Innehållsförteckning
Den här guiden innehåller steg-för-steg-instruktioner om hur du blockerar USB-lagringsenheter på hela domänen eller på specifika domänanvändare med hjälp av grupprinciper i en AD-domän 2016 eller 2012. När du läser instruktionerna i den här guiden kommer du att lära dig hur du förhindrar åtkomst till USB-lagringsenheter (flash-enheter, externa hårddiskar, smartphones, surfplattor etc.) som kan anslutas till någon av följandedator i domänen eller neka åtkomst till USB-lagringsutrymmet endast för specifika domänanvändare.
Idag använder många av oss en USB-lagringsenhet för att överföra data. För en organisation kan dock de anställdas möjlighet att använda externa lagringsenheter innehålla säkerhetsrisker, t.ex. att sprida skadlig kod eller snappa upp känsliga data. För att undvika dessa risker kan du läsa följande instruktioner för att blockera åtkomst till USB-lagringsenheter för alla användare och datorer i din domän eller för vissaendast domänanvändare, med hjälp av grupprinciper. *
Anteckningar:
1. För att blockera USB-enheter med hjälp av en grupprincip använder vi i det här inlägget en Active Directory 2016-domänkontrollant för att skapa den nya grupprincipen och arbetsstationer med Windows 10 Pro och Windows 7 Pro för att tillämpa den.
2. Principen "Blockera USB-åtkomst" påverkar inte domänadministratörer eller andra anslutna USB-enheter, t.ex. USB-tangentbord, mus, skrivare osv.
3. Efter att ha tillämpat grupprincipen har användarna inte tillgång till någon typ av USB-lagringsenhet och får ett av följande felmeddelanden när de försöker komma åt en USB-lagringsenhet på sin dator.
Så här använder du Grupprincip för att förhindra åtkomst till USB-lagringsenheter (Server 2012/2012R2/2016)
- Del 1. Blockera USB-läs- och skrivåtkomst för alla domänanvändare. Del 2. Blockera USB-läs- och skrivåtkomst för vissa domänanvändare.
Del 1. Hur du blockerar åtkomst till USB-lagringsenheter på hela domänen 2016.
Om du vill inaktivera åtkomsten till en ansluten USB-lagringsenhet för alla datorer (användare) i domänen:
1. I Server 2016 AD-domänkontrollanten öppnar du Serveransvarig och sedan från Verktyg menyn, öppnar du Hantering av grupprinciper. *
Navigera dessutom till Kontrollpanel -> Administrativa verktyg -> Hantering av grupprinciper.
2. Under Domäner , välj din domän och sedan högerklicka på Standarddomänpolicy och väljer Redigera .
3. Navigera till Redigeraren för hantering av grupprinciper i:
- Användarkonfiguration > Strategier > Administrativa mallar > System > Tillgång till flyttbar lagring
4. I den högra rutan dubbelklickar du på: Flyttbara diskar: Neka läsbehörighet. *
* Anteckningar:
1. I många handledningar föreslås att man ska Aktivera den Alla flyttbara lagringsklasser: Neka all åtkomst". men under våra tester upptäckte vi att denna policy inte gäller (fungerar) för smartphones eller surfplattor.
2. Om du vill blockera USB-skrivåtkomsten väljer du Flyttbara diskar: Neka skrivåtkomst.
5. Kontrollera Aktiverad och klicka på OKEJ.
6. Stäng i Redigeraren för grupprinciper.
7. Starta om servern och klientmaskinerna, eller kör programmet gpupdate /force för att tillämpa de nya grupprincipinställningarna (utan omstart) på både server och klienter.
Del 2. Hur du förhindrar åtkomst till USB-lagringsenheter för specifika domänanvändare.
Om du vill inaktivera åtkomst till USB-lagringsenheter för specifika användare med hjälp av en grupprincip måste du skapa en grupp med användare som inte vill ha åtkomst till USB-lagringsenheter och sedan tillämpa den nya principen på den här gruppen. Det gör du på följande sätt:
Steg 1. Skapa en grupp med de handikappade USB-användarna. *
Obs: Om du redan har skapat en grupp med de inaktiverade USB-användarna fortsätter du med steg 2.
1. Öppna Active Directory Användare och datorer.
2. Högerklicka på " Användare "i den vänstra rutan och välj Ny > Grupp
3. Ange ett namn för den nya gruppen (t.ex. "USB Disabled Users") och klicka på OK . *
Obs: Låt alternativen "Global" och "Security" vara markerade.
4. Öppna den nyskapade gruppen, välj Ledamöter och klickar på Lägg till
5. Välj nu för vilka domänanvändare du vill blockera USB-lagringsenheterna och klicka sedan på OKEJ.
6. Klicka på OK för att stänga gruppegenskaper.
Steg 2. Skapa ett nytt grupprincipobjekt för att inaktivera USB-lagringsenheter.
1. Öppna Hantering av grupprinciper.
2. Högerklicka på din domän under objektet "Domäner" och välj Skapa ett grupprincipobjekt i den här domänen och länka det hit.
3. Ange ett namn för det nya grupprincipobjektet (t.ex. "USB Disabled") och klicka på OKEJ.
4. Högerklicka på det nya grupprincipobjektet och klicka på Redigera.
5. Navigera till Redigeraren för hantering av grupprinciper i:
- Användarkonfiguration > Strategier > Administrativa mallar > System > Tillgång till flyttbar lagring
4. I den högra rutan dubbelklickar du på: Flyttbara diskar: Förnekar läsbehörighet. *
* Obs:
1. I många handledningar föreslås att man ska Aktivera den Alla flyttbara lagringsklasser: Neka all åtkomst". men under våra tester upptäckte vi att denna policy inte gäller (fungerar) för smartphones eller surfplattor.
2. Om du vill blockera USB Write-åtkomsten väljer du Flyttbara diskar: Neka skrivåtkomst.
5. Kontrollera Aktiverad och klicka på OKEJ.
6. Stäng Redaktör för hantering av grupprinciper fönster.
7. Tillbaka till "Group Policy Management", välj GPO "USB Disabled" och klicka på fliken "Scope" (omfattning) på Lägg till (under inställningarna för säkerhetsfiltrering).
8. Skriv namnet på gruppen "USB-handikappade användare" (t.ex. "USB-handikappade användare" i det här inlägget) och klicka på OK .
9. När du är klar väljer du Delegationen fliken.
10. På fliken Delegering, Välj Autentiserade användare och klicka på Avancerad.
11 . vid Säkerhetsalternativ, Välj Autentiserade användare och avmarkera Tillämpa grupprincip När du är klar klickar du på OKEJ.
6. Stäng i Redigeraren för grupprinciper.
7. Starta om servern och klientmaskinerna, eller kör " gpupdate /force "(som administratör) för att tillämpa de nya grupprincipinställningarna (utan omstart) på både server och klienter.
Låt mig veta om den här guiden har hjälpt dig genom att lämna en kommentar om dina erfarenheter. Gilla och dela den här guiden för att hjälpa andra.
Andy Davis
En systemadministratörs blogg om Windows
