Questa guida contiene istruzioni dettagliate su come bloccare i dispositivi di archiviazione USB sull'intero dominio o su utenti di domini specifici utilizzando Criteri di gruppo in un dominio AD 2016 o 2012. In particolare, dopo aver letto le istruzioni di questa guida imparerai come impedire l'accesso a qualsiasi dispositivo di archiviazione USB (unità flash, unità esterne hard disk, smartphone, tablet, ecc.), che possono connettersi a qualsiasi computer del dominio o negare l'accesso all'archivio USB solo a determinati utenti del dominio.
Oggi molti di noi utilizzano un dispositivo di archiviazione USB per trasferire i dati. Tuttavia, per un'organizzazione, la capacità dei suoi dipendenti di utilizzare dispositivi di archiviazione esterni può contenere rischi per la sicurezza, come la diffusione di malware o l'intercettazione di dati sensibili. Per evitare questi rischi, puoi leggere le seguenti istruzioni per bloccare l'accesso ai dispositivi di archiviazione USB a tutti gli utenti e computer nel tuo dominio o solo a determinati utenti del dominio, utilizzando Criteri di gruppo
* Appunti:
1.In questo post, per bloccare le unità USB tramite i criteri di gruppo, abbiamo utilizzato un controller di dominio Active Directory 2016 per creare il nuovo criterio di gruppo e le workstation Windows 10 Pro e Windows 7 Pro per applicarlo.
2. Il criterio "Blocca accesso USB" non influirà sugli amministratori di dominio o su qualsiasi altro dispositivo USB connesso, come tastiere USB, mouse, stampanti, ecc.
3.Dopo aver applicato i Criteri di gruppo, gli utenti non avranno accesso a nessun tipo di dispositivo di archiviazione USB e riceverà uno dei seguenti messaggi di errore quando si tenta di accedere a un dispositivo di archiviazione USB sul proprio PC.
Come utilizzare i Criteri di gruppo per impedire l'accesso ai dispositivi di archiviazione USB (Server 2012/2012R2/2016)
- Parte 1. Blocca l'accesso in lettura/scrittura USB su tutti gli utenti del dominio.
- Parte 2. Blocca l'accesso in lettura/scrittura USB per determinati utenti di dominio.
Parte 1. Come bloccare l'accesso ai dispositivi di archiviazione USB sull'intero dominio 2016.
Per disabilitare l'accesso a qualsiasi dispositivo di archiviazione USB connesso a qualsiasi computer (utente) nel dominio:
1. In Server 2016 AD Domain Controller, aprire il Server Manager e poi da Utensili menu, apri il Gestione criteri di gruppo. *
* Inoltre, vai a Pannello di controllo -> Strumenti amministrativi -> Gestione criteri di gruppo.
2. Sotto Domini, seleziona il tuo dominio e poi clic destro in Criterio di dominio predefinito e scegli Modificare.
3. In "Editor gestione criteri di gruppo", vai a:
- Configurazione utente > Criteri > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili
4. Nel riquadro di destra, fare doppio clic su: Dischi rimovibili: nega l'accesso in lettura. *
* Appunti:
1. Molti tutorial a questo punto suggeriscono di Abilitare il 'Tutte le classi di Archivi rimovibili: nega tutti gli accessi' policy, ma durante i nostri test abbiamo scoperto che questa policy non si applica (funziona) a smartphone o tablet.
2. Se si desidera bloccare l'accesso in scrittura USB, selezionare il pulsante Dischi rimovibili: nega l'accesso in scrittura.
5. Dai un'occhiata Abilitato e clicca OK.
6. Vicino l'Editor criteri di gruppo.
7. Ricomincia il server e le macchine client, oppure eseguire il gpupdate /force comando per applicare le nuove impostazioni dei criteri di gruppo (senza riavvio) sia al server che ai client.
Parte 2. Come impedire l'accesso ai dispositivi di archiviazione USB su utenti di dominio specifici.
Per disabilitare l'accesso ai dispositivi di archiviazione USB a utenti specifici solo utilizzando un criterio di gruppo, è necessario creare un gruppo con utenti che non desiderano accedere ai dispositivi di archiviazione USB e quindi applicare la nuova politica a questo gruppo. Fare quello:
Passo 1. Crea un gruppo con gli utenti USB disabilitati. *
* Nota: Se hai già creato un gruppo con gli utenti USB disabilitati, continua con passo 2.
1. Aprire Utenti e computer di Active Directory.
2. Fare clic con il pulsante destro del mouse su "Utenti" oggetto nel riquadro di sinistra e scegli Nuovo > Gruppo
3. Digita un nome per il nuovo gruppo (ad es. "Utenti disabilitati USB") e fai clic su ok. *
* Nota: Lascia selezionate le opzioni "Globale" e "Sicurezza".
4. Apri il gruppo appena creato, seleziona Membri scheda e fare clic Aggiungere
5. Ora seleziona in quale utente (i) di dominio desideri bloccare i dispositivi di archiviazione USB e quindi fai clic su OK.
6. Clic ok per chiudere le proprietà del gruppo.
Passo 2. Crea un nuovo oggetto Criteri di gruppo per disabilitare i dispositivi di archiviazione USB.
1. Apri il Gestione criteri di gruppo.
2. Sotto l'oggetto "Domini", fai clic con il pulsante destro del mouse sul tuo dominio e seleziona Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.
3. Digitare un nome per il nuovo oggetto Criteri di gruppo (ad es. "USB disabilitato") e fare clic su OK.
4. Fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e fare clic su Modificare.
5. In "Editor gestione criteri di gruppo", vai a:
- Configurazione utente > Criteri > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili
4. Nel riquadro di destra, fare doppio clic su: Dischi rimovibili: nega l'accesso in lettura. *
* Nota:
1. Molti tutorial a questo punto suggeriscono di Abilitare il 'Tutte le classi di Archivi rimovibili: nega tutti gli accessi' policy, ma durante i nostri test abbiamo scoperto che questa policy non si applica (funziona) a smartphone o tablet.
2. Se si desidera bloccare l'accesso in scrittura USB, selezionare il pulsante Dischi rimovibili: nega l'accesso in scrittura.
5. Dai un'occhiata Abilitato e clicca OK.
6. Vicino il Editor gestione criteri di gruppo finestra.
7. Torna a "Gestione criteri di gruppo", seleziona l'oggetto Criteri di gruppo "USB disabilitato" e nella scheda "Ambito" fai clic su Aggiungere pulsante (sotto le impostazioni 'Filtro di sicurezza').
8. Digita il nome del gruppo "Utenti disabilitati USB" (ad es. "Utenti disabilitati USB" in questo post) e fai clic su ok.
9. Al termine, selezionare il Delegazione scheda.
10. Nella scheda "Delega", Selezionare il Utenti autenticati e clicca Avanzate.
11. In Opzioni di sicurezza, Selezionare il Utenti autenticati e deselezionare il Applica criteri di gruppo casella di controllo. Al termine, fare clic su OK.
6. Vicino l'Editor criteri di gruppo.
7. Ricomincia il server e le macchine client, oppure eseguire il "gpupdate /force" comando (come amministratore), per applicare le nuove impostazioni dei criteri di gruppo (senza riavviare) sia al server che ai client.
Questo è tutto! Fammi sapere se questa guida ti ha aiutato lasciando il tuo commento sulla tua esperienza. Metti mi piace e condividi questa guida per aiutare gli altri.