Indholdsfortegnelse
Denne vejledning indeholder trinvise instruktioner om, hvordan du blokerer USB-lagerenheder på hele domænet eller på specifikke domænebrugere ved hjælp af gruppepolitik i et AD-domæne 2016 eller 2012. Mere specifikt vil du efter at have læst vejledningen i denne vejledning lære at forhindre adgang til enhver USB-lagerenhed (flashdrev, eksterne harddiske, smartphones, tablets osv.), der kan oprette forbindelse til enhvercomputer i domænet, eller nægt USB-lagringsadgang kun for bestemte domænebrugere.
I dag bruger mange af os en USB-lagerenhed til at overføre data. For en organisation kan det imidlertid indebære sikkerhedsrisici, at medarbejderne kan bruge eksterne lagerenheder, f.eks. ved at sprede malware eller opsnappe følsomme data. For at undgå disse risici kan du læse følgende vejledning for at blokere adgangen til USB-lagerenheder for alle brugere og computere i dit domæne eller for vissekun domænebrugere ved hjælp af gruppepolitik. *
Bemærkninger:
1. I dette indlæg, for at blokere USB-drev via gruppepolitik, brugte vi en Active Directory 2016-domænecontroller til at oprette den nye gruppepolitik og Windows 10 Pro- og Windows 7 Pro-arbejdsstationer til at anvende den.
2. Politikken "Blokér USB-adgang" påvirker ikke domæneadministratorerne eller andre tilsluttede USB-enheder, f.eks. USB-tastaturer, mus, printere osv.
3. Når gruppepolitikken er anvendt, har brugerne ikke adgang til nogen form for USB-lagerenhed, og de får en af følgende fejlmeddelelser, når de forsøger at få adgang til en USB-lagerenhed på deres pc.
Sådan bruges Gruppepolitik til at forhindre adgang til USB-lagerenheder (Server 2012/2012R2/2016)
- Del 1. Blokér USB-læse-/skriveadgang for alle domænebrugere. Del 2. Blokér USB-læse-/skriveadgang for visse domænebrugere.
Del 1. Sådan blokeres adgangen til USB-lagerenheder på hele domænet 2016.
Sådan deaktiveres adgangen til enhver tilsluttet USB-lagerenhed for enhver computer (bruger) på domænet:
1. I Server 2016 AD-domænecontroller skal du åbne Serverchef og derefter fra Værktøj menuen, skal du åbne Styring af gruppepolitik. *
Derudover skal du navigere til Kontrolpanel -> Administrative værktøjer -> Styring af gruppepolitik.
2. Under Domæner , vælg dit domæne og derefter højreklik på Standarddomænepolitik og vælge Rediger .
3. Naviger til "Group Policy Management Editor" i "Group Policy Management Editor":
- Brugerkonfiguration > Politikker > Administrative skabeloner > System > Adgang til flytbar lagring
4. Dobbeltklik på i højre rude på: Flytbare diske: Afvis læseadgang. *
* Noter:
1. Mange tutorials foreslår på dette tidspunkt at Aktiver den ' Alle klasser af flytbare lagringsmedier: Afvis al adgang politik, men under vores test opdagede vi, at denne politik ikke gælder (virker) for smartphones eller tablets.
2. Hvis du vil blokere USB-skriveadgangen, skal du vælge Flytbare diske: Afviser skriveadgang.
5. Tjek Aktiveret og klik på OK.
6. Luk i redigeringsprogrammet for gruppepolitik.
7. Genstart serveren og klientmaskinerne, eller køre gpupdate /force for at anvende de nye gruppepolitikindstillinger (uden genstart) på både server og klienter.
Del 2. Sådan forhindrer du adgang til USB-lagerenheder for bestemte domænebrugere.
Hvis du kun vil deaktivere adgangen til USB-lagerenheder for bestemte brugere ved hjælp af en gruppepolitik, skal du oprette en gruppe med brugere, der ikke ønsker at få adgang til USB-lagerenheder, og derefter anvende den nye politik på denne gruppe. Sådan gør du det:
Trin 1. Opret en gruppe med de deaktiverede USB-brugere. *
Bemærk: Hvis du allerede har oprettet en gruppe med de deaktiverede USB-brugere, skal du fortsætte til trin 2.
1. Åbn Active Directory-brugere og computere.
2. Højreklik på " Brugere " i venstre rude, og vælg Ny > Gruppe
3. Skriv et navn til den nye gruppe (f.eks. "USB Disabled Users"), og klik på OK . *
Bemærk: Lad indstillingerne "Global" og "Sikkerhed" være markeret.
4. Åbn den nyoprettede gruppe, vælg den Medlemmer og klik på Tilføj
5. Vælg nu, hvilken(e) domænebruger(e) du vil blokere USB-oplagringsenhederne for, og klik derefter på OK.
6. Klik på OK for at lukke gruppeegenskaber.
Trin 2. Opret et nyt gruppepolitikobjekt for at deaktivere USB-lagerenheder.
1. Åbn den Styring af gruppepolitik.
2. Højreklik på dit domæne under objektet "Domæner", og vælg Opret et gruppepolitikobjekt i dette domæne, og link det her.
3. Skriv et navn til det nye gruppepolitikobjekt (f.eks. "USB Disabled" (USB deaktiveret)), og klik på OK.
4. Højreklik på det nye gruppepolitikobjekt, og klik på Rediger.
5. Naviger til "Group Policy Management Editor" i "Group Policy Management Editor":
- Brugerkonfiguration > Politikker > Administrative skabeloner > System > Adgang til flytbar lagring
4. Dobbeltklik på i højre rude på: Flytbare diske: Afviser læseadgang. *
* Bemærk:
1. Mange tutorials foreslår på dette tidspunkt at Aktiver den ' Alle klasser af flytbare lagringsmedier: Afvis al adgang politik, men under vores test opdagede vi, at denne politik ikke gælder (virker) for smartphones eller tablets.
2. Hvis du ønsker at blokere USB-skriveadgang, skal du vælge Flytbare diske: Afviser skriveadgang.
5. Tjek Aktiveret og klik på OK.
6. Luk Redaktør til administration af gruppepolitik vindue.
7. Gå tilbage til "Group Policy Management", vælg GPO'en "USB Disabled" og klik på fanen "Scope" på Tilføj knappen (under indstillingerne for "Sikkerhedsfiltrering").
8. Indtast navnet på gruppen "USB handicappede brugere" (f.eks. "USB handicappede brugere" i dette indlæg), og klik på OK .
9. Når du er færdig, skal du vælge den Delegation fanebladet.
10. Under fanen "Delegation", Vælg Autentificerede brugere og klik på Avanceret.
11 . ved Sikkerhedsindstillinger, Vælg Autentificerede brugere og fjerne markeringen af Anvend gruppepolitik afkrydsningsfeltet. Når du er færdig, skal du klikke på OK.
6. Luk i redigeringsprogrammet for gruppepolitik.
7. Genstart serveren og klientmaskinerne, eller kør " gpupdate /force "(som administrator) for at anvende de nye gruppepolitikindstillinger (uden genstart) på både server og klienter.
Lad mig vide, om denne guide har hjulpet dig ved at skrive en kommentar om dine erfaringer. Synes godt om og del denne guide for at hjælpe andre.
Andy Davis
En systemadministrators blog om Windows
