Cum să blocați dispozitivele de stocare USB pe un domeniu 2016/2012 cu ajutorul Politicii de grup.

Acest ghid conține instrucțiuni pas cu pas despre cum să blocați dispozitivele de stocare USB pe întregul domeniu sau pe anumiți utilizatori ai domeniului prin utilizarea Politicii de grup într-un domeniu AD 2016 sau 2012. Mai exact, după ce veți citi instrucțiunile din acest ghid veți învăța cum să împiedicați accesul la orice dispozitiv de stocare USB (unități flash, hard disk-uri externe, smartphone-uri, tablete etc.), care se poate conecta la oricecalculator din domeniu sau refuzați accesul la spațiul de stocare USB numai pentru anumiți utilizatori din domeniu.

În prezent, mulți dintre noi folosesc un dispozitiv de stocare USB pentru a transfera date. Cu toate acestea, pentru o organizație, capacitatea angajaților săi de a utiliza dispozitive de stocare externe poate conține riscuri de securitate, cum ar fi răspândirea de programe malware sau interceptarea de date sensibile. Pentru a evita aceste riscuri, puteți citi următoarele instrucțiuni pentru a bloca accesul la dispozitivele de stocare USB pentru toți utilizatorii și computerele din domeniul dvs. sau pentru anumiținumai pentru utilizatorii domeniului, prin utilizarea Politicii de grup. *

Note:
1. În această postare, pentru a bloca unitățile USB prin politica de grup, am folosit un controler de domeniu Active Directory 2016 pentru a crea noua politică de grup și stații de lucru Windows 10 Pro & Windows 7 Pro pentru a o aplica.
2. Politica "Block USB Access" (Blocare acces USB) nu va afecta administratorii de domeniu sau orice alt dispozitiv USB conectat, cum ar fi tastaturi USB, mouse, imprimante etc.
3. După aplicarea Politicii de grup, utilizatorii nu vor avea acces la niciun tip de dispozitiv de stocare USB și vor primi unul dintre următoarele mesaje de eroare atunci când vor încerca să acceseze un dispozitiv de stocare USB pe PC-ul lor.

Cum se utilizează Politica de grup pentru a împiedica accesul la dispozitivele de stocare USB (Server 2012/2012R2/2016)

• Partea 1. Blocați accesul USB la citire/scriere pentru toți utilizatorii domeniului. Partea 2. Blocați accesul USB la citire/scriere pentru anumiți utilizatori ai domeniului.

Partea 1. Cum să blocați accesul la dispozitivele de stocare USB pe întregul domeniu 2016.

Pentru a dezactiva accesul la orice dispozitiv de stocare USB conectat la orice computer (utilizator) din domeniu:

1. În serverul 2016 AD Domain Controller, deschideți fereastra Manager de server și apoi de la Unelte deschideți meniul Gestionarea politicilor de grup. *

În plus, navigați la Panoul de control -> Instrumente administrative -> Gestionarea politicilor de grup.

2. Sub Domenii , selectați domeniul dvs. și apoi click dreapta la Politica de domeniu implicită și alegeți Editați .

3. În "Group Policy Management Editor", navigați la:

• Configurare utilizatori > Politici > Șabloane administrative > Sistem > Acces la stocarea amovibilă

4. În panoul din dreapta, faceți dublu clic pe: Discuri detașabile: Refuzați accesul la citire. *

* Note:
1. Multe tutoriale din acest moment sugerează să Activați de Toate clasele de stocare detașabilă: Refuzați orice acces". dar, în timpul testelor noastre, am descoperit că această politică nu se aplică (funcționează) pentru smartphone-uri sau tablete.
2. Dacă doriți să blocați accesul la USB Write, selectați opțiunea Discuri detașabile: Refuzați accesul la scriere.

5. Verificați Activat și faceți clic pe BINE.

6. Închideți Editorul de politici de grup.
7. Reporniți serverul și mașinile client, sau rulați programul gpupdate /force pentru a aplica noile setări ale politicii de grup (fără repornire) atât serverului, cât și clienților.

Partea 2. Cum să împiedicați accesul la dispozitivele de stocare USB pentru anumiți utilizatori de domeniu.

Pentru a dezactiva accesul la dispozitivele de stocare USB numai pentru anumiți utilizatori prin utilizarea unei politici de grup, trebuie să creați un grup cu utilizatorii care nu doresc să acceseze dispozitive de stocare USB și apoi să aplicați noua politică acestui grup. Pentru a face acest lucru:

Pasul 1. Creați un grup cu utilizatorii USB dezactivați. *

Notă: Dacă ați creat deja un grup cu utilizatorii USB dezactivați, treceți la pasul 2.

1. Deschideți Active Directory Users and Computers.
2. Faceți clic dreapta pe " Utilizatori " din panoul din stânga, apoi alegeți Nou > Grupul

3. Introduceți un nume pentru noul grup (de exemplu, "USB Disabled Users") și faceți clic pe OK . *

Notă: Lăsați opțiunile "Global" și "Security" bifate.

4. Deschideți grupul nou creat, selectați grupul Membri și faceți clic pe Adăugați

5. Acum selectați în care utilizator(i) de domeniu doriți să blocați dispozitivele de stocare USB și apoi faceți clic pe BINE.

6. Faceți clic pe OK pentru a închide proprietățile grupului.

Pasul 2. Creați un nou obiect de politică de grup pentru a dezactiva dispozitivele de stocare USB.

1. Deschideți fereastra Gestionarea politicilor de grup.
2. În cadrul obiectului "Domenii", faceți clic dreapta pe domeniul dvs. și selectați Creați un GPO în acest domeniu și conectați-l aici.

3. Introduceți un nume pentru noul GPO (de exemplu, "USB Disabled") și faceți clic pe BINE.

4. Faceți clic dreapta pe noul GPO și faceți clic pe Editați.

5. În "Group Policy Management Editor", navigați la:

• Configurare utilizatori > Politici > Șabloane administrative > Sistem > Acces la stocarea amovibilă

4. În panoul din dreapta, faceți dublu clic pe: Discuri detașabile: Refuzați accesul la citire. *

* Notă:
1. Multe tutoriale din acest moment sugerează să Activați de Toate clasele de stocare detașabilă: Refuzați orice acces". dar, în timpul testelor noastre, am descoperit că această politică nu se aplică (funcționează) pentru smartphone-uri sau tablete.
2. Dacă doriți să blocați accesul la USB Write, selectați opțiunea Discuri detașabile: Refuzați accesul la scriere.

5. Verificați Activat și faceți clic pe BINE.

6. Închideți la Editor de gestionare a politicilor de grup fereastră.

7. Înapoi la 'Group Policy Management', selectați GPO "USB Disabled" și în fila 'Scope' faceți clic pe butonul Adăugați (în cadrul setărilor "Security filtering").

8. Introduceți numele grupului "Utilizatori cu handicap USB" (de exemplu, "Utilizatori cu handicap USB" în acest post) și faceți clic pe OK .

9. După aceea, selectați Delegație tab.

10. În fila "Delegare", selectați la Utilizatori autentificați și faceți clic pe Avansat.

11 . la Opțiuni de securitate, selectați la Utilizatori autentificați și debifați la Aplicarea politicii de grup Când ați terminat, faceți clic pe BINE.

6. Închideți Editorul de politici de grup.
7. Reporniți serverul și mașinile client, sau rulați fișierul " gpupdate /force " (în calitate de administrator), pentru a aplica noile setări ale politicii de grup (fără repornire) atât serverului, cât și clienților.

Asta este! Spuneți-mi dacă acest ghid v-a ajutat, lăsând un comentariu despre experiența dvs. Vă rugăm să dați like și să distribuiți acest ghid pentru a-i ajuta și pe alții.