Як заблокувати USB-накопичувачі в домені 2016/2012 за допомогою групової політики.

Даний посібник містить покрокову інструкцію по блокуванню USB-накопичувачів на всьому домені або у певних користувачів домену за допомогою групової політики в AD Домені 2016 або 2012. Зокрема, прочитавши інструкцію, ви дізнаєтеся, як заборонити доступ до будь-яких USB-накопичувачів (флешки, зовнішні жорсткі диски, смартфони, планшети і т.д.), які можуть підключатися до будь-якого комп'ютера.комп'ютера в домені, або заборонити доступ до USB-накопичувача тільки певним користувачам домену.

Сьогодні багато хто з нас використовує USB-накопичувачі для передачі даних. Однак для організації можливість її співробітників використовувати зовнішні запам'ятовуючі пристрої може містити ризики для безпеки, такі як поширення шкідливого програмного забезпечення або перехоплення конфіденційних даних. Щоб уникнути цих ризиків, ви можете ознайомитися з наступними інструкціями, щоб заблокувати доступ до USB-накопичувачів всім користувачам і комп'ютерам у вашому домені або для певнихтільки для користувачів домену, за допомогою групової політики. *

Нотатки:
1. для блокування USB-накопичувачів за допомогою групової політики ми використовували контролер домену Active Directory 2016 для створення нової групової політики та робочі станції Windows 10 Pro та Windows 7 Pro для її застосування.
2. політика "Блокування доступу до USB" не буде впливати на Адміністраторів домену або будь-які інші підключені USB-пристрої, такі як USB-клавіатури, миші, принтери і т.д.
3. після застосування групової політики користувачі не матимуть доступу до жодного типу USB-накопичувачів, а при спробі отримати доступ до USB-накопичувача на своєму комп'ютері будуть отримувати одне з наступних повідомлень про помилку.

Як за допомогою групової політики заборонити доступ до USB-накопичувачів (Server 2012/2012R2/2016)

• Частина 1. Блокування доступу до читання/запису USB для всіх користувачів домену. Частина 2. Блокування доступу до читання/запису USB для певних користувачів домену.

Частина 1. Як заблокувати доступ до USB-накопичувачів на всьому домені 2016.

Заборонити доступ до будь-якого підключеного USB-накопичувача будь-якому комп'ютеру (користувачеві) в домені:

1. В контролері доменів Server 2016 AD відкрийте розділ Менеджер серверів а потім від Інструменти відкрийте меню Управління груповою політикою. *

Крім того, перейдіть до Панель управління -> Адміністративні інструменти -> Управління груповою політикою.

2. Під Домени виберіть свій домен, а потім клацніть правою кнопкою миші на Політика домену за замовчуванням та обирайте Редагувати .

3. В "Редакторі керування груповою політикою" перейдіть до:

• Конфігурація користувача > Політики > Адміністративні шаблони > Система Доступ до знімного сховища

4. На правій панелі двічі клацніть по кнопці at: Знімні диски: Заборонити доступ до читання. *

* Примітки:
1. багато навчальних посібників на даний момент пропонують Увімкнути "У нас є "У нас є". Всі класи знімних носіїв: Заборонити доступ' але під час тестування ми виявили, що ця політика не застосовується (не працює) для смартфонів та планшетів.
2. якщо ви хочете заблокувати доступ до запису на USB, виберіть Знімні диски: Заборонити доступ на запис.

5. Перевірте. Увімкнено і натисніть ГАРАЗД.

6. Закрити редактор групової політики.
7. перезапуск на сервері та клієнтських машинах, або запустити gpupdate /force для застосування нових налаштувань групової політики (без перезавантаження) як на сервері, так і на клієнтах.

Частина 2. Як заборонити доступ до USB-накопичувачів користувачам певного домену.

Щоб заборонити доступ до USB-накопичувачів певним користувачам тільки за допомогою групової політики, необхідно створити групу з користувачами, які не бажають мати доступ до USB-накопичувачів, а потім застосувати нову політику до цієї групи. Для цього необхідно створити групу з користувачами, які не бажають мати доступ до USB-накопичувачів, і застосувати нову політику до цієї групи:

Крок 1. Створіть групу з відключеними користувачами USB *.

Примітка: Якщо ви вже створили групу з відключеними користувачами USB, перейдіть до кроку 2.

1. Відкрито Користувачі та комп'ютери Active Directory.
2. Клацніть правою кнопкою миші по кнопці " Користувачі " на лівій панелі та виберіть Новий > Група

3. Введіть назву для нової групи (наприклад, "Користувачі з обмеженими можливостями USB") і натисніть OK . *

Примітка: Залиште опції "Глобальний" та "Безпека" відміченими.

4. Відкрийте новостворену групу, виберіть пункт Члени вкладку та натисніть Додати

5. Тепер виберіть, у якого користувача (-ів) домену ви хочете заблокувати USB-накопичувачі, а потім натисніть ГАРАЗД.

6. Натисніть OK закрити групові об'єкти.

Крок 2: Створіть новий об'єкт групової політики для відключення USB-накопичувачів.

1. Відкрийте Управління груповою політикою.
2. Під об'єктом "Домени" натисніть правою кнопкою миші на вашому домені і виберіть Створіть GPO в цьому домені і прив'яжіть його тут.

3. Введіть ім'я нового GPO (наприклад, "USB Disabled") і натисніть ГАРАЗД.

4. Клацніть правою кнопкою миші на новому GPO і виберіть Редагувати.

5. В "Редакторі керування груповою політикою" перейдіть до:

• Конфігурація користувача > Політики > Адміністративні шаблони > Система Доступ до знімного сховища

4. На правій панелі двічі клацніть по кнопці at: Знімні диски: Заборонити доступ до читання. *

* Примітка:
1. багато навчальних посібників на даний момент пропонують Увімкнути "У нас є "У нас є". Всі класи знімних носіїв: Заборонити доступ' але під час тестування ми виявили, що ця політика не застосовується (не працює) для смартфонів та планшетів.
2. якщо ви хочете заблокувати доступ до запису на USB, виберіть Знімні диски: Заборонити доступ на запис.

5. Перевірте. Увімкнено і натисніть ГАРАЗД.

6. Закрити в "Урядовому кур'єрі". Редактор керування груповими політиками вікно.

7. Поверніться в "Керування груповою політикою", виберіть об'єкт групової політики "Відключений USB" і на вкладці "Область застосування" натисніть кнопку Додати (в налаштуваннях "Фільтрація безпеки").

8. введіть назву групи "Користувачі з обмеженими можливостями USB" (наприклад, "Користувачі з обмеженими можливостями USB" в цій публікації) і натисніть OK .

9. Після цього натисніть кнопку Делегація рахунок.

10. У вкладці "Делегування", вибрати в "Урядовому кур'єрі". Аутентифіковані користувачі і натисніть Просунутий.

11 . в опціях безпеки, вибрати в "Урядовому кур'єрі". Аутентифіковані користувачі і зняти галочку в "Урядовому кур'єрі". Застосувати групову політику Після цього натисніть ГАРАЗД.

6. Закрити редактор групової політики.
7. перезапуск на сервері і клієнтських машинах, або запустити " gpupdate /force " (від імені адміністратора), щоб застосувати нові налаштування групової політики (без перезавантаження) як на сервері, так і на клієнтах.

Ось і все! Дайте мені знати, якщо цей посібник допоміг вам, залишивши свій коментар про ваш досвід. Будь ласка, поставте лайк і поділіться цим посібником, щоб допомогти іншим.