Kaip blokuoti USB saugojimo įrenginius domene 2016/2012 naudojant grupės politiką.

Šiame vadove pateikiamos nuoseklios instrukcijos, kaip blokuoti USB atmintinės įrenginius visame domene arba konkrečiuose domeno naudotojuose naudojant grupės strategiją AD domene 2016 arba 2012 m. Tiksliau, perskaitę šio vadovo instrukcijas sužinosite, kaip neleisti pasiekti bet kokio USB atmintinės (flash drives, išorinio kietieji diskai, išmanieji telefonai, planšetiniai kompiuteriai ir kt.), kurie gali prisijungti prie bet kurio domeno kompiuterio arba neleisti USB atmintinės pasiekti tik konkretiems domeno vartotojams.

Šiandien daugelis iš mūsų naudoja USB laikmeną duomenims perduoti. Tačiau organizacijos darbuotojų galimybė naudoti išorinius saugojimo įrenginius gali kelti pavojų saugumui, pavyzdžiui, platinti kenkėjiškas programas arba perimti neskelbtinus duomenis. Norėdami išvengti šios rizikos, galite perskaityti šias instrukcijas, kaip blokuoti prieigą prie USB atmintinių visiems jūsų domeno naudotojams ir kompiuteriams arba tik tam tikriems domeno naudotojams, naudodami grupės politiką.. *

* Pastabos:
1.Šiame įraše, norėdami blokuoti USB diskus taikydami grupės politiką, naudojome „Active Directory 2016“ domeno valdiklį, kad sukurtume naują grupės politiką, o „Windows 10 Pro“ ir „Windows 7 Pro“ darbo stotis jai pritaikyti.
2. Politika „Blokuoti USB prieigą“ neturės įtakos domeno administratoriams ar bet kuriam kitam prijungtam USB įrenginiui, pvz., USB klaviatūroms, pelėms, spausdintuvams ir kt.

3.Pritaikę grupės politiką, vartotojai neturės prieigos prie jokio tipo USB atmintinės ir bandydami pasiekti savo USB atmintinę gaus vieną iš šių klaidų pranešimų PC.

vaizdasvaizdas

Kaip naudoti grupės politiką, kad būtų užkirstas kelias prieigai prie USB saugojimo įrenginių (serveris 2012/2012R2/2016)

  • 1 dalis. Blokuokite USB skaitymo / rašymo prieigą visiems domeno naudotojams.
  • 2 dalis. Blokuokite USB skaitymo / rašymo prieigą tam tikriems domeno naudotojams.

1 dalis. Kaip užblokuoti prieigą prie USB saugojimo įrenginių visame domene 2016 m.

Norėdami išjungti bet kurio domeno kompiuterio (vartotojo) prieigą prie bet kurio prijungto USB atmintinės įrenginio:

1. „Server 2016 AD“ domeno valdiklyje atidarykite Serverio tvarkyklė ir tada iš Įrankiai meniu, atidarykite Grupės politikos valdymas. *

* Be to, eikite į Kontrolės skydelis -> Administravimo įrankiai -> Grupės politikos valdymas.

Grupės strategijos valdymas – Server 2016

2. Pagal Domenai, pasirinkite savo domeną ir tada dešiniuoju pelės mygtuku spustelėkite adresu Numatytoji domeno politika ir pasirinkti Redaguoti.

Redaguoti numatytąją domeno politiką

3. „Grupės politikos valdymo rengyklėje“ eikite į:

  • Vartotojo konfigūracija > Politika > Administravimo šablonai > Sistema > Išimama saugyklos prieiga

4. Dešinėje srityje dukart spustelėkite: Išimami diskai: uždrausti skaitymo prieigą. *

* Pastabos:
1. Daugelis vadovėlių šiuo metu siūlo Įgalinti 'Visos išimamos saugyklos klasės: uždrausti bet kokią prieigą politiką, tačiau testuodami nustatėme, kad ši politika netaikoma (veikia) išmaniesiems telefonams ar planšetiniams kompiuteriams.
2. Jei norite užblokuoti USB rašymo prieigą, pasirinkite Išimami diskai: uždrausti rašymo prieigą.

Kaip blokuoti USB saugojimo įrenginius domene naudojant grupės politiką

5. Patikrinti Įjungtas ir spustelėkite GERAI.

Kaip užblokuoti usb naudojant grupės politiką „Windows Server 2016“.

6. Uždaryti grupės strategijos redaktorius.
7. Perkrauti serverį ir kliento įrenginius arba paleiskite gpupdate /force komandą, kad pritaikytumėte naujus grupės strategijos parametrus (nepaleidžiant iš naujo) tiek serveriui, tiek klientams.

2 dalis. Kaip užkirsti kelią tam tikrų domenų naudotojų prieigai prie USB saugojimo įrenginių.

Norėdami išjungti prieigą prie USB atminties įrenginių tik konkretiems vartotojams naudodami grupės politiką, turite sukurti a sugrupuoti su vartotojais, kurie nenori pasiekti USB atmintinių, ir tada pritaikyti tam naują politiką grupė. Padaryti tai:

1 žingsnis. Sukurkite grupę su neįgaliais USB vartotojais. *

* Pastaba: Jei jau sukūrėte grupę su išjungtais USB vartotojais, tęskite 2 žingsnis.

1. Atviras „Active Directory“ vartotojai ir kompiuteriai.
2.
Dešiniuoju pelės mygtuku spustelėkite „Vartotojai“ objektą kairėje srityje ir pasirinkite Nauja > Grupė

Active Directory – sukurti grupę

3. Įveskite naujos grupės pavadinimą (pvz., „USB išjungti vartotojai“) ir spustelėkite Gerai. *

* Pastaba: Palikite pažymėtas parinktis „Visuotinis“ ir „Sauga“.

vaizdas

4. Atidarykite naujai sukurtą grupę, pasirinkite Nariai skirtuką ir spustelėkite Papildyti

vaizdas

5. Dabar pasirinkite, kuriam (-iems) domeno naudotojui (-iams) norite blokuoti USB atmintinės įrenginius, tada spustelėkite GERAI.

vaizdas

6. Spustelėkite Gerai uždaryti grupės savybes.

vaizdas

2 žingsnis. Sukurkite naują grupės strategijos objektą, kad išjungtumėte USB atmintinės įrenginius.

1. Atidaryk Grupės politikos valdymas.
2.
Objekte „Domenai“ dešiniuoju pelės mygtuku spustelėkite savo domeną ir pasirinkite Sukurkite GPO šiame domene ir susiekite jį čia.

vaizdas

3. Įveskite naujo GPO pavadinimą (pvz., „USB išjungtas“) ir spustelėkite GERAI.

vaizdas

4. Dešiniuoju pelės mygtuku spustelėkite naują GPO ir spustelėkite Redaguoti.

Išjunkite USB prieigą tam tikriems vartotojams naudodami grupės politiką

5. „Grupės politikos valdymo rengyklėje“ eikite į:

  • Vartotojo konfigūracija > Politika > Administravimo šablonai > Sistema > Išimama saugyklos prieiga

4. Dešinėje srityje dukart spustelėkite: Išimami diskai: uždrausti skaitymo prieigą. *

* Pastaba:
1. Daugelis vadovėlių šiuo metu siūlo Įgalinti 'Visos išimamos saugyklos klasės: uždrausti bet kokią prieigą politiką, tačiau testuodami nustatėme, kad ši politika netaikoma (veikia) išmaniesiems telefonams ar planšetiniams kompiuteriams.
2. Jei norite užblokuoti USB rašymo prieigą, pasirinkite Išimami diskai: uždrausti rašymo prieigą.

Blokuokite prieigą prie USB atmintinės tam tikriems vartotojams

5. Patikrinti Įjungtas ir spustelėkite GERAI.

Išimami diskai – uždrausti prieigą

6. Uždaryti į Grupės strategijos valdymo redaktorius langas.

7. Grįžkite į „Grupės politikos valdymas“, pasirinkite GPO „USB išjungtas“ ir skirtuke „Taikymo sritis“ spustelėkite Papildyti mygtuką (skiltyje „Saugos filtravimas“).

Blokuokite USB tam tikriems AD Server 2016 naudotojams

8. Įveskite grupės „USB išjungti vartotojai“ pavadinimą (pvz., „USB išjungti vartotojai“ šiame įraše) ir spustelėkite Gerai.

vaizdas

9. Baigę pasirinkite Delegacija skirtukas.

vaizdas

10. Skirtuke „Delegavimas“ pasirinkite į Autentifikuoti vartotojai ir spustelėkite Išplėstinė.

vaizdas

11. Saugos parinktyse, pasirinkite į Autentifikuoti vartotojai ir panaikinkite žymėjimą į Taikykite grupės politiką žymimasis langelis. Baigę spustelėkite GERAI.

vaizdas

6. Uždaryti grupės strategijos redaktorius.
7. Perkrauti serverį ir kliento įrenginius arba paleiskite „gpupdate /force" komanda (kaip administratorius), kad pritaikytumėte naujus grupės strategijos parametrus (nepaleidžiant iš naujo) tiek serveriui, tiek klientams.

Viskas! Leiskite man žinoti, ar šis vadovas jums padėjo, palikdami komentarą apie savo patirtį. Prašome pamėgti ir pasidalinti šiuo vadovu, kad padėtumėte kitiems.