Inhoudsopgave
Deze gids bevat stapsgewijze instructies over hoe u USB-opslagapparaten kunt blokkeren op het hele domein of op specifieke domeingebruikers door middel van Groepsbeleid in een AD-domein 2016 of 2012. Meer specifiek leert u na het lezen van de instructies in deze gids hoe u de toegang kunt voorkomen tot elk USB-opslagapparaat (flashdrives, externe harde schijven, smartphones, tablets, enz.), dat verbinding kan maken met elkcomputer in het domein, of de USB-opslag alleen toegankelijk maken voor specifieke domeingebruikers.
Tegenwoordig gebruiken velen van ons een USB-opslagapparaat om gegevens over te dragen. Voor een organisatie kan het vermogen van haar werknemers om externe opslagapparaten te gebruiken echter beveiligingsrisico's inhouden, zoals het verspreiden van malware of het onderscheppen van gevoelige gegevens. Om deze risico's te vermijden, kunt u de volgende instructies lezen om de toegang tot USB-opslagapparaten te blokkeren voor alle gebruikers en computers in uw domein of voor bepaaldealleen domeingebruikers, door middel van Groepsbeleid. *
Opmerkingen:
1. In deze post, om USB-stations te blokkeren via groepsbeleid, gebruikten we een Active Directory 2016-domeincontroller om het nieuwe groepsbeleid te maken en Windows 10 Pro & Windows 7 Pro-werkstations om het toe te passen.
2. Het beleid "USB-toegang blokkeren" heeft geen invloed op de Domeinbeheerders of andere aangesloten USB-apparaten, zoals USB-toetsenborden, muizen, printers, enz.
3. Na toepassing van het Groepsbeleid zullen de gebruikers geen toegang hebben tot enig type USB-opslagapparaat, en zullen ze een van de volgende foutmeldingen ontvangen wanneer ze proberen toegang te krijgen tot een USB-opslagapparaat op hun PC.
Hoe Groepsbeleid gebruiken om toegang tot USB-opslagapparaten te voorkomen (Server 2012/2012R2/2016)
- Deel 1. USB-lees-/schrijftoegang blokkeren voor alle domeingebruikers. Deel 2. USB-lees-/schrijftoegang blokkeren voor bepaalde domeingebruikers.
Deel 1. Hoe de toegang tot USB-opslagapparaten te blokkeren op het hele domein 2016.
Om de toegang tot elk aangesloten USB-opslagapparaat uit te schakelen voor elke computer(gebruiker) op het domein:
1. In Server 2016 AD Domain Controller, open de Server Manager en dan van Gereedschap menu, open de Groepsbeleidbeheer. *
Navigeer bovendien naar Bedieningspaneel -> Administratieve hulpmiddelen -> Groepsbeleidbeheer.
2. Onder Domeinen , selecteer uw domein en dan rechtsklik op Standaard domeinbeleid en kies Bewerk .
3. Navigeer in de "Group Policy Management Editor" naar:
- Gebruikersconfiguratie > Beleid > Administratieve sjablonen > Systeem > Toegang tot verwijderbare opslag
4. Dubbelklik in het rechterdeelvenster op: Verwijderbare schijven: leesrechten weigeren.
* Opmerkingen:
1. Veel tutorials stellen op dit punt voor om Schakel in. de ' Alle verwijderbare opslagklassen: alle toegang weigeren". beleid, maar tijdens onze tests ontdekten we dat dit beleid niet geldt (werkt) voor smartphones of tablets.
2. Als u de USB-schrijftoegang wilt blokkeren, selecteert u de optie Verwijderbare schijven: Schrijftoegang weigeren.
5. Controleer Ingeschakeld en klik op OK.
6. Sluiten de Groepsbeleid-editor.
7. Herstart de server en de client machines, of voer de gpupdate /force commando om de nieuwe groepsbeleidinstellingen (zonder herstart) toe te passen op zowel de server als de clients.
Deel 2. Hoe de toegang tot USB-opslagapparaten te voorkomen voor specifieke domeingebruikers.
Om de toegang tot USB-opslagapparaten voor specifieke gebruikers uit te schakelen door middel van een groepsbeleid, moet u een groep aanmaken met gebruikers die geen toegang willen tot USB-opslagapparaten en vervolgens het nieuwe beleid toepassen op deze groep. Om dat te doen:
Stap 1. Maak een groep aan met de Disabled USB Users. *.
Opmerking: Als u al een groep hebt gemaakt met de uitgeschakelde USB-gebruikers, ga dan verder met stap-2.
1. Open Active Directory Gebruikers en Computers.
2. Klik met de rechtermuisknop op de " Gebruikers " object in het linkerdeelvenster, en kies Nieuw > Groep
3. Typ een naam voor de nieuwe groep (bijv. "USB Disabled Users") en klik op OK . *
Opmerking: Laat de opties "Globaal" en "Beveiliging" aangevinkt.
4. Open de nieuw aangemaakte groep, selecteer de Leden tabblad en klik op Toevoegen
5. Selecteer nu in welke domeingebruiker(s) u de USB-opslagapparaten wilt blokkeren en klik vervolgens op OK.
6. Klik op OK om groepseigenschappen te sluiten.
Stap 2. Maak een Nieuw Groepsbeleidobject om de USB Opslagapparaten uit te schakelen.
1. Open de Groepsbeleidbeheer.
2. Onder het object "Domeinen" klikt u met de rechtermuisknop op uw domein en selecteert u Maak een GPO in dit domein en link het hier.
3. Typ een naam voor de nieuwe GPO (bijv. "USB uitgeschakeld") en klik op OK.
4. Klik met de rechtermuisknop op de nieuwe GPO en klik op Edit.
5. Navigeer in de "Group Policy Management Editor" naar:
- Gebruikersconfiguratie > Beleid > Administratieve sjablonen > Systeem > Toegang tot verwijderbare opslag
4. Dubbelklik in het rechterdeelvenster op: Verwijderbare schijven: Verbied leestoegang. *
* Let op:
1. Veel tutorials stellen op dit punt voor om Schakel in. de ' Alle verwijderbare opslagklassen: alle toegang weigeren". beleid, maar tijdens onze tests ontdekten we dat dit beleid niet geldt (werkt) voor smartphones of tablets.
2. Als u de USB-schrijftoegang wilt blokkeren, selecteert u de optie Verwijderbare schijven: Schrijftoegang weigeren.
5. Controleer Ingeschakeld en klik op OK.
6. Sluiten de Beheerseditor groepsbeleid raam.
7. Ga terug naar 'Groepsbeleidbeheer', selecteer de GPO 'USB uitgeschakeld' en klik op het tabblad 'Reikwijdte' op de knop Toevoegen knop (onder de instellingen voor "Beveiligingsfiltering").
8. Typ de naam van de groep "USB-uitgeschakelde gebruikers" (bijv. "USB-uitgeschakelde gebruikers" in dit bericht), en klik op OK .
9. Als u klaar bent, selecteert u de Delegatie tab.
10. Op het tabblad "Delegatie", selecteer de Geauthenticeerde gebruikers en klik op Gevorderd.
11 Bij Beveiligingsopties, selecteer de Geauthenticeerde gebruikers en vink uit de Groepsbeleid toepassen Als u klaar bent, klikt u op OK.
6. Sluiten de Groepsbeleid-editor.
7. Herstart de server en de client machines, of voer de " gpupdate /force " commando (als beheerder), om de nieuwe groepsbeleidinstellingen (zonder herstart) toe te passen op zowel server als clients.
Dat is het! Laat me weten of deze gids je heeft geholpen door je commentaar achter te laten over je ervaring. Like en deel deze gids om anderen te helpen.
Andy Davis
De blog van een systeembeheerder over Windows
