Sisukord
See juhend sisaldab samm-sammult juhiseid, kuidas blokeerida USB-mäluseadmeid kogu domeeni või konkreetsete domeeni kasutajate jaoks, kasutades AD 2016 või 2012 domeeni grupipoliitikat. Täpsemalt, pärast selle juhendi juhiste lugemist saate teada, kuidas takistada juurdepääsu kõikidele USB-mäluseadmetele (mälupulgad, välised kõvakettad, nutitelefonid, tabletid jne), mis võivad ühenduda mis tahesdomeeni arvuti või keelata USB-mälu juurdepääs ainult teatud domeeni kasutajatele.
Tänapäeval kasutavad paljud meist andmete edastamiseks USB-mäluseadet. Organisatsiooni jaoks võib aga töötajate võimalus kasutada väliseid mäluseadmeid sisaldada turvariske, näiteks pahavara levikut või tundlike andmete pealtkuulamist. Nende riskide vältimiseks saate lugeda järgmisi juhiseid, et blokeerida juurdepääs USB-mäluseadmetele kõigile teie domeeni kasutajatele ja arvutitele või teatudainult domeeni kasutajad, kasutades grupipoliitikat. *
Märkused:
1. Selles postituses kasutasime USB-ketaste blokeerimiseks grupipoliitika kaudu uue grupipoliitika loomiseks Active Directory 2016 domeenikontorit ja selle rakendamiseks Windows 10 Pro & Windows 7 Pro tööjaamu.
2. Poliitika "Bloke USB Access" ei mõjuta domeeniadministraatoreid ega muid ühendatud USB-seadmeid, nagu USB-klaviatuurid, hiir, printer jne.
3. Pärast grupipoliitika rakendamist ei ole kasutajatel ligipääsu ühelegi USB-mäluseadmele ja nad saavad ühe järgmistest veateadetest, kui nad üritavad oma arvutis USB-mäluseadmele ligi pääseda.
Kuidas kasutada grupipoliitikat USB-mäluseadmetele juurdepääsu takistamiseks (Server 2012/2012R2/2016)
- Osa 1. Blokeeri USB-lugemis-/kirjutusjuurdepääs kõigile domeenikasutajatele. Osa 2. Blokeeri USB-lugemis-/kirjutusjuurdepääs teatud domeenikasutajatele.
Osa 1. Kuidas blokeerida juurdepääs USB-mäluseadmetele kogu domeenil 2016.
Et keelata domeeni mis tahes ühendatud USB-mäluseadme juurdepääs mis tahes arvutile (kasutajale):
1. Server 2016 AD domeenikontrolleris avage Server Manager ja seejärel alates Tööriistad menüü, avage menüü Grupipoliitika haldamine. *
Lisaks navigeerige aadressile Juhtpaneel -> Haldusvahendid -> Grupipoliitika haldamine.
2. Veebilehel Domeenid , valige oma domeen ja seejärel paremklikk aadressil Vaikimisi domeenipoliitika ja valida Muuda .
3. Navigeerige 'Grupipoliitika halduse redaktoris' aadressile:
- Kasutajakonfiguratsioon > Poliitikad > Haldusmallid > Süsteem > Eemaldatav salvestusruumi juurdepääs
4. Paremal paanil tehke topeltklõps aadressil: Eemaldatavad kettad: Keelata lugemisjuurdepääs. *
* Märkused:
1. Paljud õpetused soovitavad sel hetkel, et Lubage Kõik teisaldatavad salvestusklassid: Keelata igasugune juurdepääs poliitika, kuid meie testide käigus avastasime, et see poliitika ei kehti (ei tööta) nutitelefonide või tahvelarvutite puhul.
2. Kui soovite blokeerida USB-kirjutamise juurdepääsu, valige valik Eemaldatavad kettad: Keelata kirjutusjuurdepääs.
5. Vaata Lubatud ja klõpsake OKEI.
6. Sulge grupipoliitika redaktor.
7. Taaskäivitamine server ja kliendimasinad või käivitada programmi gpupdate /force käsk, et rakendada uusi grupipoliitika seadeid (ilma taaskäivitamiseta) nii serverile kui ka klientidele.
Osa 2. Kuidas takistada juurdepääsu USB-mäluseadmetele konkreetsete domeenikasutajate puhul.
Et keelata USB-mäluseadmetele juurdepääs ainult teatud kasutajatele grupipoliitika abil, tuleb luua grupp, kuhu kuuluvad kasutajad, kes ei soovi USB-mäluseadmetele juurdepääsu, ja seejärel rakendada uus poliitika sellele grupile. Selleks:
Samm 1. Looge grupp Disabled USB Users. *
Märkus: Kui olete juba loonud grupi, kus on keelatud USB-kasutajad, jätkake sammuga 2.
1. Avatud Active Directory kasutajad ja arvutid.
2. Paremklõpsake paremal nupul " Kasutajad " objekti vasakul paanil ja valige Uus > Rühm
3. Sisestage uuele rühmale nimi (nt "USB Disabled Users") ja klõpsake nuppu OK . *
Märkus: jätke valikud "Üldine" ja "Turvalisus" märkimata.
4. Avage äsja loodud grupp, valige Liikmed vahekaart ja klõpsake Lisa
5. Nüüd valige, millise(te) domeeni kasutaja(te)s soovite USB-mäluseadmeid blokeerida ja seejärel klõpsake nuppu OKEI.
6. Klõpsake OK grupi omaduste sulgemiseks.
Samm 2. Looge uus grupipoliitika objekt USB-mäluseadmete keelamiseks.
1. Avage Grupipoliitika haldamine.
2. Tehke objekti "Domeenid" all paremklõps oma domeenil ja valige Looge selles domeenis GPO ja linkige see siia.
3. Sisestage uuele GPO-le nimi (nt "USB Disabled") ja klõpsake nuppu OKEI.
4. Tehke uue GPO juures paremklõps ja klõpsake Muuda.
5. Navigeerige 'Grupipoliitika halduse redaktoris' aadressile:
- Kasutajakonfiguratsioon > Poliitikad > Haldusmallid > Süsteem > Eemaldatav salvestusruumi juurdepääs
4. Paremal paanil tehke topeltklõps aadressil: Eemaldatavad kettad: Keelata lugemisjuurdepääs. *
* Märkus:
1. Paljud õpetused soovitavad sel hetkel, et Lubage Kõik teisaldatavad salvestusklassid: Keelata igasugune juurdepääs poliitika, kuid meie testide käigus avastasime, et see poliitika ei kehti (ei tööta) nutitelefonide või tahvelarvutite puhul.
2. Kui soovite blokeerida USB-kirjutamise juurdepääsu, valige valik Eemaldatavad kettad: Keelata kirjutusjuurdepääs.
5. Vaata Lubatud ja klõpsake OKEI.
6. Sulge . Grupipoliitika haldamise redaktor aken.
7. Tagasi "Grupipoliitika haldamine", valige GPO "USB Disabled" ja klõpsake vahekaardil "Scope" (reguleerimisala) nuppu Lisa nuppu (seadete "Turvalisuse filtreerimine" all).
8. Sisestage "USB-invaliidiga kasutajate" grupi nimi (nt "USB-invaliidiga kasutajad" selles postituses) ja klõpsake nuppu "USB-invaliidiga kasutajad". OK .
9. Kui see on tehtud, valige Delegatsioon vahekaart.
10. Vahelehel "Delegeerimine", valige . Autenditud kasutajad ja klõpsake Edasijõudnud.
11 . juures Turvalisuse valikud, valige . Autenditud kasutajad ja eemaldage märge . Rakendada grupipoliitikat märkeruut. Kui olete valmis, klõpsake OKEI.
6. Sulge grupipoliitika redaktor.
7. Taaskäivitamine server ja kliendimasinad või käivitada " gpupdate /force " käsk (administraatorina), et rakendada uusi grupipoliitika seadeid (ilma taaskäivitamiseta) nii serverile kui ka klientidele.
See on kõik! Andke mulle teada, kas see juhend on teid aidanud, jättes oma kogemuse kohta kommentaari. Palun meeldige ja jagage seda juhendit, et aidata teisi.
Andy Davis
Süsteemiadministraatori ajaveeb Windowsi kohta
