Как да блокирате USB устройства за съхранение на домейн 2016/2012 с групови правила.

MiscellaneaDec 19, 2021
click fraud protection

Това ръководство съдържа инструкции стъпка по стъпка как да блокирате USB устройства за съхранение на целия домейн или на конкретни потребители на домейни чрез използване на групови правила в AD домейн 2016 или 2012. По-конкретно, след като прочетете инструкциите в това ръководство, ще научите как да предотвратите достъпа до всяко USB устройство за съхранение (флаш памети, външни твърди дискове, смартфони, таблети и т.н.), които могат да се свързват с всеки компютър в домейна или да отказват достъпа до USB памет само на определени потребители на домейна.

Днес много от нас използват USB устройство за съхранение за прехвърляне на данни. Въпреки това, за една организация способността на нейните служители да използват външни устройства за съхранение може да съдържа рискове за сигурността, като разпространение на зловреден софтуер или прихващане на чувствителни данни. За да избегнете тези рискове, можете да прочетете следните инструкции, за да блокирате достъпа до USB устройства за съхранение на всички потребители и компютри във вашия домейн или само на определени потребители на домейна, като използвате групови правила

. *

* Бележки:
1.В тази публикация, за да блокирате USB устройства чрез групови правила, използвахме домейн контролер на Active Directory 2016, за да създадем новата групова политика и работни станции Windows 10 Pro и Windows 7 Pro, за да я приложим.
2. Политиката „Блокиране на USB достъп“ няма да засегне администраторите на домейна или всяко друго свързано USB устройство, като USB клавиатури, мишка, принтер и др.
3.След прилагане на груповата политика, потребителите няма да имат достъп до никакъв тип USB устройство за съхранение и ще получи едно от следните съобщения за грешка при опит за достъп до USB устройство за съхранение на тях НАСТОЛЕН КОМПЮТЪР.

образобраз

Как да използвате групови правила за предотвратяване на достъп до USB устройства за съхранение (сървър 2012/2012R2/2016)

  • Част 1. Блокиране на USB достъп за четене/запис на всички потребители на домейн.
  • Част 2. Блокиране на USB достъп за четене/запис за определени потребители на домейн.

Част 1. Как да блокирате достъпа до USB устройства за съхранение на целия домейн 2016.

За да деактивирате достъпа до всяко свързано USB устройство за съхранение до всеки компютър (потребител) в домейна:

1. В Server 2016 AD Domain Controller отворете Мениджър на сървъра и след това от Инструменти меню, отворете Управление на групови политики. *

* Освен това отидете до Контролен панел -> Административни пособия -> Управление на групови политики.

Управление на групови правила - Server 2016

2. Под домейни, изберете вашия домейн и след това Кликнете с десния бутон в Правила за домейн по подразбиране и изберете редактиране.

Редактиране на правилата за домейн по подразбиране

3. В „Редактор за управление на групови правила“ отидете до:

  • Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение

4. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *

* Бележки:
1. Много уроци в този момент предлагат да Разрешаване 'Всички сменяеми класове за съхранение: Отказване на всякакъв достъп" политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
2. Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.

Как да блокирате USB устройства за съхранение в домейн с групови правила

5. Проверете Разрешено и щракнете ДОБРЕ.

Как да блокирате USB чрез групова политика в Windows Server 2016

6. Близо редактора на групови правила.
7. Рестартирам сървъра и клиентските машини или стартирайте gpupdate /force команда, за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.

Част 2. Как да предотвратите достъпа до USB устройства за съхранение на конкретни потребители на домейн.

За да деактивирате достъпа до USB устройства за съхранение само на определени потребители чрез групова политика, трябва да създадете a група с потребители, които не искат да имат достъп до USB устройства за съхранение и след това да приложат новата политика към това група. Да направя това:

Етап 1. Създайте група с потребители на USB с увреждания. *

* Забележка: Ако вече сте създали група с деактивирани USB потребители, продължете стъпка 2.

1. Отвори Потребители и компютри на Active Directory.
2. Щракнете с десния бутон върху "Потребители" обект в левия панел и изберете Нов > Група

Active Directory - Създаване на група

3. Въведете име за новата група (напр. „Потребители с увреждания на USB“) и щракнете Добре. *

* Забележка: Оставете опциите „Global“ и „Security“ отметнати.

образ

4. Отворете новосъздадената група, изберете членове раздел и щракнете Добавете

образ

5. Сега изберете в кой потребител(и) на домейна искате да блокирате USB устройствата за съхранение и след това щракнете ДОБРЕ.

образ

6. Щракнете върху Добре за да затворите свойствата на групата.

образ

Стъпка 2. Създайте нов обект на групова политика, за да деактивирате USB устройствата за съхранение.

1. Отвори Управление на групови политики.
2. Под обекта „Домейни“ щракнете с десния бутон върху вашия домейн и изберете Създайте GPO в този домейн и го свържете тук.

образ

3. Въведете име за новия GPO (например "USB Disabled") и щракнете ДОБРЕ.

образ

4. Щракнете с десния бутон върху нов GPO и щракнете Редактиране.

Деактивирайте USB достъпа за определени потребители чрез групови правила

5. В „Редактор за управление на групови правила“ отидете до:

  • Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение

4. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *

* Забележка:
1. Много уроци в този момент предлагат да Разрешаване 'Всички сменяеми класове за съхранение: Отказване на всякакъв достъп" политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
2. Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.

Блокиране на достъпа до USB памет за определени потребители

5. Проверете Разрешено и щракнете ДОБРЕ.

Подвижни дискове - Отказване на достъп

6. Близо на Редактор за управление на групови правила прозорец.

7. Върнете се към „Управление на групови правила“, изберете „USB Disabled“ GPO и в раздела „Обхват“ щракнете върху Добавете бутон (под настройките „Филтриране на сигурността“).

Блокирайте USB за определени потребители в AD Server 2016

8. Въведете името на групата „Потребители с увреждания на USB“ (напр. „Потребители с увреждания на USB“ в тази публикация) и щракнете върху Добре.

образ

9. Когато сте готови, изберете Делегация раздел.

образ

10. В раздела „Делегиране“ изберете на Удостоверени потребители и щракнете Разширено.

образ

11. В опциите за сигурност, изберете на Удостоверени потребители и премахнете отметката на Прилагане на групова политика квадратче за отметка. Когато сте готови, щракнете ДОБРЕ.

образ

6. Близо редактора на групови правила.
7. Рестартирам сървъра и клиентските машини или стартирайте "gpupdate /force" команда (като администратор), за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.

Това е! Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за вашия опит. Моля, харесайте и споделете това ръководство, за да помогнете на другите.