Ovaj vodič sadrži upute korak po korak o tome kako blokirati USB uređaje za pohranu na cijeloj domeni ili na određenim korisnicima domene korištenjem grupnih pravila u domeni AD 2016. ili 2012. Točnije, nakon čitanja uputa u ovom vodiču naučit ćete kako spriječiti pristup bilo kojem USB uređaju za pohranu (flash diskovi, vanjski tvrdi diskovi, pametni telefoni, tableti itd.), koji se mogu spojiti na bilo koje računalo u domeni ili uskratiti pristup USB pohrani samo određenim korisnicima domene.
Danas mnogi od nas koriste USB uređaj za pohranu podataka za prijenos podataka. Međutim, za organizaciju, sposobnost njezinih zaposlenika da koriste vanjske uređaje za pohranu može sadržavati sigurnosne rizike, poput širenja zlonamjernog softvera ili presretanja osjetljivih podataka. Kako biste izbjegli ove rizike, možete pročitati sljedeće upute za blokiranje pristupa USB uređajima za pohranu svim korisnicima i računalima u vašoj domeni ili samo određenim korisnicima domene, korištenjem Pravila grupe. *
* Napomene:
1.U ovom postu, za blokiranje USB pogona putem grupnih pravila, koristili smo Active Directory 2016 kontroler domene za kreiranje nove grupne politike i radne stanice Windows 10 Pro i Windows 7 Pro da bismo je primijenili.
2. Pravila "Blokiraj USB pristup" neće utjecati na administratore domene ili bilo koji drugi povezani USB uređaj, kao što su USB tipkovnice, miš, pisač itd.
3.Nakon primjene Pravila grupe, korisnici neće imati pristup nijednoj vrsti USB uređaja za pohranu, i će dobiti jednu od sljedećih poruka o pogrešci kada pokušate pristupiti USB uređaju za pohranu na svom uređaju PC.
Kako koristiti pravila grupe za sprječavanje pristupa USB uređajima za pohranu (poslužitelj 2012/2012R2/2016)
- 1. dio. Blokiraj USB pristup za čitanje/pisanje na svim korisnicima domene.
- 2. dio. Blokirajte USB pristup za čitanje/pisanje za određene korisnike domene.
1. dio. Kako blokirati pristup USB uređajima za pohranu na cijeloj domeni 2016.
Da biste onemogućili pristup bilo kojem povezanom USB uređaju za pohranu bilo kojem računalu (korisniku) na domeni:
1. U Server 2016 AD Domain Controller otvorite Upravitelj poslužitelja a zatim iz Alati izbornik, otvorite Upravljanje grupnim politikama. *
* Dodatno, idite na Upravljačka ploča -> Administrativni alati -> Upravljanje grupnim politikama.
2. Pod, ispod domene, odaberite svoju domenu i zatim desni klik na Zadana politika domene i biraj Uredi.
3. U "Uređivaču upravljanja grupnim pravilima" idite na:
- Korisnička konfiguracija > Pravila > Administrativni predlošci > Sustav > Pristup prijenosnoj pohrani
4. U desnom oknu dvaput kliknite na: Izmjenjivi diskovi: zabrani pristup za čitanje. *
* Napomene:
1. Mnogi tutorijali u ovom trenutku sugeriraju da Omogućiti 'Sve klase prijenosne pohrane: zabrani svaki pristup' politike, ali tijekom naših testiranja otkrili smo da se ova politika ne primjenjuje (radi) za pametne telefone ili tablete.
2. Ako želite blokirati pristup USB Write, odaberite Izmjenjivi diskovi: zabrani pristup pisanju.
5. Ček Omogućeno i kliknite U REDU.
6. Zatvoriti urednika grupnih pravila.
7. Ponovno pokrenite poslužitelja i klijentskih strojeva ili pokrenite gpupdate /force naredba za primjenu novih postavki grupne politike (bez ponovnog pokretanja) i na poslužitelj i na klijente.
2. dio. Kako spriječiti pristup USB uređajima za pohranu na određenim korisnicima domene.
Da biste onemogućili pristup USB uređajima za pohranu samo određenim korisnicima korištenjem pravila grupe, morate stvoriti a grupe s korisnicima koji ne žele pristupiti USB uređajima za pohranu i zatim primijeniti novu politiku na to skupina. Napraviti to:
Korak 1. Stvorite grupu s korisnicima USB-a s invaliditetom. *
* Bilješka: Ako ste već stvorili grupu s onemogućenim USB korisnicima, nastavite korak 2.
1. Otvorena Korisnici i računala Active Directory.
2. Desnom tipkom miša kliknite na "Korisnici" objekt na lijevom oknu i odaberite Novi > Skupina
3. Upišite naziv za novu grupu (npr. "Korisnici s onemogućenim USB-om") i kliknite u redu. *
* Bilješka: Ostavite označene opcije "Globalno" i "Sigurnost".
4. Otvorite novostvorenu grupu, odaberite Članovi karticu i kliknite Dodati
5. Sada odaberite u kojoj(-e) korisnik(-e) domene želite blokirati USB uređaje za pohranu i zatim kliknite U REDU.
6. Klik u redu za zatvaranje svojstava grupe.
Korak 2. Napravite novi objekt grupne politike da biste onemogućili USB uređaje za pohranu.
1. Otvori Upravljanje grupnim politikama.
2. Pod objektom "Domene" desnom tipkom miša kliknite svoju domenu i odaberite Napravite GPO u ovoj domeni i povežite ga ovdje.
3. Upišite naziv za novi GPO (npr. "USB Disabled") i kliknite U REDU.
4. Desnom tipkom miša kliknite novi GPO i kliknite Uredi.
5. U "Uređivaču upravljanja grupnim pravilima" idite na:
- Korisnička konfiguracija > Pravila > Administrativni predlošci > Sustav > Pristup prijenosnoj pohrani
4. U desnom oknu dvaput kliknite na: Izmjenjivi diskovi: zabrani pristup za čitanje. *
* Bilješka:
1. Mnogi tutorijali u ovom trenutku sugeriraju da Omogućiti 'Sve klase prijenosne pohrane: zabrani svaki pristup' politike, ali tijekom naših testiranja otkrili smo da se ova politika ne primjenjuje (radi) za pametne telefone ili tablete.
2. Ako želite blokirati pristup USB Write, odaberite Izmjenjivi diskovi: zabrani pristup pisanju.
5. Ček Omogućeno i kliknite U REDU.
6. Zatvoriti the Urednik upravljanja grupnim pravilima prozor.
7. Vratite se na 'Upravljanje pravilima grupe', odaberite GPO "USB onemogućen" i na kartici 'Opseg' kliknite na Dodati gumb (pod postavkama 'Sigurnosno filtriranje').
8. Upišite naziv grupe "Korisnici s onemogućenim USB-om" (npr. "Korisnici s onemogućenim USB-om" u ovom postu) i kliknite u redu.
9. Kada završite, odaberite Delegacija tab.
10. Na kartici "Delegacija", Izaberi the Autentificirani korisnici i kliknite Napredna.
11. U Sigurnosnim opcijama, Izaberi the Autentificirani korisnici i poništiti the Primijenite grupna pravila potvrdni okvir. Kada završite, kliknite U REDU.
6. Zatvoriti urednika grupnih pravila.
7. Ponovno pokrenite poslužitelja i klijentskih strojeva ili pokrenite "gpupdate /force" (kao administrator), za primjenu novih postavki grupne politike (bez ponovnog pokretanja) i na poslužitelj i na klijente.
To je to! Javite mi je li vam ovaj vodič pomogao tako što ćete ostaviti komentar o svom iskustvu. Lajkajte i podijelite ovaj vodič kako biste pomogli drugima.