İçindekiler
Bu kılavuz, bir AD Etki Alanı 2016 veya 2012'de Grup İlkesi kullanarak tüm Etki Alanında veya belirli etki alanı kullanıcılarında USB depolama aygıtlarının nasıl engelleneceğine ilişkin adım adım talimatlar içerir. Daha spesifik olarak, bu kılavuzdaki talimatları okuduktan sonra, herhangi bir USB depolama aygıtına (flash sürücüler, harici sabit sürücüler, akıllı telefonlar, tabletler vb.bilgisayarına veya USB depolama erişimini yalnızca belirli etki alanı kullanıcılarına reddedin.
Günümüzde birçoğumuz veri aktarmak için USB depolama aygıtı kullanıyoruz. Ancak, bir kuruluş için çalışanlarının harici depolama aygıtlarını kullanabilmesi, kötü amaçlı yazılımların yayılması veya hassas verilerin ele geçirilmesi gibi güvenlik riskleri içerebilir. Bu risklerden kaçınmak için, etki alanınızdaki tüm kullanıcılara ve bilgisayarlara veya belirli kullanıcılara USB depolama aygıtlarına erişimi engellemek için aşağıdaki talimatları okuyabilirsinizGrup İlkesi kullanılarak yalnızca etki alanı kullanıcıları.
Notlar:
1. Bu yazıda, grup ilkesi aracılığıyla USB sürücüleri engellemek için, yeni grup ilkesini oluşturmak üzere bir Active Directory 2016 etki alanı denetleyicisi ve bunu uygulamak için Windows 10 Pro ve Windows 7 Pro iş istasyonları kullandık.
2. "USB Erişimini Engelle" ilkesi Etki Alanı Yöneticilerini veya USB Klavye, Fare, Yazıcı vb. gibi diğer bağlı USB aygıtlarını etkilemeyecektir.
3. Grup İlkesini uyguladıktan sonra, kullanıcılar herhangi bir USB Depolama aygıtına erişemeyecek ve bilgisayarlarında bir USB depolama aygıtına erişmeye çalıştıklarında aşağıdaki hata mesajlarından birini alacaklardır.
USB Depolama Aygıtlarına Erişimi Önlemek için Grup İlkesi Nasıl Kullanılır (Server 2012/2012R2/2016)
- Bölüm 1. Tüm Etki Alanı Kullanıcılarında USB Okuma/Yazma Erişimini Engelleyin. Bölüm 2. Belirli Etki Alanı Kullanıcıları için USB Okuma/Yazma Erişimini Engelleyin.
Bölüm 1. Tüm Etki Alanı 2016'da USB Depolama Aygıtlarına Erişim Nasıl Engellenir.
Etki alanındaki herhangi bir bilgisayara (kullanıcıya) bağlı herhangi bir USB depolama aygıtına erişimi devre dışı bırakmak için:
1. Server 2016 AD Etki Alanı Denetleyicisi'nde Sunucu Yöneticisi ve sonra Araçlar menüsünden Grup İlkesi Yönetimi. *
Ayrıca, şu adrese gidin Kontrol Paneli -> Yönetimsel Araçlar -> Grup İlkesi Yönetimi.
2. Altında Etki Alanları , alan adınızı seçin ve ardından sağ tıklama at Varsayılan Etki Alanı Politikası ve seçin Düzenle .
3. 'Grup İlkesi Yönetim Düzenleyicisi'nde şuraya gidin:
- Kullanıcı Yapılandırması > İlkeler > Yönetim Şablonları > Sistem > Çıkarılabilir Depolama Erişimi
4. Sağ bölmede, öğesine çift tıklayın: Çıkarılabilir Diskler: Okuma erişimini reddet.
* Notlar:
1. Bu noktada birçok öğretici şunları önermektedir Etkinleştir ' Tüm Çıkarılabilir Depolama sınıfları: Tüm erişimi reddet' politikasını uyguladık, ancak testlerimiz sırasında bu politikanın akıllı telefonlar veya tabletler için geçerli olmadığını (çalışmadığını) keşfettik.
2. USB Yazma erişimini engellemek istiyorsanız Çıkarılabilir Diskler: Yazma erişimini reddet.
5. Kontrol et Etkin ve tıklayın TAMAM.
6. Kapat Grup İlkesi Düzenleyicisi.
7. Yeniden Başlat sunucu ve istemci makineleri veya gpupdate /force komutunu kullanarak yeni grup ilkesi ayarlarını (yeniden başlatmadan) hem sunucuya hem de istemcilere uygulayabilirsiniz.
Bölüm 2. Belirli Etki Alanı Kullanıcılarında USB Depolama Aygıtlarına Erişim Nasıl Engellenir.
USB depolama aygıtlarına erişimi bir grup ilkesi kullanarak yalnızca belirli kullanıcılara devre dışı bırakmak için, USB depolama aygıtlarına erişmek istemeyen kullanıcıların bulunduğu bir grup oluşturmanız ve ardından yeni ilkeyi bu gruba uygulamanız gerekir. Bunu yapmak için
Adım 1. Devre Dışı USB Kullanıcıları ile bir Grup Oluşturun.
Not: Devre dışı bırakılmış USB kullanıcılarıyla zaten bir grup oluşturduysanız, adım-2 ile devam edin.
1. Açık Active Directory Kullanıcıları ve Bilgisayarları.
2. " simgesine sağ tıklayın Kullanıcılar " nesnesini sol bölmede seçin ve Yeni > Grup
3. Yeni grup için bir ad yazın (örneğin "USB Devre Dışı Kullanıcılar") ve OK . *
Not: 'Global' ve 'Güvenlik' seçeneklerini işaretli bırakın.
4. Yeni oluşturulan grubu açın ve Üyeler sekmesine tıklayın ve Ekle
5. Şimdi USB Depolama aygıtlarını hangi etki alanı kullanıcılarında engellemek istediğinizi seçin ve ardından TAMAM.
6. Tıklayın OK grup özelliklerini kapatmak için.
Adım 2. USB Depolama aygıtlarını Devre Dışı Bırakmak için Yeni bir Grup İlkesi Nesnesi oluşturun.
1. Açın Grup İlkesi Yönetimi.
2. 'Etki Alanları' nesnesi altında, etki alanınıza sağ tıklayın ve Bu etki alanında bir GPO oluşturun ve buraya bağlayın.
3. Yeni GPO için bir ad yazın (örneğin "USB Devre Dışı") ve TAMAM.
4. Yeni GPO'ya sağ tıklayın ve Düzenle.
5. 'Grup İlkesi Yönetim Düzenleyicisi'nde şuraya gidin:
- Kullanıcı Yapılandırması > İlkeler > Yönetim Şablonları > Sistem > Çıkarılabilir Depolama Erişimi
4. Sağ bölmede, öğesine çift tıklayın: Çıkarılabilir Diskler: Okuma erişimini reddet. *
* Not:
1. Bu noktada birçok öğretici şunları önermektedir Etkinleştir ' Tüm Çıkarılabilir Depolama sınıfları: Tüm erişimi reddet' politikasını uyguladık, ancak testlerimiz sırasında bu politikanın akıllı telefonlar veya tabletler için geçerli olmadığını (çalışmadığını) keşfettik.
2. USB Yazma erişimini engellemek istiyorsanız Çıkarılabilir Diskler: Yazma erişimini reddet.
5. Kontrol et Etkin ve tıklayın TAMAM.
6. Kapat ve Grup İlkesi Yönetimi Düzenleyicisi Pencere.
7. 'Grup İlkesi Yönetimi'ne geri dönün, "USB Devre Dışı" GPO'sunu seçin ve 'Kapsam' sekmesinde Ekle düğmesi ('Güvenlik filtreleme' ayarları altında).
8. "USB engelli kullanıcılar" grubunun adını yazın (örneğin bu yazıda "USB Engelli Kullanıcılar") ve OK .
9. İşiniz bittiğinde Delegasyon sekmesi.
10. 'Delegasyon' sekmesinde, seçin ve Kimliği Doğrulanmış Kullanıcılar ve tıklayın Gelişmiş.
11 . Güvenlik seçeneklerinde, seçin ve Kimliği Doğrulanmış Kullanıcılar ve işaretini kaldır ve Grup ilkesini uygulama onay kutusunu işaretleyin. TAMAM.
6. Kapat Grup İlkesi Düzenleyicisi.
7. Yeniden Başlat sunucu ve istemci makinelerde çalıştırın veya " gpupdate /force " komutuyla (yönetici olarak), yeni grup ilkesi ayarlarını (yeniden başlatmadan) hem sunucuya hem de istemcilere uygulayın.
İşte bu kadar! Bu rehberin size yardımcı olup olmadığını, deneyiminizle ilgili yorumunuzu bırakarak bana bildirin. Lütfen başkalarına yardımcı olmak için bu rehberi beğenin ve paylaşın.
Andy Davis
Windows hakkında bir sistem yöneticisinin günlüğü
