Съдържание
Това ръководство съдържа инструкции стъпка по стъпка за това как да блокирате USB устройства за съхранение на данни в целия домейн или на определени потребители в домейна с помощта на групова политика в домейн AD 2016 или 2012. По-конкретно, след като прочетете инструкциите в това ръководство, ще научите как да предотвратите достъпа до всяко USB устройство за съхранение на данни (флаш памети, външни твърди дискове, смартфони, таблети и др.), което може да се свърже с някойкомпютър в домейна или да забраните достъпа до USB паметта само на определени потребители от домейна.
Днес много от нас използват USB устройство за съхранение, за да прехвърлят данни. За една организация обаче възможността служителите ѝ да използват външни устройства за съхранение може да съдържа рискове за сигурността, като например разпространение на зловреден софтуер или прихващане на поверителни данни. За да избегнете тези рискове, можете да прочетете следните инструкции, за да блокирате достъпа до USB устройства за съхранение на всички потребители и компютри във вашия домейн или до определенисамо за потребители от домейна, като използвате групова политика. *
Забележки:
1. В тази публикация за блокиране на USB устройства чрез групова политика използвахме контролер на домейна Active Directory 2016 за създаване на нова групова политика и работни станции с Windows 10 Pro и Windows 7 Pro за прилагането ѝ.
2. Политиката "Блокиране на USB достъпа" няма да засегне администраторите на домейни или други свързани USB устройства, като USB клавиатури, мишки, принтери и др.
3. След прилагане на груповата политика потребителите няма да имат достъп до никакъв вид USB устройство за съхранение и ще получават едно от следните съобщения за грешка при опит за достъп до USB устройство за съхранение на техния компютър.
Как да използвате груповата политика за предотвратяване на достъпа до USB устройства за съхранение (Server 2012/2012R2/2016)
- Част 1. Блокиране на достъпа до USB за четене/запис на всички потребители на домейна. Част 2. Блокиране на достъпа до USB за четене/запис на определени потребители на домейна.
Част 1. Как да блокирате достъпа до USB устройства за съхранение в целия домейн 2016.
За да забраните достъпа до всяко свързано USB устройство за съхранение на всеки компютър (потребител) в домейна:
1. В контролера на домейна на Server 2016 AD отворете Мениджър на сървъри и след това от Инструменти отворете менюто Управление на групови политики. *
Освен това отидете в Контролен панел -> Административни инструменти -> Управление на групови политики.
2. Под Домейни , изберете своя домейн и след това щракване с десния бутон на мишката в Политика на домейна по подразбиране и изберете Редактиране на .
3. В "Редактор за управление на групови политики" отидете до:
- Конфигурация на потребителя > Политики > Административни шаблони > Система > Достъп до преносимо хранилище
4. В десния прозорец щракнете два пъти върху: Сменяеми дискове: Отказ на достъп за четене. *
* Бележки:
1. Много от учебниците в този момент предлагат да Активиране на Всички класове за преносими устройства за съхранение: отказ на достъп но по време на тестовете открихме, че тази политика не се прилага (не работи) за смартфони и таблети.
2. Ако искате да блокирате достъпа до USB Write, изберете Сменяеми дискове: Откажете достъп за запис.
5. Проверете Разрешено и щракнете върху ДОБРЕ.
6. Затвори в редактора на груповата политика.
7. Рестартиране сървъра и клиентските машини или стартирайте gpupdate /force за да приложите новите настройки на груповата политика (без рестартиране) както за сървъра, така и за клиентите.
Част 2. Как да предотвратите достъпа до USB устройства за съхранение на определени потребители в домейна.
За да забраните достъпа до USB устройствата за съхранение само на определени потребители с помощта на групова политика, трябва да създадете група с потребители, които не искат да имат достъп до USB устройства за съхранение, и след това да приложите новата политика към тази група. За да направите това:
Стъпка 1. Създаване на група с потребителите с изключени USB устройства. *
Забележка: Ако вече сте създали група с деактивирани USB потребители, продължете към стъпка 2.
1. Отвори Active Directory Users and Computers.
2. Кликнете с десния бутон на мишката върху " Потребители " в левия прозорец и изберете Нов > Група
3. Въведете име за новата група (например "USB Disabled Users") и щракнете върху OK . *
Забележка: Оставете опциите "Глобално" и "Сигурност" маркирани.
4. Отворете новосъздадената група, изберете Членове и щракнете върху Добавяне на
5. Сега изберете потребителя(ите) на домейна, който(ито) искате да блокирате USB устройствата за съхранение, и щракнете върху ДОБРЕ.
6. Кликнете върху OK за затваряне на свойствата на групата.
Стъпка 2. Създайте нов обект на груповата политика, за да забраните USB устройствата за съхранение.
1. Отворете Управление на групови политики.
2. В обекта "Домейни" щракнете с десния бутон на мишката върху вашия домейн и изберете Създайте GPO в този домейн и го свържете тук.
3. Въведете име за новия GPO (например "USB Disabled") и щракнете върху ДОБРЕ.
4. Кликнете с десния бутон на мишката върху новия GPO и щракнете върху Редактиране.
5. В "Редактор за управление на групови политики" отидете до:
- Конфигурация на потребителя > Политики > Административни шаблони > Система > Достъп до преносимо хранилище
4. В десния прозорец щракнете два пъти върху: Сменяеми дискове: Откажете достъпа за четене. *
* Забележка:
1. Много от учебниците в този момент предлагат да Активиране на Всички класове за преносими устройства за съхранение: отказ на достъп но по време на тестовете открихме, че тази политика не се прилага (не работи) за смартфони и таблети.
2. Ако искате да блокирате достъпа до USB Write, изберете Сменяеми дискове: Откажете достъп за запис.
5. Проверете Разрешено и щракнете върху ДОБРЕ.
6. Затвори на Редактор за управление на груповата политика прозорец.
7. Върнете се в "Управление на груповата политика", изберете GPO "USB Disabled" и в раздела "Обхват" щракнете върху Добавяне на (в настройките "Филтриране на сигурността").
8. Въведете името на групата "USB disabled users" (напр. "USB Disabled Users" в тази публикация) и щракнете върху OK .
9. Когато приключите, изберете Делегация таб.
10. В раздела "Делегиране", изберете на Удостоверени потребители и щракнете върху Напреднали.
11 . В Опции за сигурност, изберете на Удостоверени потребители и премахнете отметката от на Прилагане на групова политика Когато приключите, щракнете върху ДОБРЕ.
6. Затвори в редактора на груповата политика.
7. Рестартиране сървъра и клиентските машини или стартирайте " gpupdate /force " (като администратор), за да приложите новите настройки на груповата политика (без рестартиране) както за сървъра, така и за клиентите.
Това е! Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за опита си. Моля, харесайте и споделете това ръководство, за да помогнете на другите.
Анди Дейвис
Блог на системен администратор за Windows
