Това ръководство съдържа инструкции стъпка по стъпка как да блокирате USB устройства за съхранение на целия домейн или на конкретни потребители на домейни чрез използване на групови правила в AD домейн 2016 или 2012. По-конкретно, след като прочетете инструкциите в това ръководство, ще научите как да предотвратите достъпа до всяко USB устройство за съхранение (флаш памети, външни твърди дискове, смартфони, таблети и т.н.), които могат да се свързват с всеки компютър в домейна или да отказват достъпа до USB памет само на определени потребители на домейна.
Днес много от нас използват USB устройство за съхранение за прехвърляне на данни. Въпреки това, за една организация способността на нейните служители да използват външни устройства за съхранение може да съдържа рискове за сигурността, като разпространение на зловреден софтуер или прихващане на чувствителни данни. За да избегнете тези рискове, можете да прочетете следните инструкции, за да блокирате достъпа до USB устройства за съхранение на всички потребители и компютри във вашия домейн или само на определени потребители на домейна, като използвате групови правила
. ** Бележки:
1.В тази публикация, за да блокирате USB устройства чрез групови правила, използвахме домейн контролер на Active Directory 2016, за да създадем новата групова политика и работни станции Windows 10 Pro и Windows 7 Pro, за да я приложим.
2. Политиката „Блокиране на USB достъп“ няма да засегне администраторите на домейна или всяко друго свързано USB устройство, като USB клавиатури, мишка, принтер и др.
3.След прилагане на груповата политика, потребителите няма да имат достъп до никакъв тип USB устройство за съхранение и ще получи едно от следните съобщения за грешка при опит за достъп до USB устройство за съхранение на тях НАСТОЛЕН КОМПЮТЪР.
Как да използвате групови правила за предотвратяване на достъп до USB устройства за съхранение (сървър 2012/2012R2/2016)
- Част 1. Блокиране на USB достъп за четене/запис на всички потребители на домейн.
- Част 2. Блокиране на USB достъп за четене/запис за определени потребители на домейн.
Част 1. Как да блокирате достъпа до USB устройства за съхранение на целия домейн 2016.
За да деактивирате достъпа до всяко свързано USB устройство за съхранение до всеки компютър (потребител) в домейна:
1. В Server 2016 AD Domain Controller отворете Мениджър на сървъра и след това от Инструменти меню, отворете Управление на групови политики. *
* Освен това отидете до Контролен панел -> Административни пособия -> Управление на групови политики.
2. Под домейни, изберете вашия домейн и след това Кликнете с десния бутон в Правила за домейн по подразбиране и изберете редактиране.
3. В „Редактор за управление на групови правила“ отидете до:
- Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение
4. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *
* Бележки:
1. Много уроци в този момент предлагат да Разрешаване 'Всички сменяеми класове за съхранение: Отказване на всякакъв достъп" политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
2. Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.
5. Проверете Разрешено и щракнете ДОБРЕ.
6. Близо редактора на групови правила.
7. Рестартирам сървъра и клиентските машини или стартирайте gpupdate /force команда, за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.
Част 2. Как да предотвратите достъпа до USB устройства за съхранение на конкретни потребители на домейн.
За да деактивирате достъпа до USB устройства за съхранение само на определени потребители чрез групова политика, трябва да създадете a група с потребители, които не искат да имат достъп до USB устройства за съхранение и след това да приложат новата политика към това група. Да направя това:
Етап 1. Създайте група с потребители на USB с увреждания. *
* Забележка: Ако вече сте създали група с деактивирани USB потребители, продължете стъпка 2.
1. Отвори Потребители и компютри на Active Directory.
2. Щракнете с десния бутон върху "Потребители" обект в левия панел и изберете Нов > Група
3. Въведете име за новата група (напр. „Потребители с увреждания на USB“) и щракнете Добре. *
* Забележка: Оставете опциите „Global“ и „Security“ отметнати.
4. Отворете новосъздадената група, изберете членове раздел и щракнете Добавете
5. Сега изберете в кой потребител(и) на домейна искате да блокирате USB устройствата за съхранение и след това щракнете ДОБРЕ.
6. Щракнете върху Добре за да затворите свойствата на групата.
Стъпка 2. Създайте нов обект на групова политика, за да деактивирате USB устройствата за съхранение.
1. Отвори Управление на групови политики.
2. Под обекта „Домейни“ щракнете с десния бутон върху вашия домейн и изберете Създайте GPO в този домейн и го свържете тук.
3. Въведете име за новия GPO (например "USB Disabled") и щракнете ДОБРЕ.
4. Щракнете с десния бутон върху нов GPO и щракнете Редактиране.
5. В „Редактор за управление на групови правила“ отидете до:
- Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение
4. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *
* Забележка:
1. Много уроци в този момент предлагат да Разрешаване 'Всички сменяеми класове за съхранение: Отказване на всякакъв достъп" политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
2. Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.
5. Проверете Разрешено и щракнете ДОБРЕ.
6. Близо на Редактор за управление на групови правила прозорец.
7. Върнете се към „Управление на групови правила“, изберете „USB Disabled“ GPO и в раздела „Обхват“ щракнете върху Добавете бутон (под настройките „Филтриране на сигурността“).
8. Въведете името на групата „Потребители с увреждания на USB“ (напр. „Потребители с увреждания на USB“ в тази публикация) и щракнете върху Добре.
9. Когато сте готови, изберете Делегация раздел.
10. В раздела „Делегиране“ изберете на Удостоверени потребители и щракнете Разширено.
11. В опциите за сигурност, изберете на Удостоверени потребители и премахнете отметката на Прилагане на групова политика квадратче за отметка. Когато сте готови, щракнете ДОБРЕ.
6. Близо редактора на групови правила.
7. Рестартирам сървъра и клиентските машини или стартирайте "gpupdate /force" команда (като администратор), за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.
Това е! Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за вашия опит. Моля, харесайте и споделете това ръководство, за да помогнете на другите.