Daftar Isi
Panduan ini berisi petunjuk langkah demi langkah tentang cara memblokir perangkat penyimpanan USB di seluruh Domain atau pada pengguna domain tertentu dengan menggunakan Kebijakan Grup di Domain AD 2016 atau 2012. Lebih khusus lagi, setelah membaca instruksi dalam panduan ini, Anda akan belajar cara mencegah akses ke perangkat penyimpanan USB apa pun (flash drive, hard drive eksternal, ponsel cerdas, tablet, dll.), yang dapat terhubung ke perangkat apa pun.komputer di domain, atau menolak akses penyimpanan USB hanya untuk pengguna domain tertentu.
Saat ini, banyak dari kita yang menggunakan perangkat penyimpanan USB untuk mentransfer data. Namun, bagi sebuah organisasi, kemampuan karyawannya untuk menggunakan perangkat penyimpanan eksternal mungkin mengandung risiko keamanan, seperti menyebarkan malware atau mencegat data sensitif. Untuk menghindari risiko ini, Anda dapat membaca petunjuk berikut untuk memblokir akses ke perangkat penyimpanan USB ke semua pengguna dan komputer di domain Anda atau ke komputer tertentu.pengguna domain saja, dengan menggunakan Kebijakan Grup. *
Catatan:
1. Dalam posting ini, untuk memblokir drive USB melalui kebijakan grup, kami menggunakan pengontrol domain Active Directory 2016 untuk membuat kebijakan grup baru dan workstation Windows 10 Pro & Windows 7 Pro untuk menerapkannya.
2. Kebijakan "Block USB Access" tidak akan memengaruhi Administrator Domain atau perangkat USB lain yang terhubung, seperti Keyboard USB, Mouse, Printer, dll.
3. Setelah menerapkan Kebijakan Grup, pengguna tidak akan memiliki akses ke semua jenis perangkat USB Storage, dan akan menerima salah satu pesan kesalahan berikut ini ketika mencoba mengakses perangkat penyimpanan USB pada PC mereka.
Cara menggunakan Kebijakan Grup untuk Mencegah Akses ke Perangkat Penyimpanan USB (Server 2012/2012R2/2016)
- Bagian 1. Blokir Akses Baca/Tulis USB pada Semua Pengguna Domain. Bagian 2. Blokir Akses Baca/Tulis USB untuk Pengguna Domain Tertentu.
Bagian 1. Cara Memblokir Akses ke Perangkat Penyimpanan USB di Seluruh Domain 2016.
Untuk menonaktifkan akses ke perangkat penyimpanan USB yang tersambung ke komputer mana pun (pengguna) pada domain:
1. Di Server 2016 AD Domain Controller, buka aplikasi Manajer Server dan kemudian dari Peralatan menu, buka menu Manajemen Kebijakan Grup. *
Selain itu, arahkan ke Panel Kontrol -> Alat Administratif -> Manajemen Kebijakan Grup.
2. Di bawah Domain pilih domain Anda, lalu klik kanan di Kebijakan Domain Default dan pilih Edit .
3. Di 'Group Policy Management Editor', arahkan ke:
- Konfigurasi Pengguna > Kebijakan > Templat Administratif > Sistem > Akses Penyimpanan yang Dapat Dilepas
4. Pada panel kanan, klik dua kali pada: Removable Disks: Tolak akses baca. *
* Catatan:
1. Banyak tutorial pada titik ini menyarankan untuk Aktifkan ' Semua kelas Penyimpanan yang Dapat Dilepas: Tolak semua akses' kebijakan, tetapi selama pengujian kami, kami menemukan bahwa kebijakan ini tidak berlaku (berfungsi) untuk smartphone atau tablet.
2. Jika Anda ingin memblokir akses USB Write, pilih tombol Removable Disks: Tolak akses tulis.
5. Periksa Diaktifkan dan klik BAIKLAH.
6. Tutup Editor Kebijakan Grup.
7. Mulai ulang server dan mesin klien, atau jalankan gpupdate /force untuk menerapkan pengaturan kebijakan grup baru (tanpa restart) ke server dan klien.
Bagian 2. Cara Mencegah Akses ke Perangkat Penyimpanan USB pada Pengguna Domain Tertentu.
Untuk menonaktifkan akses ke perangkat penyimpanan USB ke pengguna tertentu hanya dengan menggunakan kebijakan grup, Anda harus membuat grup dengan pengguna yang tidak ingin mengakses perangkat penyimpanan USB dan kemudian menerapkan kebijakan baru ke grup ini:
Langkah 1. Buat Grup dengan Pengguna USB yang Dinonaktifkan. *
Catatan: Jika Anda sudah membuat grup dengan pengguna USB yang dinonaktifkan, lanjutkan ke langkah-2.
1. Terbuka Pengguna dan Komputer Direktori Aktif.
2. Klik kanan pada " Pengguna " pada panel kiri, dan pilih Baru > Kelompok
3. Ketik nama untuk grup baru (misalnya, "USB Disabled Users") dan klik OK . *
Catatan: Biarkan opsi 'Global' dan 'Security' dicentang.
4. Buka grup yang baru dibuat, pilih Anggota tab dan klik Tambahkan
5. Sekarang pilih pengguna domain mana yang ingin Anda blokir perangkat USB Storage, lalu klik BAIKLAH.
6. Klik OK untuk menutup properti grup.
Langkah 2. Buat Objek Kebijakan Grup Baru untuk Menonaktifkan perangkat Penyimpanan USB.
1. Buka Manajemen Kebijakan Grup.
2. Di bawah objek 'Domains', klik kanan pada domain Anda dan pilih Buat GPO di domain ini dan Tautkan di sini.
3. Ketik nama untuk GPO baru (misalnya, "USB Disabled") dan klik BAIKLAH.
4. Klik kanan pada GPO baru dan klik Edit.
5. Di 'Group Policy Management Editor', arahkan ke:
- Konfigurasi Pengguna > Kebijakan > Templat Administratif > Sistem > Akses Penyimpanan yang Dapat Dilepas
4. Pada panel kanan, klik dua kali pada: Removable Disks: Tolak akses baca. *
* Catatan:
1. Banyak tutorial pada titik ini menyarankan untuk Aktifkan ' Semua kelas Penyimpanan yang Dapat Dilepas: Tolak semua akses' kebijakan, tetapi selama pengujian kami, kami menemukan bahwa kebijakan ini tidak berlaku (berfungsi) untuk smartphone atau tablet.
2. Jika Anda ingin memblokir akses USB Write, pilih tombol Removable Disks: Tolak akses tulis.
5. Periksa Diaktifkan dan klik BAIKLAH.
6. Tutup yang Editor Manajemen Kebijakan Grup jendela.
7. Kembali ke 'Group Policy Management', pilih GPO "USB Disabled" dan pada tab 'Scope' klik tombol Tambahkan (di bawah pengaturan 'Security filtering').
8. Ketik nama grup "USB disabled users" (misalnya, "USB Disabled Users" dalam posting ini), dan klik OK .
9. Setelah selesai, pilih Delegasi tab.
10. Pada tab 'Delegasi', pilih yang Pengguna yang Terotentikasi dan klik Lanjutan.
11 Pada opsi Keamanan, pilih yang Pengguna yang Terotentikasi dan hapus centang yang Menerapkan kebijakan grup Setelah selesai, klik BAIKLAH.
6. Tutup Editor Kebijakan Grup.
7. Mulai ulang server dan mesin klien, atau jalankan " gpupdate /force " (sebagai administrator), untuk menerapkan pengaturan kebijakan grup baru (tanpa restart) ke server dan klien.
Itu saja! Beri tahu saya jika panduan ini telah membantu Anda dengan meninggalkan komentar tentang pengalaman Anda. Silakan sukai dan bagikan panduan ini untuk membantu orang lain.
Andy Davis
Blog administrator sistem tentang Windows
