Índice
Este guia contém instruções passo a passo sobre como bloquear dispositivos de armazenamento USB em todo o Domínio ou em usuários de domínios específicos usando a Política de Grupo em um Domínio AD 2016 ou 2012. Mais especificamente, após ler as instruções neste guia você aprenderá como impedir o acesso a qualquer dispositivo de armazenamento USB (unidades flash, discos rígidos externos, smartphones, tablets, etc.), que pode se conectar a qualquercomputador no domínio, ou negar o acesso ao armazenamento USB apenas a utilizadores específicos do domínio.
Hoje, muitos de nós usam um dispositivo de armazenamento USB para transferir dados. No entanto, para uma organização, a capacidade de seus funcionários usarem dispositivos de armazenamento externos pode conter riscos de segurança, como a propagação de malware ou interceptação de dados sensíveis. Para evitar esses riscos, você pode ler as seguintes instruções para bloquear o acesso a dispositivos de armazenamento USB para todos os usuários e computadores em seu domínio ou para certosapenas usuários de domínio, utilizando a Política de Grupo. *
Notas:
Neste post, para bloquear unidades USB através da política de grupo, usamos um controlador de domínio Active Directory 2016 para criar a nova política de grupo e estações de trabalho Windows 10 Pro & Windows 7 Pro para aplicá-la.
2. a política "Bloquear Acesso USB" não afetará os Administradores de Domínio ou qualquer outro dispositivo USB conectado, como teclados USB, mouse, impressora, etc.
3. após aplicar a Política de Grupo, os usuários não terão acesso a nenhum tipo de dispositivo de armazenamento USB e receberão uma das seguintes mensagens de erro ao tentarem acessar um dispositivo de armazenamento USB em seu PC.
Como utilizar a Política de Grupo para Prevenir o Acesso a Dispositivos de Armazenamento USB (Servidor 2012/2012R2/2016)
- Parte 1. bloquear o acesso de leitura/gravação USB em todos os usuários do domínio. Parte 2. bloquear o acesso de leitura/gravação USB para determinados usuários do domínio.
Parte 1. como bloquear o acesso a dispositivos de armazenamento USB em todo o domínio 2016.
Para desativar o acesso a qualquer dispositivo de armazenamento USB conectado a qualquer computador (usuário) no domínio:
1. No Controlador de Domínio AD Server 2016, abra o Administrador do servidor e depois de Ferramentas abra o menu, abra o Gestão de Políticas de Grupo. *
Além disso, navegue para Painel de Controlo -> Ferramentas administrativas -> Gestão de Políticas de Grupo.
2. Em Domínios Selecione o seu domínio e depois clique direito em Política de Domínios por Defeito e escolha Editar .
3. Em 'Group Policy Management Editor', navegue até:
- Configuração do usuário > Políticas > Modelos Administrativos > Sistema > Acesso de Armazenamento Removível
4. No painel da direita, clique duas vezes em: Discos Removíveis: Negar acesso de leitura. *
* Notas:
1. muitos tutoriais, neste momento, sugerem Ativar o ' Todas as classes de Armazenamento Removível: Negar todo o acesso'. mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
Se você quiser bloquear o acesso USB Write, selecione a opção Discos Removíveis: Negar acesso de escrita.
5. Confira Habilitado e clique ESTÁ BEM.
6. Fechar o Editor de Políticas do Grupo.
7. reiniciar o servidor e as máquinas do cliente, ou executar o gpupdate /force para aplicar as novas configurações da política de grupo (sem reiniciar) tanto para o servidor quanto para os clientes.
Parte 2: Como impedir o acesso a dispositivos de armazenamento USB em usuários de domínios específicos.
Para desativar o acesso a dispositivos de armazenamento USB apenas para usuários específicos usando uma política de grupo, você deve criar um grupo com usuários que não querem acessar dispositivos de armazenamento USB e, em seguida, aplicar a nova política a esse grupo:
Passo 1. criar um grupo com os usuários USB deficientes. *
Nota: Se você já criou um grupo com os usuários USB desabilitados, continue para o passo 2.
1. Aberto Usuários do Active Directory e Computadores.
2. Clique com o botão direito do mouse no botão " Usuários " objeto no painel da esquerda, e escolha Novo > Grupo
3. Digite um nome para o novo grupo (por exemplo, "USB Disabled Users") e clique em OK . *
Nota: Deixe as opções 'Global' e 'Security' marcadas.
4. Abra o grupo recém-criado, selecione a opção Membros separador e clique Adicione
5. Agora selecione em que domínio você deseja bloquear os dispositivos de armazenamento USB e clique em ESTÁ BEM.
6. Clique OK para fechar as propriedades do grupo.
Passo 2. criar um novo objeto de política de grupo para desativar os dispositivos de armazenamento USB.
1. Abra o Gestão de Políticas de Grupo.
2. Sob o objeto 'Domínios', clique com o botão direito do mouse no seu domínio e selecione Crie um GPO neste domínio e ligue-o aqui.
3. Digite um nome para o novo GPO (por exemplo, "USB Disabled") e clique em ESTÁ BEM.
4. Clique com o botão direito do mouse no novo GPO e clique em Editar.
5. Em 'Group Policy Management Editor', navegue até:
- Configuração do usuário > Políticas > Modelos Administrativos > Sistema > Acesso de Armazenamento Removível
4. No painel da direita, clique duas vezes em: Discos Removíveis: Negar acesso de leitura. *
* Nota:
1. muitos tutoriais, neste momento, sugerem Ativar o ' Todas as classes de Armazenamento Removível: Negar todo o acesso'. mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
Se você quiser bloquear o acesso USB Write, selecione a opção Discos Removíveis: Negar acesso de escrita.
5. Confira Habilitado e clique ESTÁ BEM.
6. Fechar o Editor de Gestão de Políticas de Grupo janela.
7. Volte para 'Group Policy Management', selecione a GPO "USB Disabled" e na guia 'Scope' clique no botão Adicione (sob as configurações de 'Filtragem de segurança').
8. digite o nome do grupo "USB disabled users" (por exemplo, "USB Disabled Users" neste post), e clique em OK .
9. Quando terminar, selecione a opção Delegação tab.
10. No separador "Delegação", selecione o Usuários Autenticados e clique Avançado.
11 Em Opções de Segurança, selecione o Usuários Autenticados e desmarcar o Aplicar a política de grupo Quando terminar, clique em ESTÁ BEM.
6. Fechar o Editor de Políticas do Grupo.
7. reiniciar o servidor e as máquinas do cliente, ou executar o " gpupdate /force " (como administrador), para aplicar as novas configurações de política de grupo (sem reiniciar) tanto para o servidor como para os clientes.
É isso! Diga-me se este guia o ajudou deixando o seu comentário sobre a sua experiência. Por favor, goste e partilhe este guia para ajudar os outros.
Andy Davis
O blog de um administrador de sistema sobre o Windows
