bir şekilde sorumlu tutulamaz.Şirketimiz mesajın ve bilgilerinin size değişikliğe uğrayarak veya geç ulaşmasından, bütünlüğünün ve gizliliğinin korunamamasından, virüs içermesinden ve bilgisayar sisteminize verebileceği herhangi bir zarardan sorumlu tutulamaz.
This message and attachments are confidential and intended solely for the individual(s) stated in this message.This email is not intended to impose nor shall it be construed as imposing any legally binding obligation upon Anadolubank A.Ş. and/or any of its subsidiaries or associated companies. Neither Anadolubank A.Ş / nor any of its subsidiaries or associated companies gives any representation or warranty as to the accuracy or completeness of the contents of this email. Anadolubank A.Ş shall not be held liable to any person resulting from the use of any information contained in this email and shall not be liable to any person who acts or omits to do anything in reliance upon it.
1 yorum:
Hocam Merhabalar, güzel bir anlatım olmuş, bu anlattığınız konu McAfee Full DLP içinde geçerlidir, workgroup için politikalar anlattığınız gibi yazılmakta, takip ettiğim bir sitede bu anlatımların ve Full DLP nin türkçe örneklerle anlatımmış bir videosu var isterseniz inceleyebilirsiniz.. http://www.gigasafe.net/mcafee-dlp/
Yorum Gönder