Sisällysluettelo
Tämä opas sisältää vaiheittaiset ohjeet siitä, miten estät USB-tallennuslaitteet koko toimialueella tai tietyillä toimialueen käyttäjillä käyttämällä ryhmäkäytäntöä AD-toimialueen 2016 tai 2012:ssa. Tarkemmin sanottuna, kun olet lukenut tämän oppaan ohjeet, opit estämään pääsyn mihin tahansa USB-tallennuslaitteeseen (muistitikut, ulkoiset kiintolevyt, älypuhelimet, tabletit jne.), jotka voivat muodostaa yhteyden mihin tahansa USB-tallennuslaitteeseen.toimialueen tietokone tai estää USB-tallennusvälineen käytön vain tietyiltä toimialueen käyttäjiltä.
Nykyään monet meistä käyttävät USB-tallennuslaitetta tietojen siirtämiseen. Organisaation kannalta sen työntekijöiden mahdollisuus käyttää ulkoisia tallennuslaitteita voi kuitenkin sisältää tietoturvariskejä, kuten haittaohjelmien levittämisen tai arkaluonteisten tietojen sieppaamisen. Näiden riskien välttämiseksi voit lukea seuraavat ohjeet, joilla voit estää USB-tallennuslaitteiden käytön kaikilta toimialueesi käyttäjiltä ja tietokoneilta tai tietyiltävain toimialueen käyttäjille ryhmäkäytännön avulla. *.
Huomautuksia:
1. Tässä postauksessa USB-asemien estämiseksi ryhmäkäytännön avulla käytimme Active Directory 2016 -toimialueen ohjainta uuden ryhmäkäytännön luomiseen ja Windows 10 Pro- ja Windows 7 Pro -työasemia sen soveltamiseen.
2. "Estää USB-käytön" -käytäntö ei vaikuta toimialueen ylläpitäjiin tai muihin liitettyihin USB-laitteisiin, kuten USB-näppäimistöihin, -hiiriin, -tulostimiin jne.
3. Kun ryhmäkäytäntöä on sovellettu, käyttäjät eivät pääse käyttämään minkäänlaista USB-tallennuslaitetta, ja he saavat jonkin seuraavista virheilmoituksista yrittäessään käyttää USB-tallennuslaitetta tietokoneessaan.
USB-tallennuslaitteiden käytön estäminen ryhmäkäytännön avulla (Server 2012/2012R2/2016)
- Osa 1. Estä USB-luku- ja kirjoitusoikeus kaikilta toimialueen käyttäjiltä. Osa 2. Estä USB-luku- ja kirjoitusoikeus tietyiltä toimialueen käyttäjiltä.
Osa 1. Miten estät USB-tallennuslaitteiden käytön koko toimialueella 2016.
Voit estää minkä tahansa verkkotunnuksen tietokoneen (käyttäjän) pääsyn mihin tahansa liitettyyn USB-tallennuslaitteeseen:
1. Avaa Server 2016 AD -toimialueen ohjaimessa Palvelimen johtaja ja sitten Työkalut valikko, avaa Ryhmäkäytäntöjen hallinta. *
Siirry lisäksi osoitteeseen Ohjauspaneeli -> Hallinnolliset työkalut -> Ryhmäkäytäntöjen hallinta.
2. osoitteessa Verkkotunnukset , valitse verkkotunnuksesi ja sitten klikkaa hiiren oikealla painikkeella osoitteessa Oletusarvoinen toimialuekäytäntö ja valitse Muokkaa .
3. Siirry 'Ryhmäkäytäntöjen hallintaeditorissa' kohtaan:
- Käyttäjäkokoonpano > Käytännöt > Hallinnolliset mallit > Järjestelmä > Irrotettavan tallennustilan käyttöoikeus
4. Kaksoisnapsauta oikeassa ruudussa kohtaa: Irrotettavat levyt: Kielletään lukuoikeus. *
* Huomautuksia:
1. Monissa opetusohjelmissa ehdotetaan tässä vaiheessa, että Ota käyttöön ' Kaikki siirrettävät tallennusvälineluokat: Kiellä kaikki käyttöoikeudet' käytäntöä, mutta testiemme aikana huomasimme, että tätä käytäntöä ei sovelleta (toimi) älypuhelimiin tai tabletteihin.
2. Jos haluat estää USB-kirjoituskäytön, valitse vaihtoehto Irrotettavat levyt: Kielletään kirjoitusoikeus.
5. Tarkista Käytössä ja klikkaa SELVÄ.
6. Sulje ryhmäkäytäntöeditorissa.
7. Käynnistä uudelleen palvelimen ja asiakaskoneiden välillä, tai suorita ohjelma gpupdate /force komennolla voit soveltaa uusia ryhmäkäytäntöasetuksia (ilman uudelleenkäynnistystä) sekä palvelimeen että asiakkaisiin.
Osa 2. Miten estetään tiettyjen toimialueen käyttäjien pääsy USB-tallennuslaitteisiin.
Jos haluat estää USB-tallennuslaitteiden käytön vain tietyiltä käyttäjiltä ryhmäkäytännön avulla, sinun on luotava ryhmä, jossa on käyttäjiä, jotka eivät halua käyttää USB-tallennuslaitteita, ja sovellettava uutta käytäntöä tähän ryhmään. Voit tehdä tämän seuraavasti:
Vaihe 1. Luo ryhmä, jossa on Disabled USB Users. *
Huomautus: Jos olet jo luonut ryhmän, jossa on USB-käyttäjät, jotka eivät ole käytössä, jatka vaiheesta 2.
1. Avaa Active Directoryn käyttäjät ja tietokoneet.
2. Napsauta hiiren oikealla painikkeella " Käyttäjät " objekti vasemmassa ruudussa ja valitse Uusi > Ryhmä
3. Kirjoita uudelle ryhmälle nimi (esim. "USB Disabled Users") ja napsauta "USB Disabled Users". OK . *
Huomautus: Jätä valinnat 'Global' ja 'Security' valittuna.
4. Avaa juuri luotu ryhmä, valitse Jäsenet välilehteä ja napsauta Lisää
5. Valitse nyt, minkä toimialueen käyttäjä(t) haluat estää USB-tallennusvälineet, ja napsauta sitten kohtaa SELVÄ.
6. Klikkaa OK sulkea ryhmän ominaisuudet.
Vaihe 2. Luo uusi ryhmäkäytäntöobjekti USB-tallennuslaitteiden poistamiseksi käytöstä.
1. Avaa Ryhmäkäytäntöjen hallinta.
2. Napsauta verkkotunnukset-objektissa hiiren kakkospainikkeella verkkotunnusta ja valitse sitten Luo GPO tässä toimialueessa ja linkitä se tähän.
3. Kirjoita uudelle GPO:lle nimi (esim. "USB Disabled") ja valitse sitten SELVÄ.
4. Napsauta hiiren kakkospainikkeella uutta GPO:ta ja valitse Muokkaa.
5. Siirry 'Ryhmäkäytäntöjen hallintaeditorissa' kohtaan:
- Käyttäjän kokoonpano > Käytännöt > Hallinnolliset mallit > Järjestelmä > Irrotettavan tallennustilan käyttöoikeus
4. Kaksoisnapsauta oikeassa ruudussa kohtaa: Irrotettavat levyt: Kielletään lukuoikeus. *
* Huom:
1. Monissa opetusohjelmissa ehdotetaan tässä vaiheessa, että Ota käyttöön ' Kaikki siirrettävät tallennusvälineluokat: Kiellä kaikki käyttöoikeudet' käytäntöä, mutta testiemme aikana huomasimme, että tätä käytäntöä ei sovelleta (toimi) älypuhelimiin tai tabletteihin.
2. Jos haluat estää USB-kirjoituskäytön, valitse vaihtoehto Irrotettavat levyt: Kielletään kirjoitusoikeus.
5. Tarkista Käytössä ja klikkaa SELVÄ.
6. Sulje ... Ryhmäkäytäntöjen hallintaeditori ikkuna.
7. Palaa takaisin ryhmäkäytäntöjen hallintaan, valitse GPO "USB Disabled" ja napsauta välilehdellä "Scope" (Laajuus) kohtaa "USB Disabled". Lisää painiketta (Turvallisuuden suodatus -asetusten alla).
8. Kirjoita "USB disabled users" -ryhmän nimi (esim. "USB Disabled Users" tässä viestissä) ja napsauta sitten OK .
9. Kun olet valmis, valitse Lähetystö välilehti.
10. Välilehdellä "Delegointi", valitse ... Tunnistetut käyttäjät ja klikkaa Edistynyt.
11 . kohdassa Turvallisuusvaihtoehdot, valitse ... Tunnistetut käyttäjät ja poista valintaruutu ... Sovelletaan ryhmäkäytäntöä Kun olet valmis, napsauta SELVÄ.
6. Sulje ryhmäkäytäntöeditorissa.
7. Käynnistä uudelleen palvelimen ja asiakaskoneiden välillä, tai suorita " gpupdate /force " -komennolla (järjestelmänvalvojana), jotta voit soveltaa uusia ryhmäkäytäntöasetuksia (ilman uudelleenkäynnistystä) sekä palvelimeen että asiakkaisiin.
Kerro minulle, onko tämä opas auttanut sinua jättämällä kommentti kokemuksestasi. Tykkää ja jaa tätä opasta auttaaksesi muita.
Andy Davis
Järjestelmänvalvojan blogi Windowsista
