Panduan ini berisi petunjuk langkah demi langkah tentang cara memblokir perangkat penyimpanan USB di seluruh Domain atau pengguna domain tertentu dengan menggunakan Kebijakan Grup di Domain AD 2016 atau 2012. Lebih khusus lagi, setelah membaca petunjuk dalam panduan ini, Anda akan mempelajari cara mencegah akses ke perangkat penyimpanan USB (flash drive, eksternal hard drive, smartphone, tablet, dll.), yang dapat terhubung ke komputer mana pun di domain, atau menolak akses penyimpanan USB hanya untuk pengguna domain tertentu.
Saat ini, banyak dari kita menggunakan perangkat penyimpanan USB untuk mentransfer data. Namun, bagi organisasi, kemampuan karyawannya untuk menggunakan perangkat penyimpanan eksternal mungkin mengandung risiko keamanan, seperti menyebarkan malware atau mencegat data sensitif. Untuk menghindari risiko tersebut, Anda dapat membaca petunjuk berikut untuk memblokir akses ke perangkat penyimpanan USB untuk semua pengguna dan komputer di domain Anda atau hanya untuk pengguna domain tertentu, dengan menggunakan Kebijakan Grup. *
* Catatan:
1.Dalam posting ini, untuk memblokir drive USB melalui kebijakan grup, kami menggunakan pengontrol domain Active Directory 2016 untuk membuat kebijakan grup baru dan workstation Windows 10 Pro & Windows 7 Pro untuk menerapkannya.
2. Kebijakan "Blokir Akses USB" tidak akan memengaruhi Administrator Domain atau perangkat USB lain yang terhubung, seperti Keyboard USB, Mouse, Printer, dll.
3.Setelah menerapkan Kebijakan Grup, pengguna tidak akan memiliki akses ke semua jenis perangkat Penyimpanan USB, dan akan menerima salah satu pesan kesalahan berikut saat mencoba mengakses perangkat penyimpanan USB di komputer.
Cara menggunakan Kebijakan Grup untuk Mencegah Akses ke Perangkat Penyimpanan USB (Server 2012/2012R2/2016)
- Bagian 1. Blokir Akses Baca/Tulis USB di Semua Pengguna Domain.
- Bagian 2. Blokir Akses Baca/Tulis USB untuk Pengguna Domain Tertentu.
Bagian 1. Cara Memblokir Akses ke Perangkat Penyimpanan USB di Seluruh Domain 2016.
Untuk menonaktifkan akses ke perangkat penyimpanan USB yang terhubung ke komputer mana pun (pengguna) di domain:
1. Di Server 2016 AD Domain Controller, buka Manajer Server dan kemudian dari Peralatan menu, buka Manajemen Kebijakan Grup. *
* Selain itu, navigasikan ke Panel kendali -> Alat administrasi -> Manajemen Kebijakan Grup.
2. Di bawah Domain, pilih domain Anda dan kemudian klik kanan pada Kebijakan Domain Default dan pilih Sunting.
3. Di 'Editor Manajemen Kebijakan Grup', navigasikan ke:
- Konfigurasi Pengguna > Kebijakan > Template Administratif > Sistem > Akses Penyimpanan yang Dapat Dilepas
4. Di panel kanan, klik dua kali di: Removable Disks: Tolak akses baca. *
* Catatan:
1. Banyak tutorial saat ini menyarankan untuk Memungkinkan 'Semua kelas Penyimpanan yang Dapat Dilepas: Tolak semua akses' kebijakan, tetapi selama pengujian kami, kami menemukan bahwa kebijakan ini tidak berlaku (berfungsi) untuk ponsel cerdas atau tablet.
2. Jika Anda ingin memblokir akses Tulis USB, pilih Removable Disks: Tolak akses tulis.
5. Memeriksa Diaktifkan dan klik OKE.
6. Menutup Editor Kebijakan Grup.
7. Mengulang kembali server dan mesin klien, atau menjalankan gpupdate / force perintah untuk menerapkan pengaturan kebijakan grup baru (tanpa restart) ke server dan klien.
Bagian 2. Cara Mencegah Akses ke Perangkat Penyimpanan USB pada Pengguna Domain Tertentu.
Untuk menonaktifkan akses ke perangkat penyimpanan USB hanya untuk pengguna tertentu dengan menggunakan kebijakan grup, Anda harus membuat grup dengan pengguna yang tidak ingin mengakses perangkat penyimpanan USB dan kemudian menerapkan kebijakan baru untuk ini kelompok. Untuk melakukannya:
Langkah 1. Buat Grup dengan Pengguna USB yang Dinonaktifkan. *
* Catatan: Jika Anda telah membuat grup dengan pengguna USB yang dinonaktifkan, lanjutkan ke Langkah 2.
1. Membuka Pengguna dan Komputer Direktori Aktif.
2. Klik kanan di "Pengguna" objek di panel kiri, dan pilih Baru > Kelompok
3. Ketik nama untuk grup baru (mis. "Pengguna Penyandang Cacat USB") dan klik Oke. *
* Catatan: Biarkan opsi 'Global' dan 'Security' dicentang.
4. Buka grup yang baru dibuat, pilih Anggota tab dan klik Menambahkan
5. Sekarang pilih pengguna domain mana yang ingin Anda blokir perangkat Penyimpanan USB dan kemudian klik OKE.
6. Klik Oke untuk menutup properti grup.
Langkah 2. Buat Objek Kebijakan Grup Baru untuk Menonaktifkan perangkat Penyimpanan USB.
1. Buka Manajemen Kebijakan Grup.
2. Di bawah objek 'Domains', klik kanan pada domain Anda dan pilih Buat GPO di domain ini dan Tautkan di sini.
3. Ketik nama untuk GPO baru (mis. "USB Disabled") dan klik OKE.
4. Klik kanan di GPO baru dan klik Sunting.
5. Di 'Editor Manajemen Kebijakan Grup', navigasikan ke:
- Konfigurasi Pengguna > Kebijakan > Template Administratif > Sistem > Akses Penyimpanan yang Dapat Dilepas
4. Di panel kanan, klik dua kali di: Removable Disks: Tolak akses baca. *
* Catatan:
1. Banyak tutorial saat ini menyarankan untuk Memungkinkan 'Semua kelas Penyimpanan yang Dapat Dilepas: Tolak semua akses' kebijakan, tetapi selama pengujian kami, kami menemukan bahwa kebijakan ini tidak berlaku (berfungsi) untuk ponsel cerdas atau tablet.
2. Jika Anda ingin memblokir akses Tulis USB, pilih Removable Disks: Tolak akses tulis.
5. Memeriksa Diaktifkan dan klik OKE.
6. Menutup itu Editor Manajemen Kebijakan Grup jendela.
7. Kembali ke 'Manajemen Kebijakan Grup', pilih GPO "USB Disabled" dan pada tab 'Cakupan' klik Menambahkan tombol (di bawah pengaturan 'Pemfilteran keamanan').
8. Ketik nama grup "Pengguna yang dinonaktifkan USB" (mis. "Pengguna yang Dinonaktifkan USB" di pos ini), dan klik Oke.
9. Setelah selesai, pilih Delegasi tab.
10. Pada tab 'Delegasi', Pilih itu Pengguna yang Diautentikasi dan klik Canggih.
11. Pada opsi Keamanan, Pilih itu Pengguna yang Diautentikasi dan hapus centang itu Terapkan kebijakan grup kotak centang. Setelah selesai, klik OKE.
6. Menutup Editor Kebijakan Grup.
7. Mengulang kembali server dan mesin klien, atau jalankan "gpupdate / force" perintah (sebagai administrator), untuk menerapkan pengaturan kebijakan grup baru (tanpa memulai ulang) ke server dan klien.
Itu dia! Beri tahu saya jika panduan ini telah membantu Anda dengan meninggalkan komentar tentang pengalaman Anda. Silakan suka dan bagikan panduan ini untuk membantu orang lain.