Denne vejledning indeholder trin-for-trin instruktioner om, hvordan du blokerer USB-lagerenheder på hele domænet eller på specifikke domænebrugere ved at bruge gruppepolitik i et AD-domæne 2016 eller 2012. Mere specifikt, efter at have læst instruktionerne i denne vejledning vil du lære, hvordan du forhindrer adgang til enhver USB-lagerenhed (flashdrev, ekstern harddiske, smartphones, tablets osv.), der kan oprette forbindelse til enhver computer i domænet, eller kun nægte USB-lageradgang til specifikke domænebrugere.
I dag bruger mange af os en USB-lagerenhed til at overføre data. For en organisation kan dens medarbejderes evne til at bruge eksterne lagerenheder dog indeholde sikkerhedsrisici, såsom spredning af malware eller opsnapning af følsomme data. For at undgå disse risici kan du læse følgende instruktioner for at blokere adgangen til USB-lagerenheder for alle brugere og computere på dit domæne eller kun til bestemte domænebrugere ved at bruge gruppepolitik. *
* Bemærkninger:
1.I dette indlæg, for at blokere USB-drev gennem gruppepolitik,
vi brugte en Active Directory 2016-domænecontroller til at oprette den nye gruppepolitik og Windows 10 Pro & Windows 7 Pro-arbejdsstationer til at anvende den.
2. Politikken "Bloker USB-adgang" vil ikke påvirke domæneadministratorerne eller nogen anden tilsluttet USB-enhed, såsom USB-tastaturer, mus, printere osv.
3.Efter anvendelse af gruppepolitikken vil brugerne ikke have adgang til nogen form for USB-lagerenhed, og vil modtage en af følgende fejlmeddelelser, når de forsøger at få adgang til en USB-lagerenhed på deres PC.
Sådan bruger du gruppepolitik til at forhindre adgang til USB-lagerenheder (Server 2012/2012R2/2016)
- Del 1. Bloker USB-læse-/skriveadgang på alle domænebrugere.
- Del 2. Bloker USB-læse-/skriveadgang for visse domænebrugere.
Del 1. Sådan blokerer du adgang til USB-lagerenheder på hele domænet 2016.
Sådan deaktiveres adgangen til enhver tilsluttet USB-lagerenhed til enhver computer (bruger) på domænet:
1. I Server 2016 AD Domain Controller skal du åbne Server Manager og så fra Værktøjer menuen skal du åbne Group Policy Management. *
* Derudover skal du navigere til Kontrolpanel -> Administrative værktøjer -> Group Policy Management.
2. Under Domæner, vælg dit domæne og derefter Højreklik på Standard domænepolitik og vælg Redigere.
3. I 'Group Policy Management Editor' skal du navigere til:
- Brugerkonfiguration > Politikker > Administrative skabeloner > System > Aftagelig lageradgang
4. I højre rude skal du dobbeltklikke på: Flytbare diske: Afvis læseadgang. *
* Bemærkninger:
1. Mange tutorials på dette tidspunkt tyder på Aktiver det 'Alle flytbare lagerklasser: Nægt al adgang' politik, men under vores test opdagede vi, at denne politik ikke gælder (arbejde) for smartphones eller tablets.
2. Hvis du vil blokere USB-skriveadgang, skal du vælge Flytbare diske: Afvis skriveadgang.
5. Kontrollere Aktiveret og klik OKAY.
6. Tæt Group Policy Editor.
7. Genstart serveren og klientmaskinerne, eller kør gpupdate /force kommando for at anvende de nye gruppepolitikindstillinger (uden genstart) på både server og klienter.
Del 2. Sådan forhindrer du adgang til USB-lagerenheder på specifikke domænebrugere.
For kun at deaktivere adgang til USB-lagerenheder for bestemte brugere ved at bruge en gruppepolitik, skal du oprette en gruppe med brugere, der ikke ønsker at få adgang til USB-lagerenheder og derefter anvende den nye politik på dette gruppe. At gøre det:
Trin 1. Opret en gruppe med deaktiverede USB-brugere. *
* Bemærk: Hvis du allerede har oprettet en gruppe med de deaktiverede USB-brugere, skal du fortsætte til trin-2.
1. Åben Active Directory-brugere og -computere.
2. Højreklik på "Brugere" objekt i venstre rude, og vælg Ny > Gruppe
3. Indtast et navn til den nye gruppe (f.eks. "USB-deaktiverede brugere"), og klik Okay. *
* Bemærk: Lad indstillingerne 'Global' og 'Sikkerhed' være markeret.
4. Åbn den nyoprettede gruppe, vælg Medlemmer fanen og klik Tilføje
5. Vælg nu i hvilke domænebrugere du vil blokere USB-lagerenhederne, og klik derefter OKAY.
6. Klik Okay at lukke gruppeejendomme.
Trin 2. Opret et nyt gruppepolitikobjekt for at deaktivere USB-lagerenhederne.
1. Åbn Group Policy Management.
2. Under objektet 'Domæner' skal du højreklikke på dit domæne og vælge Opret en GPO i dette domæne, og link det her.
3. Indtast et navn til den nye GPO (f.eks. "USB deaktiveret"), og klik OKAY.
4. Højreklik på ny GPO og klik Redigere.
5. I 'Group Policy Management Editor' skal du navigere til:
- Brugerkonfiguration > Politikker > Administrative skabeloner > System > Aftagelig lageradgang
4. I højre rude skal du dobbeltklikke på: Flytbare diske: Afvis læseadgang. *
* Bemærk:
1. Mange tutorials på dette tidspunkt tyder på Aktiver det 'Alle flytbare lagerklasser: Nægt al adgang' politik, men under vores test opdagede vi, at denne politik ikke gælder (arbejde) for smartphones eller tablets.
2. Hvis du vil blokere USB-skriveadgang, skal du vælge Flytbare diske: Afvis skriveadgang.
5. Kontrollere Aktiveret og klik OKAY.
6. Tæt det Group Policy Management Editor vindue.
7. Tilbage til 'Group Policy Management', vælg "USB Disabled" GPO'en og på fanen 'Scope' klik på Tilføje knappen (under indstillingerne 'Sikkerhedsfiltrering').
8. Indtast navnet på "USB-deaktiverede brugere"-gruppen (f.eks. "USB-deaktiverede brugere" i dette indlæg), og klik Okay.
9. Når du er færdig, skal du vælge Delegation fanen.
10. På fanen 'Delegation', Vælg det Autentificerede brugere og klik Fremskreden.
11. Ved sikkerhedsindstillinger, Vælg det Autentificerede brugere og fjern markeringen det Anvend gruppepolitik afkrydsningsfelt. Når du er færdig, klik OKAY.
6. Tæt Group Policy Editor.
7. Genstart serveren og klientmaskinerne, eller kør "gpupdate /force" kommando (som administrator), for at anvende de nye gruppepolitikindstillinger (uden genstart) på både server og klienter.
Det er det! Fortæl mig, om denne guide har hjulpet dig ved at efterlade din kommentar om din oplevelse. Synes godt om og del denne guide for at hjælpe andre.