כיצד לחסום התקני אחסון USB בדומיין 2016/2012 עם מדיניות קבוצתית.

MiscellaneaDec 19, 2021

מדריך זה מכיל הוראות שלב אחר שלב כיצד לחסום התקני אחסון USB בכל הדומיין או במשתמשי דומיין ספציפיים על ידי שימוש במדיניות קבוצתית בדומיין AD 2016 או 2012. ליתר דיוק, לאחר קריאת ההוראות במדריך זה תלמד כיצד למנוע גישה לכל התקן אחסון USB (כונני פלאש, חיצוניים כוננים קשיחים, סמארטפונים, טאבלטים וכו'), שיכולים להתחבר לכל מחשב בדומיין, או למנוע גישה לאחסון USB רק ממשתמשי דומיין ספציפיים.

כיום, רבים מאיתנו משתמשים בהתקן אחסון USB כדי להעביר נתונים. עם זאת, עבור ארגון, היכולת של עובדיו להשתמש בהתקני אחסון חיצוניים עלולה להכיל סיכוני אבטחה, כגון הפצת תוכנות זדוניות או יירוט נתונים רגישים. כדי למנוע סיכונים אלה, תוכל לקרוא את ההוראות הבאות לחסימת גישה להתקני אחסון USB לכל המשתמשים והמחשבים בדומיין שלך או למשתמשי דומיין מסוימים בלבד, על ידי שימוש במדיניות קבוצתית. *

* הערות:
1.בפוסט זה, כדי לחסום כונני USB באמצעות מדיניות קבוצתית, השתמשנו בבקר תחום Active Directory 2016 כדי ליצור את המדיניות הקבוצתית החדשה ובתחנות עבודה של Windows 10 Pro ו-Windows 7 Pro כדי להחיל אותה.
2. מדיניות "חסימת גישה ל-USB" לא תשפיע על מנהלי הדומיין או כל התקן USB מחובר אחר, כגון מקלדות USB, עכבר, מדפסת וכו'.


3.לאחר החלת המדיניות הקבוצתית, למשתמשים לא תהיה גישה לכל סוג של התקן אחסון USB, וכן תקבל אחת מהודעות השגיאה הבאות בעת ניסיון לגשת להתקן אחסון USB במכשיר שלהם מחשב.

תמונהתמונה

כיצד להשתמש במדיניות קבוצתית כדי למנוע גישה להתקני אחסון USB (שרת 2012/2012R2/2016)

  • חלק 1. חסום גישת קריאה/כתיבה באמצעות USB בכל משתמשי הדומיין.
  • חלק 2. חסום גישת קריאה/כתיבה באמצעות USB עבור משתמשי דומיין מסוימים.

חלק 1. כיצד לחסום גישה להתקני אחסון USB בכל הדומיין 2016.

כדי לבטל את הגישה לכל התקן אחסון USB מחובר לכל מחשב (משתמש) בדומיין:

1. ב- Server 2016 AD Domain Controller, פתח את מנהל שרת ולאחר מכן מ כלים תפריט, פתח את ניהול מדיניות קבוצתית. *

* בנוסף, נווט אל לוח בקרה -> כלי ניהול -> ניהול מדיניות קבוצתית.

ניהול מדיניות קבוצתית - שרת 2016

2. תַחַת דומיינים, בחר את הדומיין שלך ולאחר מכן מקש ימני בְּ- מדיניות תחום ברירת מחדל ולבחור לַעֲרוֹך.

ערוך מדיניות ברירת מחדל של דומיין

3. ב'עורך ניהול מדיניות קבוצתית', נווט אל:

  • תצורת משתמש > מדיניות > תבניות ניהול > מערכת > גישה לאחסון נשלף

4. בחלונית הימנית, לחץ פעמיים על: דיסקים נשלפים: דחה גישת קריאה. *

* הערות:
1. מדריכים רבים בשלב זה מציעים זאת לְאַפשֵׁר ה 'כל מחלקות האחסון הנשלפות: דחיית כל גישה' מדיניות, אך במהלך הבדיקות שלנו גילינו שמדיניות זו אינה חלה (עבודה) על סמארטפונים או טאבלטים.
2. אם ברצונך לחסום את גישת ה-USB כתיבת, בחר את דיסקים נשלפים: דחה גישת כתיבה.

כיצד לחסום התקני אחסון USB בדומיין עם מדיניות קבוצתית

5. חשבון מופעל ולחץ בסדר.

כיצד לחסום usb באמצעות מדיניות קבוצתית ב-Windows Server 2016

6. סגור עורך המדיניות הקבוצתית.
7. אתחול השרת ומכונות הלקוח, או הפעל את gpupdate /force הפקודה להחלת הגדרות המדיניות הקבוצתית החדשות (ללא הפעלה מחדש) הן על השרת והן על לקוחות.

חלק 2. כיצד למנוע גישה להתקני אחסון USB במשתמשי דומיין ספציפיים.

כדי להשבית גישה להתקני אחסון USB למשתמשים ספציפיים רק באמצעות מדיניות קבוצתית, עליך ליצור א קבוצה עם משתמשים שאינם רוצים לגשת להתקני אחסון USB ולאחר מכן להחיל על זה את המדיניות החדשה קְבוּצָה. לעשות את זה:

שלב 1. צור קבוצה עם משתמשי USB מושבתים. *

* הערה: אם כבר יצרת קבוצה עם משתמשי USB מושבתים, המשך אל שלב 2.

1. לִפְתוֹחַ משתמשי ומחשבים של Active Directory.
2. לחץ לחיצה ימנית על "משתמשים" אובייקט בחלונית השמאלית ובחר חָדָשׁ > קְבוּצָה

Active Directory - צור קבוצה

3. הקלד שם לקבוצה החדשה (למשל "משתמשים מושבתי USB") ולחץ בסדר. *

* הערה: השאר את האפשרויות 'גלובלי' ו'אבטחה' מסומנות.

תמונה

4. פתח את הקבוצה החדשה שנוצרה, בחר את חברים לשונית ולחץ לְהוֹסִיף

תמונה

5. כעת בחר באיזה תחום משתמש(ים) ברצונך לחסום את התקני אחסון USB ולאחר מכן לחץ בסדר.

תמונה

6. נְקִישָׁה בסדר לסגירת נכסי הקבוצה.

תמונה

שלב 2. צור אובייקט מדיניות קבוצתית חדש כדי להשבית את התקני אחסון ה-USB.

1. פתח את ה ניהול מדיניות קבוצתית.
2. מתחת לאובייקט 'דומיינים', לחץ לחיצה ימנית על הדומיין שלך ובחר צור GPO בדומיין הזה וקשר אותו כאן.

תמונה

3. הקלד שם עבור GPO החדש (למשל "USB Disabled") ולחץ בסדר.

תמונה

4. לחץ לחיצה ימנית על GPO חדש ולחץ לַעֲרוֹך.

השבת גישת USB עבור משתמשים מסוימים באמצעות מדיניות קבוצתית

5. ב'עורך ניהול מדיניות קבוצתית', נווט אל:

  • תצורת משתמש > מדיניות > תבניות ניהול > מערכת > גישה לאחסון נשלף

4. בחלונית הימנית, לחץ פעמיים על: דיסקים נשלפים: דחה גישת קריאה. *

* הערה:
1. מדריכים רבים בשלב זה מציעים זאת לְאַפשֵׁר ה 'כל מחלקות האחסון הנשלפות: דחיית כל גישה' מדיניות, אך במהלך הבדיקות שלנו גילינו שמדיניות זו אינה חלה (עבודה) על סמארטפונים או טאבלטים.
2. אם ברצונך לחסום את גישת ה-USB כתיבת, בחר את דיסקים נשלפים: דחה גישת כתיבה.

חסום גישה לאחסון USB עבור משתמשים מסוימים

5. חשבון מופעל ולחץ בסדר.

דיסקים נשלפים - דחיית גישה

6. סגור ה עורך ניהול מדיניות קבוצתית חַלוֹן.

7. בחזרה ל'ניהול מדיניות קבוצתית', בחר ב-GPO "מושבתת USB" ובכרטיסייה 'היקף' לחץ על לְהוֹסִיף לחצן (תחת הגדרות 'סינון אבטחה').

חסום USB למשתמשים מסוימים ב-AD Server 2016

8. הקלד את השם של קבוצת "משתמשי USB מושבתי" (למשל "משתמשים מושבתי USB" בפוסט זה), ולחץ על בסדר.

תמונה

9. בסיום, בחר את מִשׁלַחַת לשונית.

תמונה

10. בכרטיסייה 'האצלה', בחר ה משתמשים מאומתים ולחץ מִתקַדֵם.

תמונה

11. באפשרויות אבטחה, בחר ה משתמשים מאומתים ו בטל את הסימון ה החל את המדיניות הקבוצתית תיבת סימון. בסיום, לחץ בסדר.

תמונה

6. סגור עורך המדיניות הקבוצתית.
7. אתחול השרת ומכונות הלקוח, או הפעל את "gpupdate /force" הפקודה (כמנהל), כדי להחיל את הגדרות המדיניות הקבוצתית החדשות (ללא הפעלה מחדש) הן על השרת והן על הלקוחות.

זהו זה! הודע לי אם המדריך הזה עזר לך על ידי השארת הערה לגבי החוויה שלך. בבקשה תעשו לייק ושתפו את המדריך הזה כדי לעזור לאחרים.