Sommario
Questa guida contiene istruzioni passo-passo su come bloccare i dispositivi di archiviazione USB sull'intero dominio o su utenti specifici del dominio utilizzando i Criteri di gruppo in un dominio AD 2016 o 2012. In particolare, dopo aver letto le istruzioni di questa guida, imparerete come impedire l'accesso a qualsiasi dispositivo di archiviazione USB (unità flash, dischi rigidi esterni, smartphone, tablet, ecc.computer del dominio, oppure negare l'accesso alla memoria USB solo a specifici utenti del dominio.
Tuttavia, per un'organizzazione, la possibilità per i propri dipendenti di utilizzare dispositivi di archiviazione esterni può comportare rischi per la sicurezza, come la diffusione di malware o l'intercettazione di dati sensibili. Per evitare questi rischi, è possibile leggere le seguenti istruzioni per bloccare l'accesso ai dispositivi di archiviazione USB a tutti gli utenti e i computer del proprio dominio o a determinatisolo per gli utenti del dominio, utilizzando i Criteri di gruppo.
Note:
1. In questo post, per bloccare le unità USB attraverso i criteri di gruppo, abbiamo utilizzato un controller di dominio Active Directory 2016 per creare il nuovo criterio di gruppo e le workstation Windows 10 Pro e Windows 7 Pro per applicarlo.
2. Il criterio "Blocca accesso USB" non influisce sugli amministratori di dominio o su qualsiasi altro dispositivo USB collegato, come tastiere USB, mouse, stampanti, ecc.
3. Dopo l'applicazione del Criterio di gruppo, gli utenti non avranno accesso a nessun tipo di dispositivo di archiviazione USB e riceveranno uno dei seguenti messaggi di errore quando cercheranno di accedere a un dispositivo di archiviazione USB sul loro PC.
Come utilizzare i Criteri di gruppo per impedire l'accesso ai dispositivi di archiviazione USB (Server 2012/2012R2/2016)
- Parte 1. Bloccare l'accesso USB in lettura/scrittura per tutti gli utenti del dominio. Parte 2. Bloccare l'accesso USB in lettura/scrittura per alcuni utenti del dominio.
Parte 1. Come bloccare l'accesso ai dispositivi di archiviazione USB su tutto il dominio 2016.
Per disabilitare l'accesso a qualsiasi dispositivo di archiviazione USB collegato a qualsiasi computer (utente) del dominio:
1. Nel controller di dominio AD di Server 2016, aprire il file Responsabile del server e poi da Strumenti aprire il menu Gestione dei criteri di gruppo. *
Inoltre, navigare in Pannello di controllo -> Strumenti amministrativi -> Gestione dei criteri di gruppo.
2. Sotto Domini , selezionare il dominio e poi cliccate con il tasto destro del mouse a Politica di dominio predefinita e scegliere Modifica .
3. In 'Editor gestione criteri di gruppo', passare a:
- Configurazione dell'utente > Criteri > Modelli amministrativi > Sistema > Accesso alla memoria rimovibile
4. Nel riquadro di destra, fare doppio clic su: Dischi rimovibili: negare l'accesso in lettura *.
* Note:
1. Molti tutorial a questo punto suggeriscono di Abilitazione l' Tutte le classi di memoria rimovibile: negare l'accesso". ma durante i nostri test abbiamo scoperto che questo criterio non viene applicato (funziona) per smartphone e tablet.
2. Se si desidera bloccare l'accesso in scrittura USB, selezionare l'opzione Dischi rimovibili: negare l'accesso in scrittura.
5. Controllo Abilitato e fare clic su OK.
6. Chiudere nell'Editor Criteri di gruppo.
7. Riavviare il server e i computer client, oppure eseguire l'applicazione gpupdate /force per applicare le nuove impostazioni dei criteri di gruppo (senza riavviare) sia al server che ai client.
Parte 2. Come impedire l'accesso ai dispositivi di archiviazione USB a specifici utenti del dominio.
Per disabilitare l'accesso ai dispositivi di archiviazione USB solo a utenti specifici utilizzando un criterio di gruppo, è necessario creare un gruppo con gli utenti che non desiderano accedere ai dispositivi di archiviazione USB e quindi applicare il nuovo criterio a questo gruppo. A tal fine, è necessario creare un criterio di gruppo:
Fase 1. Creare un gruppo con gli utenti USB disabilitati *.
Nota: se è già stato creato un gruppo con gli utenti USB disabilitati, proseguire al punto 2.
1. Aperto Utenti e computer di Active Directory.
2. Cliccate con il tasto destro del mouse sul punto " Utenti " nel riquadro di sinistra e scegliere Nuovo > Gruppo
3. Digitare un nome per il nuovo gruppo (ad esempio "Utenti disabilitati USB") e fare clic su OK . *
Nota: lasciare selezionate le opzioni "Globale" e "Sicurezza".
4. Aprire il gruppo appena creato, selezionare la voce Membri e fare clic su Aggiungi
5. A questo punto, selezionare l'utente o gli utenti del dominio che si desidera bloccare i dispositivi di archiviazione USB, quindi fare clic su OK.
6. Cliccare OK per chiudere le proprietà del gruppo.
Passo 2. Creare un nuovo oggetto Criteri di gruppo per disattivare i dispositivi di archiviazione USB.
1. Aprire la sezione Gestione dei criteri di gruppo.
2. Sotto l'oggetto "Domini", fare clic con il tasto destro del mouse sul proprio dominio e selezionare Creare una GPO in questo dominio e collegarla qui.
3. Digitare un nome per la nuova GPO (ad esempio "USB Disabled") e fare clic su OK.
4. Fare clic con il tasto destro del mouse sul nuovo GPO e fare clic su Modifica.
5. In 'Editor gestione criteri di gruppo', passare a:
- Configurazione dell'utente > Criteri > Modelli amministrativi > Sistema > Accesso alla memoria rimovibile
4. Nel riquadro di destra, fare doppio clic su: Dischi rimovibili: negare l'accesso in lettura. *
* Nota:
1. Molti tutorial a questo punto suggeriscono di Abilitazione l' Tutte le classi di memoria rimovibile: negare l'accesso". ma durante i nostri test abbiamo scoperto che questo criterio non viene applicato (funziona) per smartphone e tablet.
2. Se si desidera bloccare l'accesso in scrittura USB, selezionare l'opzione Dischi rimovibili: negare l'accesso in scrittura.
5. Controllo Abilitato e fare clic su OK.
6. Chiudere il Editor di gestione dei criteri di gruppo finestra.
7. Tornare a "Gestione criteri di gruppo", selezionare la GPO "USB disabilitata" e nella scheda "Ambito di applicazione" fare clic sul pulsante Aggiungi (sotto le impostazioni di "Filtraggio di sicurezza").
8. Digitare il nome del gruppo "Utenti disabilitati USB" (ad esempio "Utenti disabilitati USB" in questo post) e fare clic su OK .
9. Al termine, selezionare l'opzione Delegazione scheda.
10. Nella scheda "Delega", selezionare il Utenti autenticati e fare clic su Avanzato.
11 . in Opzioni di sicurezza, selezionare il Utenti autenticati e deselezionare il Applicare i criteri di gruppo Al termine, fare clic su OK.
6. Chiudere nell'Editor Criteri di gruppo.
7. Riavviare il server e i computer client, oppure eseguire il comando " gpupdate /force "(come amministratore), per applicare le nuove impostazioni dei criteri di gruppo (senza riavviare) sia al server che ai client.
Fatemi sapere se questa guida vi è stata utile lasciando un commento sulla vostra esperienza. Vi prego di mettere "Mi piace" e di condividere questa guida per aiutare gli altri.
Andy Davis
Il blog di un amministratore di sistema su Windows
