Kako blokirati naprave za shranjevanje USB v domeni 2016/2012 s skupinsko politiko.

Kako blokirati naprave za shranjevanje USB v domeni 2016/2012 s skupinsko politiko.

15-02-2023 Kako
Andy Davis

Ta vodnik vsebuje navodila po korakih, kako z uporabo skupinske politike v domeni AD 2016 ali 2012 blokirati pomnilniške naprave USB v celotni domeni ali pri določenih uporabnikih domene. Natančneje, po branju navodil v tem vodniku boste izvedeli, kako preprečiti dostop do vseh pomnilniških naprav USB (bliskovni pogoni, zunanji trdi diski, pametni telefoni, tablice itd.), ki se lahko priključijo na katero koliračunalnika v domeni ali pa dostop do pomnilnika USB zavrnite samo določenim uporabnikom domene.

Danes mnogi med nami za prenos podatkov uporabljajo pomnilniško napravo USB. Vendar pa lahko možnost, da zaposleni uporabljajo zunanje pomnilniške naprave, za organizacijo pomeni varnostno tveganje, kot je širjenje zlonamerne programske opreme ali prestrezanje občutljivih podatkov. Da bi se izognili tem tveganjem, si lahko preberete naslednja navodila za blokiranje dostopa do pomnilniških naprav USB za vse uporabnike in računalnike v vaši domeni ali za določenesamo za uporabnike domene, in sicer z uporabo skupinske politike. *

Opombe:
1. V tem prispevku smo za blokiranje pogonov USB prek skupinske politike uporabili krmilnik domene Active Directory 2016 za ustvarjanje nove skupinske politike ter delovne postaje Windows 10 Pro in Windows 7 Pro za njeno uporabo.
2. Politika "Blokiraj dostop USB" ne bo vplivala na upravitelje domene ali katero koli drugo priključeno napravo USB, kot so tipkovnice USB, miške, tiskalniki itd.
3. Po uporabi skupinske politike uporabniki ne bodo imeli dostopa do nobene vrste naprave za shranjevanje USB in bodo pri poskusu dostopa do naprave za shranjevanje USB v računalniku prejeli eno od naslednjih sporočil o napaki.

Kako s skupinsko politiko preprečiti dostop do naprav za shranjevanje USB (Server 2012/2012R2/2016)

  • Del 1. Blokiranje dostopa do branja/pisanja na USB za vse uporabnike domene. Del 2. Blokiranje dostopa do branja/pisanja na USB za določene uporabnike domene.

Del 1. Kako blokirati dostop do naprav za shranjevanje USB v celotni domeni 2016.

Onemogočanje dostopa do katere koli priključene naprave za shranjevanje USB kateremu koli računalniku (uporabniku) v domeni:

1. V domenskem krmilniku AD strežnika 2016 odprite Upravitelj strežnika in nato iz Orodja v meniju odprite Upravljanje politik skupine. *

Poleg tega se pomaknite v Nadzorna plošča -> Upravna orodja -> Upravljanje politik skupine.

2. Pod naslovom Domene , izberite svojo domeno in nato desni klik na spletni strani . Privzeta politika domene in izberite Uredi .

3. V programu "Group Policy Management Editor" (Urejevalnik upravljanja skupinskih politik) se pomaknite na:

  • Konfiguracija uporabnika > Politike > Upravne predloge > Sistem > Dostop do izmenljivega pomnilnika

4. V desnem podoknu dvakrat kliknite na: Odstranljivi diski: zavrnite dostop za branje. *

* Opombe:
1. Številna navodila na tej točki predlagajo, da Omogočite Vsi razredi izmenljivega pomnilnika: zavrnitev vseh dostopov vendar smo med testiranjem ugotovili, da ta pravilnik ne velja (deluje) za pametne telefone in tablične računalnike.
2. Če želite blokirati dostop do zapisovanja USB, izberite Odstranljivi diski: Prepovejte dostop do pisanja.

5. Preverite Omogočeno in kliknite V REDU.

6. Zapri v urejevalniku skupinskih politik.
7. Ponovni zagon strežnika in odjemalskih računalnikov ali zaženite gpupdate /force za uporabo novih nastavitev skupinske politike (brez ponovnega zagona) v strežniku in odjemalcih.

Del 2. Kako preprečiti dostop do naprav za shranjevanje USB določenim uporabnikom domene.

Če želite dostop do pomnilniških naprav USB prepovedati samo določenim uporabnikom z uporabo skupinske politike, morate ustvariti skupino z uporabniki, ki ne želijo dostopati do pomnilniških naprav USB, in nato uporabiti novo politiko za to skupino. To storite tako:

Korak 1. Ustvarite skupino z Onemogočeni uporabniki USB. *

Opomba: Če ste že ustvarili skupino z onemogočenimi uporabniki USB, nadaljujte s korakom 2.

1. Odpri Uporabniki in računalniki v imeniku Active Directory.
2. Z desno tipko miške kliknite na " Uporabniki " v levem podoknu in izberite Novo > Skupina

3. Vnesite ime za novo skupino (npr. "USB Disabled Users") in kliknite OK . *

Opomba: Možnosti "Global" in "Security" pustite označeni.

4. Odprite novo ustvarjeno skupino, izberite Člani in kliknite zavihek Dodaj

5. Zdaj izberite, v kateri domeni želite blokirati naprave za shranjevanje USB, in kliknite V REDU.

6. Kliknite . OK za zapiranje lastnosti skupine.

Korak 2. Ustvarite nov objekt skupinske politike za onemogočanje naprav za shranjevanje USB.

1. Odprite Upravljanje politik skupine.
2. V objektu "Domene" z desno tipko miške kliknite na svojo domeno in izberite Ustvarite GPO v tej domeni in ga povežite sem.

3. Vnesite ime novega GPO (npr. "USB Disabled") in kliknite V REDU.

4. Z desno tipko miške kliknite nov GPO in kliknite Urejanje.

5. V programu "Group Policy Management Editor" (Urejevalnik upravljanja skupinskih politik) se pomaknite na:

  • Konfiguracija uporabnika > Politike > Upravne predloge > Sistem > Dostop do izmenljivega pomnilnika

4. V desnem podoknu dvakrat kliknite na: Odstranljivi diski: Prepovejte dostop do branja. *

* Opomba:
1. Številna navodila na tej točki predlagajo, da Omogočite Vsi razredi izmenljivega pomnilnika: zavrnitev vseh dostopov vendar smo med testiranjem ugotovili, da ta pravilnik ne velja (deluje) za pametne telefone ali tablične računalnike.
2. Če želite blokirati dostop do zapisovanja USB, izberite Odstranljivi diski: Prepovejte dostop do pisanja.

5. Preverite Omogočeno in kliknite V REDU.

6. Zapri . Urejevalnik upravljanja skupinskih politik okno.

7. Vrnite se v "Upravljanje politik skupine", izberite GPO "USB Disabled" in na zavihku "Področje uporabe" kliknite Dodaj (v nastavitvah varnostnega filtriranja).

8. Vnesite ime skupine "USB disabled users" (npr. "USB Disabled Users" v tem prispevku) in kliknite OK .

9. Ko končate, izberite Delegacija zavihek.

10. V zavihku "Delegacija", izberite . Avtentificirani uporabniki in kliknite Napredno.

11 Na Varnostne možnosti, izberite . Avtentificirani uporabniki in . odkljukajte . Uporaba pravilnika skupine potrditveno polje. Ko končate, kliknite V REDU.

6. Zapri v urejevalniku skupinskih politik.
7. Ponovni zagon strežnika in odjemalskih računalnikov ali zaženite " gpupdate /force " (kot skrbnik), da uporabite nove nastavitve skupinske politike (brez ponovnega zagona) za strežnik in odjemalce.

To je to! Povejte mi, ali vam je ta vodnik pomagal, tako da pustite komentar o svoji izkušnji. Všečkajte in delite ta vodnik, da pomagate drugim.


Andy Davis

Blog sistemskega skrbnika o sistemu Windows

Prejšnja objava Kako načrtovati varnostno kopiranje in sinhronizacijo Google.
Naslednja objava Kako nastaviti virtualni stroj Hyper-V v operacijskem sistemu Windows 11/10.
Leave a comment