როგორ დავბლოკოთ USB შენახვის მოწყობილობები დომენზე 2016/2012 ჯგუფური პოლიტიკით.

MiscellaneaDec 19, 2021

ეს სახელმძღვანელო შეიცავს ნაბიჯ-ნაბიჯ ინსტრუქციებს იმის შესახებ, თუ როგორ უნდა დაბლოკოთ USB მეხსიერების მოწყობილობები მთელ დომენზე ან დომენის კონკრეტულ მომხმარებლებზე ჯგუფის პოლიტიკის გამოყენებით AD Domain 2016 ან 2012 წლებში. უფრო კონკრეტულად, ამ სახელმძღვანელოს ინსტრუქციების წაკითხვის შემდეგ, თქვენ შეიტყობთ, თუ როგორ აიცილოთ წვდომა ნებისმიერ USB საცავ მოწყობილობაზე (ფლეშ დრაივები, გარე მყარი დისკები, სმარტფონები, ტაბლეტები და ა.შ.), რომლებსაც შეუძლიათ დომენის ნებისმიერ კომპიუტერთან დაკავშირება ან USB მეხსიერების წვდომის აკრძალვა მხოლოდ დომენის კონკრეტულ მომხმარებლებს.

დღეს ბევრი ჩვენგანი იყენებს USB საცავ მოწყობილობას მონაცემთა გადასაცემად. თუმცა, ორგანიზაციისთვის, მისი თანამშრომლების შესაძლებლობა გამოიყენონ გარე საცავის მოწყობილობები, შეიძლება შეიცავდეს უსაფრთხოების რისკებს, როგორიცაა მავნე პროგრამების გავრცელება ან მგრძნობიარე მონაცემების გადაღება. ამ რისკების თავიდან ასაცილებლად, შეგიძლიათ წაიკითხოთ შემდეგი ინსტრუქციები, რათა დაბლოკოთ USB მეხსიერების მოწყობილობებზე წვდომა თქვენი დომენის ყველა მომხმარებლისა და კომპიუტერისთვის ან მხოლოდ გარკვეული დომენის მომხმარებლებისთვის, ჯგუფური პოლიტიკის გამოყენებით.

. *

* შენიშვნები:
1.ამ პოსტში, USB დისკების დაბლოკვის მიზნით ჯგუფური პოლიტიკის საშუალებით, ჩვენ გამოვიყენეთ Active Directory 2016 დომენის კონტროლერი ახალი ჯგუფის პოლიტიკის შესაქმნელად და Windows 10 Pro და Windows 7 Pro სამუშაო სადგურები მის გამოსაყენებლად.
2. „USB წვდომის დაბლოკვის“ პოლიტიკა არ იმოქმედებს დომენის ადმინისტრატორებზე ან სხვა დაკავშირებულ USB მოწყობილობაზე, როგორიცაა USB კლავიატურები, მაუსი, პრინტერი და ა.შ.
3.ჯგუფური პოლიტიკის გამოყენების შემდეგ მომხმარებლებს არ ექნებათ წვდომა ნებისმიერი ტიპის USB საცავის მოწყობილობაზე და მიიღებს ერთ-ერთ შემდეგ შეცდომის შეტყობინებას, როდესაც ცდილობთ წვდომას USB საცავ მოწყობილობაზე კომპიუტერი.

გამოსახულებაგამოსახულება

როგორ გამოვიყენოთ ჯგუფური პოლიტიკა USB შენახვის მოწყობილობებზე წვდომის თავიდან ასაცილებლად (სერვერი 2012/2012R2/2016)

  • Ნაწილი 1. დაბლოკეთ USB წაკითხვის/ჩაწერის წვდომა დომენის ყველა მომხმარებელზე.
  • Მე -2 ნაწილი. დაბლოკეთ USB წაკითხვის/ჩაწერის წვდომა დომენის გარკვეული მომხმარებლებისთვის.

Ნაწილი 1. როგორ დავბლოკოთ USB შენახვის მოწყობილობებზე წვდომა მთელ დომენზე 2016 წ.

ნებისმიერ დაკავშირებულ USB მეხსიერების მოწყობილობაზე წვდომის გამორთვა დომენის ნებისმიერ კომპიუტერზე (მომხმარებელზე):

1. Server 2016 AD Domain Controller-ში გახსენით სერვერის მენეჯერი და შემდეგ დან ხელსაწყოები მენიუ, გახსენით ჯგუფის პოლიტიკის მენეჯმენტი. *

* გარდა ამისა, ნავიგაცია Მართვის პანელი -> Ადმინისტრაციული ხელსაწყოები -> ჯგუფის პოლიტიკის მენეჯმენტი.

ჯგუფის პოლიტიკის მენეჯმენტი - სერვერი 2016 წ

2. ქვეშ დომენებიაირჩიეთ თქვენი დომენი და შემდეგ დააწკაპუნეთ მარჯვენა ღილაკით ზე ნაგულისხმევი დომენის პოლიტიკა და აირჩიე რედაქტირება.

შეცვალეთ ნაგულისხმევი დომენის პოლიტიკა

3. "ჯგუფური პოლიტიკის მართვის რედაქტორში" გადადით:

  • მომხმარებლის კონფიგურაცია > პოლიტიკა > ადმინისტრაციული შაბლონები > სისტემა > მოსახსნელი საცავი

4. მარჯვენა პანელზე ორჯერ დააწკაპუნეთ: მოსახსნელი დისკები: უარი თქვით წაკითხვის წვდომაზე. *

* შენიშვნები:
1. ბევრი გაკვეთილი ამ ეტაპზე გვთავაზობს ჩართვა 'ყველა მოსახსნელი მეხსიერების კლასი: ყველანაირ წვდომაზე უარის თქმა' პოლიტიკა, მაგრამ ჩვენი ტესტების დროს აღმოვაჩინეთ, რომ ეს პოლიტიკა არ ვრცელდება (მუშაობს) სმარტფონებზე ან ტაბლეტებზე.
2. თუ გსურთ დაბლოკოთ USB ჩაწერის წვდომა, აირჩიეთ მოსახსნელი დისკები: უარი თქვით ჩაწერის წვდომაზე.

როგორ დავბლოკოთ USB შენახვის მოწყობილობები დომენზე ჯგუფური პოლიტიკით

5. Ჩეკი ჩართულია და დააწკაპუნეთ ᲙᲐᲠᲒᲘ.

როგორ დავბლოკოთ USB ჯგუფური პოლიტიკის საშუალებით Windows სერვერზე 2016

6. დახურვა ჯგუფის პოლიტიკის რედაქტორი.
7. Რესტარტი სერვერი და კლიენტის მანქანები, ან გაუშვით gpupdate /force ბრძანება გამოიყენოს ახალი ჯგუფის პოლიტიკის პარამეტრები (გადატვირთვის გარეშე) როგორც სერვერზე, ასევე კლიენტებზე.

Მე -2 ნაწილი. როგორ ავიცილოთ წვდომა USB შენახვის მოწყობილობებზე კონკრეტული დომენის მომხმარებლებზე.

იმისათვის, რომ გამორთოთ წვდომა USB მეხსიერების მოწყობილობებზე კონკრეტული მომხმარებლებისთვის მხოლოდ ჯგუფის პოლიტიკის გამოყენებით, თქვენ უნდა შექმნათ ა დაჯგუფება მომხმარებლებთან, რომლებსაც არ სურთ USB მეხსიერების მოწყობილობებზე წვდომა და ამის შემდეგ გამოიყენონ ახალი პოლიტიკა ჯგუფი. ამის გასაკეთებლად:

Ნაბიჯი 1. შექმენით ჯგუფი გამორთული USB მომხმარებლებით. *

* Შენიშვნა: თუ უკვე შექმენით ჯგუფი გამორთული USB მომხმარებლებით, გააგრძელეთ ნაბიჯი-2.

1. გახსენით Active Directory მომხმარებლები და კომპიუტერები.
2. დააწკაპუნეთ მარჯვენა ღილაკით "მომხმარებლები" დააფიქსირეთ მარცხენა პანელზე და აირჩიეთ ახალი > ჯგუფი

Active Directory - შექმენით ჯგუფი

3. ჩაწერეთ სახელი ახალი ჯგუფისთვის (მაგ. „USB გამორთული მომხმარებლები“) და დააწკაპუნეთ კარგი. *

* Შენიშვნა: „გლობალური“ და „უსაფრთხოების“ ოფციები მონიშნულად დატოვეთ.

გამოსახულება

4. გახსენით ახლად შექმნილი ჯგუფი, აირჩიეთ წევრები ჩანართი და დააწკაპუნეთ დამატება

გამოსახულება

5. ახლა აირჩიეთ რომელ დომენში გსურთ USB შენახვის მოწყობილობების დაბლოკვა და შემდეგ დააწკაპუნეთ ᲙᲐᲠᲒᲘ.

გამოსახულება

6. დააწკაპუნეთ კარგი ჯგუფის თვისებების დახურვა.

გამოსახულება

ნაბიჯი 2. შექმენით ახალი ჯგუფის პოლიტიკის ობიექტი USB შენახვის მოწყობილობების გამორთვისთვის.

1. Გააღე ჯგუფის პოლიტიკის მენეჯმენტი.
2. "დომენი" ობიექტის ქვეშ დააწკაპუნეთ მაუსის მარჯვენა ღილაკით თქვენს დომენზე და აირჩიეთ შექმენით GPO ამ დომენში და დააკავშირეთ აქ.

გამოსახულება

3. ჩაწერეთ ახალი GPO-ს სახელი (მაგ. „USB გამორთულია“) და დააწკაპუნეთ ᲙᲐᲠᲒᲘ.

გამოსახულება

4. დააწკაპუნეთ მაუსის მარჯვენა ღილაკით ახალ GPO-ზე და დააწკაპუნეთ რედაქტირება.

გამორთეთ USB წვდომა გარკვეული მომხმარებლისთვის ჯგუფური პოლიტიკის მეშვეობით

5. "ჯგუფური პოლიტიკის მართვის რედაქტორში" გადადით:

  • მომხმარებლის კონფიგურაცია > პოლიტიკა > ადმინისტრაციული შაბლონები > სისტემა > მოსახსნელი საცავი

4. მარჯვენა პანელზე ორჯერ დააწკაპუნეთ: მოსახსნელი დისკები: უარი თქვით წაკითხვის წვდომაზე. *

* Შენიშვნა:
1. ბევრი გაკვეთილი ამ ეტაპზე გვთავაზობს ჩართვა 'ყველა მოსახსნელი მეხსიერების კლასი: ყველანაირ წვდომაზე უარის თქმა' პოლიტიკა, მაგრამ ჩვენი ტესტების დროს აღმოვაჩინეთ, რომ ეს პოლიტიკა არ ვრცელდება (მუშაობს) სმარტფონებზე ან ტაბლეტებზე.
2. თუ გსურთ დაბლოკოთ USB ჩაწერის წვდომა, აირჩიეთ მოსახსნელი დისკები: უარი თქვით ჩაწერის წვდომაზე.

დაბლოკეთ USB მეხსიერებაზე წვდომა გარკვეული მომხმარებლისთვის

5. Ჩეკი ჩართულია და დააწკაპუნეთ ᲙᲐᲠᲒᲘ.

მოსახსნელი დისკები - უარი თქვან წვდომაზე

6. დახურვა The ჯგუფის პოლიტიკის მართვის რედაქტორი ფანჯარა.

7. დაუბრუნდით "ჯგუფური პოლიტიკის მენეჯმენტს", აირჩიეთ "USB გამორთული" GPO და "ფარგლების" ჩანართზე დააწკაპუნეთ დამატება ღილაკი ("უსაფრთხოების ფილტრაციის" პარამეტრების ქვეშ).

დაბლოკეთ USB გარკვეული მომხმარებლებისთვის AD სერვერზე 2016 წ

8. ჩაწერეთ „USB გამორთული მომხმარებლები“ ​​ჯგუფის სახელი (მაგ. „USB გამორთული მომხმარებლები“ ​​ამ პოსტში) და დააწკაპუნეთ კარგი.

გამოსახულება

9. დასრულების შემდეგ აირჩიეთ დელეგაცია ჩანართი.

გამოსახულება

10. "დელეგაციის" ჩანართზე, აირჩიეთ The ავტორიზებული მომხმარებლები და დააწკაპუნეთ Მოწინავე.

გამოსახულება

11. უსაფრთხოების პარამეტრებში, აირჩიეთ The ავტორიზებული მომხმარებლები და მოხსენით მონიშვნა The გამოიყენეთ ჯგუფის პოლიტიკა ჩამრთველი. როდესაც დასრულდება, დააწკაპუნეთ ᲙᲐᲠᲒᲘ.

გამოსახულება

6. დახურვა ჯგუფის პოლიტიკის რედაქტორი.
7. Რესტარტი სერვერი და კლიენტის მანქანები, ან გაუშვით "gpupdate /force" ბრძანება (როგორც ადმინისტრატორი), გამოიყენოს ახალი ჯგუფის პოლიტიკის პარამეტრები (გადატვირთვის გარეშე) როგორც სერვერზე, ასევე კლიენტებზე.

Ის არის! შემატყობინეთ, დაგეხმარათ თუ არა ეს სახელმძღვანელო თქვენი გამოცდილების შესახებ თქვენი კომენტარის დატოვებით. გთხოვთ მოიწონოთ და გააზიაროთ ეს სახელმძღვანელო სხვების დასახმარებლად.