See juhend sisaldab samm-sammult juhiseid selle kohta, kuidas blokeerida USB-mäluseadmeid terves domeenis või teatud domeenikasutajatel, kasutades rühmapoliitikat AD-domeenis 2016 või 2012. Täpsemalt, pärast selle juhendi juhiste lugemist saate teada, kuidas takistada juurdepääsu mis tahes USB-mäluseadmele (välkmälupulgad, välised kõvakettad, nutitelefonid, tahvelarvutid jne), mis võivad luua ühenduse mis tahes domeeni arvutiga või keelata juurdepääsu USB-mäluseadmele ainult teatud domeeni kasutajatele.
Tänapäeval kasutavad paljud meist andmete edastamiseks USB-mäluseadet. Organisatsiooni jaoks võib aga töötajate võimalus kasutada väliseid salvestusseadmeid sisaldada turvariske, nagu pahavara levitamine või tundlike andmete pealtkuulamine. Nende riskide vältimiseks lugege järgmisi juhiseid, et blokeerida juurdepääs USB-mäluseadmetele kõigile teie domeeni kasutajatele ja arvutitele või ainult teatud domeeni kasutajatele, kasutades rühmapoliitikat.. *
* Märkused:
1.Selles postituses USB-draivide blokeerimiseks rühmapoliitika kaudu
kasutasime uue rühmapoliitika loomiseks Active Directory 2016 domeenikontrollerit ning selle rakendamiseks Windows 10 Pro ja Windows 7 Pro tööjaamu.
2. Reegel "Block USB Access" ei mõjuta domeeni administraatoreid ega muid ühendatud USB-seadmeid, nagu USB-klaviatuur, hiir, printer jne.
3.Pärast rühmapoliitika rakendamist ei ole kasutajatel juurdepääsu mis tahes tüüpi USB-mäluseadmele ja saavad oma USB-mäluseadmele juurde pääsedes ühe järgmistest tõrketeadetest PC.
Kuidas kasutada rühmapoliitikat USB-mäluseadmetele juurdepääsu takistamiseks (server 2012/2012R2/2016)
- 1. osa. Blokeeri USB lugemis-/kirjutusjuurdepääs kõigil domeenikasutajatel.
- 2. osa. Blokeerige teatud domeenikasutajate jaoks USB lugemis-/kirjutusjuurdepääs.
1. osa. Kuidas blokeerida juurdepääs USB-mäluseadmetele kogu domeenis 2016.
Juurdepääsu keelamiseks mis tahes ühendatud USB-mäluseadmele domeeni mis tahes arvutile (kasutajale):
1. Server 2016 AD domeenikontrolleris avage Serverihaldur ja siis alates Tööriistad menüü, avage Grupipoliitika haldamine. *
* Lisaks navigeerige aadressile Kontrollpaneel -> Haldustööriistad -> Grupipoliitika haldamine.
2. Under Domeenid, valige oma domeen ja seejärel paremklõps juures Vaikimisi domeenipoliitika ja vali Muuda.
3. Liikuge jaotises „Rühmapoliitika halduse redigeerija” aadressile:
- Kasutaja konfiguratsioon > Poliitika > Haldusmallid > Süsteem > Eemaldatav juurdepääs salvestusruumile
4. Topeltklõpsake paremal paanil: Irdkettad: keelake lugemisõigus. *
* Märkused:
1. Paljud õpetused soovitavad seda teha Luba 'Kõik eemaldatava salvestusruumi klassid: keelake juurdepääs poliitikat, kuid meie testide käigus avastasime, et see poliitika ei kehti (töötab) nutitelefonide või tahvelarvutite puhul.
2. Kui soovite USB-kirjutusjuurdepääsu blokeerida, valige Irdkettad: keelake kirjutamisõigus.
5. Kontrollima Lubatud ja klõpsake OKEI.
6. Sulge rühmapoliitika redaktor.
7. Taaskäivita serverit ja klientmasinaid või käivitage gpupdate /force käsk uute rühmapoliitika sätete rakendamiseks (ilma taaskäivitamiseta) nii serverile kui ka klientidele.
2. osa. Kuidas takistada konkreetsete domeenikasutajate juurdepääsu USB-salvestusseadmetele.
Et keelata juurdepääs USB-mäluseadmetele ainult kindlatele kasutajatele rühmapoliitika abil, peate looma a rühma kasutajatega, kes ei soovi USB-mäluseadmetele juurde pääseda, ja seejärel rakendada sellele uut reeglit Grupp. Et seda teha:
Samm 1. Looge rühm puuetega USB-kasutajatega. *
* Märge: Kui olete puudega USB-kasutajatega rühma juba loonud, jätkake samm-2.
1. Avatud Active Directory kasutajad ja arvutid.
2. Paremklõpsake "Kasutajad" objekt vasakul paanil ja valige Uus > Grupp
3. Sisestage uue rühma nimi (nt "USB-ga keelatud kasutajad") ja klõpsake Okei. *
* Märge: Jätke valikud „Globaalne” ja „Turvalisus” märgituks.
4. Avage vastloodud rühm, valige liikmed vahekaarti ja klõpsake Lisama
5. Nüüd valige, millises domeeni kasutaja(te)s soovite USB-mäluseadmeid blokeerida ja seejärel klõpsake nuppu OKEI.
6. Klõpsake Okei grupi omaduste sulgemiseks.
2. samm. Looge USB-mäluseadmete keelamiseks uus rühmapoliitika objekt.
1. Ava Grupipoliitika haldamine.
2. Paremklõpsake oma domeenil objekti "Domeenid" all ja valige Looge selles domeenis GPO ja linkige see siia.
3. Sisestage uue GPO nimi (nt "USB keelatud") ja klõpsake OKEI.
4. Paremklõpsake uuel GPO-l ja klõpsake nuppu Muuda.
5. Liikuge jaotises „Rühmapoliitika halduse redigeerija” aadressile:
- Kasutaja konfiguratsioon > Poliitika > Haldusmallid > Süsteem > Eemaldatav juurdepääs salvestusruumile
4. Topeltklõpsake paremal paanil: Irdkettad: keelake lugemisõigus. *
* Märge:
1. Paljud õpetused soovitavad seda teha Luba 'Kõik eemaldatava salvestusruumi klassid: keelake juurdepääs poliitikat, kuid meie testide käigus avastasime, et see poliitika ei kehti (töötab) nutitelefonide või tahvelarvutite puhul.
2. Kui soovite USB-kirjutusjuurdepääsu blokeerida, valige Irdkettad: keelake kirjutamisõigus.
5. Kontrollima Lubatud ja klõpsake OKEI.
6. Sulge a Grupipoliitika halduse redaktor aken.
7. Tagasi jaotisse "Grupipoliitika haldamine", valige GPO "USB keelatud" ja klõpsake vahekaardil Ulatus Lisama nuppu (Seadete "Turvaline filtreerimine" all).
8. Sisestage rühma "USB-keelatud kasutajad" nimi (nt selles postituses "USB-ga keelatud kasutajad") ja klõpsake nuppu Okei.
9. Kui olete valmis, valige Delegatsioon sakk.
10. Vahekaardil „Delegeerimine” vali a Autentitud kasutajad ja klõpsake Täpsemalt.
11. Turvavalikutes vali a Autentitud kasutajad ja tühjendage märge a Rakendage rühmapoliitikat märkeruut. Kui olete valmis, klõpsake OKEI.
6. Sulge rühmapoliitika redaktor.
7. Taaskäivita serverisse ja kliendi masinatesse või käivitage "gpupdate /force" käsk (administraatorina), et rakendada uusi rühmapoliitika sätteid (ilma taaskäivitamiseta) nii serverile kui ka klientidele.
See on kõik! Andke mulle teada, kas see juhend on teid aidanud, jättes oma kogemuse kohta kommentaari. Palun meeldige ja jagage seda juhendit, et teisi aidata.