How to Block USB Storage Devices on a Domain 2016/2012 with Group Policy.

How to Block USB Storage Devices on a Domain 2016/2012 with Group Policy.

15-02-2023 Jak
Andy'ego Davisa

Ten przewodnik zawiera instrukcje krok po kroku, jak zablokować urządzenia pamięci masowej USB na całej domenie lub na konkretnych użytkownikach domeny za pomocą Group Policy w domenie AD 2016 lub 2012. Dokładniej, po przeczytaniu instrukcji w tym przewodniku dowiesz się, jak uniemożliwić dostęp do dowolnego urządzenia pamięci masowej USB (pendrive'y, zewnętrzne dyski twarde, smartfony, tablety itp.), które może połączyć się z dowolnymkomputer w domenie, lub odmówić dostępu do pamięci USB tylko określonym użytkownikom domeny.

Obecnie wielu z nas używa urządzenia pamięci masowej USB do przenoszenia danych. Jednak dla organizacji możliwość korzystania przez jej pracowników z zewnętrznych urządzeń pamięci masowej może zawierać zagrożenia bezpieczeństwa, takie jak rozprzestrzenianie złośliwego oprogramowania lub przechwytywanie poufnych danych. Aby uniknąć tych zagrożeń, można zapoznać się z poniższymi instrukcjami, aby zablokować dostęp do urządzeń pamięci masowej USB wszystkim użytkownikom i komputerom w domenie lub określonymtylko użytkownicy domeny, za pomocą Group Policy. *

Uwagi:
1. W tym poście, aby zablokować dyski USB poprzez politykę grupową, użyliśmy kontrolera domeny Active Directory 2016 do utworzenia nowej polityki grupowej i stacji roboczych Windows 10 Pro & Windows 7 Pro do jej zastosowania.
2. polityka "Block USB Access" nie będzie miała wpływu na administratorów domeny ani na żadne inne podłączone urządzenie USB, takie jak klawiatury USB, myszy, drukarki itp.
3. po zastosowaniu Zasad Grupy użytkownicy nie będą mieli dostępu do żadnego typu urządzenia pamięci masowej USB, a przy próbie dostępu do urządzenia pamięci masowej USB na komputerze otrzymają jeden z następujących komunikatów o błędzie.

Jak używać zasad grupy, aby zapobiec dostępowi do urządzeń pamięci masowej USB (Server 2012/2012R2/2016)

  • Część 1. Blokowanie dostępu do odczytu/zapisu USB dla wszystkich użytkowników domeny. Część 2. Blokowanie dostępu do odczytu/zapisu USB dla niektórych użytkowników domeny.

Część 1. Jak zablokować dostęp do urządzeń pamięci masowej USB na całej domenie 2016.

Aby wyłączyć dostęp do dowolnego podłączonego urządzenia pamięci masowej USB dla dowolnego komputera(użytkownika) w domenie:

1. W kontrolerze domeny Server 2016 AD, otwórz Kierownik serwera a następnie z Narzędzia menu, otwórz Group Policy Management. *

Dodatkowo należy przejść do Panel sterowania -> Narzędzia administracyjne -> Group Policy Management.

2. Pod adresem Domeny , wybierz swoją domenę, a następnie prawy przycisk myszy na stronie Domyślna polityka domenowa i wybrać Edytuj .

3. W "Edytorze zarządzania zasadami grupy" przejdź do:

  • Konfiguracja użytkownika > Zasady > Szablony administracyjne > System >. Dostęp do wymiennej pamięci masowej

4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmowa dostępu do odczytu. *

* Uwagi:
1. wiele tutoriali w tym miejscu sugeruje, aby Włącz Wszystkie klasy wymiennych pamięci masowych: odmowa dostępu". ale podczas naszych testów odkryliśmy, że ta polityka nie ma zastosowania (działa) dla smartfonów i tabletów.
2. Jeśli chcesz zablokować dostęp USB Write, wybierz opcję Dyski wymienne: Odmowa dostępu do zapisu.

5. Sprawdź Enabled i kliknąć OK.

6. zamknij edytora zasad grupy.
7. uruchomić ponownie serwer i maszyny klienckie, lub uruchomić gpupdate /force aby zastosować nowe ustawienia zasad grupy (bez restartu) zarówno do serwera jak i klientów.

Część 2. Jak uniemożliwić dostęp do urządzeń pamięci masowej USB określonym użytkownikom domeny.

Aby wyłączyć dostęp do urządzeń pamięci masowej USB tylko dla określonych użytkowników za pomocą polityki grupy, należy utworzyć grupę z użytkownikami, którzy nie chcą mieć dostępu do urządzeń pamięci masowej USB, a następnie zastosować nową politykę do tej grupy.Aby to zrobić:

Krok 1. Utwórz grupę z wyłączonymi użytkownikami USB *.

Uwaga: Jeśli została już utworzona grupa z wyłączonymi użytkownikami USB, przejdź do kroku 2.

1. Otwórz Active Directory Users and Computers.
2. Kliknij prawym przyciskiem myszy na " Użytkownicy " w lewym panelu, a następnie wybierz Nowy > Grupa

3. Wpisz nazwę dla nowej grupy (np. "USB Disabled Users") i kliknij OK . *

Uwaga: Pozostawić zaznaczone opcje "Global" i "Security".

4. Otwórz nowo utworzoną grupę, wybierz Członkowie zakładka i kliknij Dodaj

5. Teraz wybierz użytkownika (użytkowników) domeny, w której chcesz zablokować urządzenia pamięci masowej USB, a następnie kliknij OK.

6. Kliknij OK aby zamknąć właściwości grupy.

Krok 2. Utwórz nowy obiekt zasad grupy, aby wyłączyć urządzenia pamięci masowej USB.

1. Otwórz Group Policy Management.
2. W obiekcie "Domeny" kliknij prawym przyciskiem myszy na swoją domenę i wybierz Utwórz GPO w tej domenie i Połącz ją tutaj.

3. Wpisz nazwę dla nowego GPO (np. "USB Disabled") i kliknij OK.

4. Kliknij prawym przyciskiem myszy na nowe GPO i kliknij Edytować.

5. W "Edytorze zarządzania zasadami grupy" przejdź do:

  • Konfiguracja użytkownika > Zasady > Szablony administracyjne > System >. Dostęp do wymiennej pamięci masowej

4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmowa dostępu do odczytu. *

* Uwaga:
1. wiele tutoriali w tym miejscu sugeruje, aby Włącz Wszystkie klasy wymiennych pamięci masowych: odmowa dostępu". ale podczas naszych testów odkryliśmy, że ta polityka nie ma zastosowania (działa) dla smartfonów i tabletów.
2. Jeśli chcesz zablokować dostęp USB Write, wybierz opcję Dyski wymienne: Odmowa dostępu do zapisu.

5. Sprawdź Enabled i kliknąć OK.

6. zamknij the Edytor zarządzania zasadami grupy okno.

7. Wróć do "Group Policy Management", wybierz GPO "USB Disabled" i w zakładce "Scope" kliknij przycisk Dodaj (w ustawieniach "Filtrowanie zabezpieczeń").

8. wpisz nazwę grupy "USB disabled users" (np. "USB Disabled Users" w tym poście) i kliknij OK .

9. Po zakończeniu wybierz Delegacja tab.

10. W zakładce "Delegacja", wybierz the Użytkownicy uwierzytelnieni i kliknąć Zaawansowane.

11 . w opcjach bezpieczeństwa, wybierz the Użytkownicy uwierzytelnieni oraz odznaczyć the Zastosuj zasady grupy Po zakończeniu, kliknij OK.

6. zamknij edytora zasad grupy.
7. uruchomić ponownie serwer i maszyny klienckie, lub uruchomić " gpupdate /force " polecenie (jako administrator), aby zastosować nowe ustawienia polityki grupowej (bez restartu) zarówno do serwera jak i klientów.

To wszystko! Daj mi znać, czy ten przewodnik pomógł Ci, zostawiając komentarz o swoim doświadczeniu. Proszę polubić i udostępnić ten przewodnik, aby pomóc innym.


Andy'ego Davisa

Blog administratora systemu o systemie Windows

Poprzedni post Jak zaplanować tworzenie kopii zapasowej Google i synchronizację.
Następny post Jak skonfigurować maszynę wirtualną Hyper-V w systemie Windows 11/10.
Leave a comment