Ako zablokovať úložné zariadenia USB v doméne 2016/2012 pomocou zásad skupiny.

Táto príručka obsahuje postupné pokyny, ako zablokovať úložné zariadenia USB v celej doméne alebo u konkrétnych používateľov domény pomocou zásad skupiny v doméne AD 2016 alebo 2012. Konkrétne sa po prečítaní pokynov v tejto príručke dozviete, ako zabrániť prístupu k akémukoľvek úložnému zariadeniu USB (flashdisky, externé pevné disky, smartfóny, tablety atď.), ktoré sa môže pripojiť k akémukoľvekpočítača v doméne alebo zakázať prístup k úložisku USB len konkrétnym používateľom domény.

Dnes mnohí z nás používajú na prenos údajov úložné zariadenie USB. Pre organizáciu však môže možnosť jej zamestnancov používať externé úložné zariadenia obsahovať bezpečnostné riziká, ako je šírenie škodlivého softvéru alebo zachytávanie citlivých údajov. Aby ste sa týmto rizikám vyhli, môžete si prečítať nasledujúce pokyny na zablokovanie prístupu k úložným zariadeniam USB pre všetkých používateľov a počítače vo vašej doméne alebo pre určitélen pre používateľov domény pomocou zásad skupiny. *

Poznámky:
1. V tomto príspevku sme na blokovanie diskov USB prostredníctvom zásad skupiny použili radič domény Active Directory 2016 na vytvorenie novej zásady skupiny a pracovné stanice so systémom Windows 10 Pro a Windows 7 Pro na jej použitie.
2. Zásada "Blokovať prístup USB" neovplyvní správcov domény ani žiadne iné pripojené zariadenie USB, ako sú klávesnice USB, myš, tlačiareň atď.
3. Po uplatnení zásad skupiny nebudú mať používatelia prístup k žiadnemu typu úložného zariadenia USB a pri pokuse o prístup k úložnému zariadeniu USB na svojom počítači dostanú jedno z nasledujúcich chybových hlásení.

Ako pomocou zásad skupiny zabrániť prístupu k úložným zariadeniam USB (Server 2012/2012R2/2016)

• Časť 1. Blokovanie prístupu na USB na čítanie/zápis pre všetkých používateľov domény. Časť 2. Blokovanie prístupu na USB na čítanie/zápis pre určitých používateľov domény.

Časť 1. Ako zablokovať prístup k úložným zariadeniam USB v celej doméne 2016.

Zakázanie prístupu k akémukoľvek pripojenému úložnému zariadeniu USB pre akýkoľvek počítač (používateľa) v doméne:

1. V radiči domény AD servera 2016 otvorte Správca servera a potom z Nástroje otvorte ponuku Správa zásad skupiny. *

Okrem toho prejdite na Ovládací panel -> Administratívne nástroje -> Správa zásad skupiny.

2. Pod Domény , vyberte svoju doménu a potom kliknutie pravým tlačidlom myši na adrese Predvolené zásady domény a vyberte Upraviť .

3. V aplikácii Editor správy zásad skupiny prejdite na:

• Konfigurácia používateľa > Zásady > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku

4. Na pravom paneli dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *

* Poznámky:
1. Mnohé návody v tomto bode navrhujú Povolenie stránky Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup ale počas našich testov sme zistili, že táto zásada neplatí (nefunguje) pre smartfóny a tablety.
2. Ak chcete zablokovať prístup k zápisu do USB, vyberte položku Vymeniteľné disky: Zakázať prístup k zápisu.

5. Skontrolujte stránku . Povolené a kliknite na V PORIADKU.

6. Zatvoriť Editor zásad skupiny.
7. Reštartovanie servera a klientských počítačov alebo spustite gpupdate /force použiť nové nastavenia zásad skupiny (bez reštartu) na server aj klientov.

Časť 2. Ako zabrániť prístupu k úložným zariadeniam USB konkrétnym používateľom domény.

Ak chcete zakázať prístup k úložným zariadeniam USB len konkrétnym používateľom pomocou skupinovej politiky, musíte vytvoriť skupinu s používateľmi, ktorí nechcú mať prístup k úložným zariadeniam USB, a potom na túto skupinu aplikovať novú politiku. Ak to chcete urobiť:

Krok 1. Vytvorte skupinu so zakázanými používateľmi USB. *

Poznámka: Ak ste už vytvorili skupinu so zakázanými používateľmi USB, pokračujte krokom 2.

1. Otvoriť Používatelia a počítače služby Active Directory.
2. Kliknite pravým tlačidlom myši na " Používatelia " na ľavom paneli a vyberte položku Nový > Skupina

3. Zadajte názov novej skupiny (napr. "USB Disabled Users") a kliknite na tlačidlo OK . *

Poznámka: Možnosti "Global" a "Security" nechajte začiarknuté.

4. Otvorte novovytvorenú skupinu, vyberte Členovia a kliknite na kartu Pridať

5. Teraz vyberte, u ktorých používateľov domény chcete zablokovať úložné zariadenia USB, a potom kliknite na tlačidlo V PORIADKU.

6. Kliknite na . OK na zatvorenie vlastností skupiny.

Krok 2. Vytvorte nový objekt zásad skupiny na zakázanie úložných zariadení USB.

1. Otvorte Správa zásad skupiny.
2. V objekte "Domény" kliknite pravým tlačidlom myši na svoju doménu a vyberte položku Vytvorte objekt GPO v tejto doméne a prepojte ho sem.

3. Zadajte názov nového GPO (napr. "USB Disabled") a kliknite na tlačidlo V PORIADKU.

4. Kliknite pravým tlačidlom myši na nový GPO a kliknite na položku Upraviť.

5. V aplikácii Editor správy zásad skupiny prejdite na:

• Konfigurácia používateľa > Zásady > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku

4. Na pravom paneli dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *

* Poznámka:
1. Mnohé návody v tomto bode navrhujú Povolenie stránky Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup ale počas našich testov sme zistili, že táto zásada neplatí (nefunguje) pre smartfóny a tablety.
2. Ak chcete zablokovať prístup k zápisu do USB, vyberte položku Vymeniteľné disky: Zakázať prístup k zápisu.

5. Skontrolujte stránku . Povolené a kliknite na V PORIADKU.

6. Zatvoriť . Editor správy zásad skupiny okno.

7. Vráťte sa do "Group Policy Management", vyberte GPO "USB Disabled" a na karte "Scope" kliknite na Pridať (v rámci nastavení "Bezpečnostné filtrovanie").

8. Zadajte názov skupiny "USB disabled users" (napr. v tomto príspevku "USB Disabled Users") a kliknite na tlačidlo OK .

9. Po dokončení vyberte Delegácia tab.

10. Na karte Delegovanie, vybrať . Overení používatelia a kliknite na Pokročilé.

11 . pri možnostiach zabezpečenia, vybrať . Overení používatelia a zrušte začiarknutie . Uplatnenie zásad skupiny začiarkavacie políčko. Po dokončení kliknite na V PORIADKU.

6. Zatvoriť Editor zásad skupiny.
7. Reštartovanie servera a klientských počítačov alebo spustite príkaz " gpupdate /force " (ako správca), aby ste použili nové nastavenia zásad skupiny (bez reštartu) na server aj klientov.

To je všetko! Dajte mi vedieť, či vám tento návod pomohol, a zanechajte komentár o svojich skúsenostiach. Prosím, lajkujte a zdieľajte tento návod, aby ste pomohli ostatným.