Šajā rokasgrāmatā ir ietverti detalizēti norādījumi par to, kā bloķēt USB atmiņas ierīces visā domēnā vai konkrētos domēna lietotājiem, izmantojot grupas politiku AD domēnā 2016 vai 2012. Precīzāk, pēc šīs rokasgrāmatas instrukciju izlasīšanas jūs uzzināsit, kā novērst piekļuvi jebkurai USB atmiņas ierīcei (zibatmiņas diskiem, ārējiem cietie diski, viedtālruņi, planšetdatori utt.), kas var izveidot savienojumu ar jebkuru domēna datoru vai liegt piekļuvi USB atmiņai tikai konkrētiem domēna lietotājiem.
Mūsdienās daudzi no mums datu pārsūtīšanai izmanto USB atmiņas ierīci. Tomēr organizācijai tās darbinieku spēja izmantot ārējās atmiņas ierīces var ietvert drošības riskus, piemēram, ļaunprātīgas programmatūras izplatīšanu vai sensitīvu datu pārtveršanu. Lai izvairītos no šiem riskiem, varat izlasīt tālāk sniegtos norādījumus, lai bloķētu piekļuvi USB atmiņas ierīcēm visiem jūsu domēna lietotājiem un datoriem vai tikai noteiktiem domēna lietotājiem, izmantojot grupas politiku.. *
* Piezīmes:
1.Šajā ziņā, lai bloķētu USB diskus, izmantojot grupas politiku, mēs izmantojām Active Directory 2016 domēna kontrolleri, lai izveidotu jauno grupas politiku, un Windows 10 Pro un Windows 7 Pro darbstacijas, lai to lietotu.
2. Politika "Bloķēt USB piekļuvi" neietekmēs domēna administratorus vai jebkuru citu pievienoto USB ierīci, piemēram, USB tastatūras, peli, printeri utt.
3.Pēc grupas politikas piemērošanas lietotājiem nebūs piekļuves neviena veida USB atmiņas ierīcei un Mēģinot piekļūt USB atmiņas ierīcei, tiks parādīts viens no šiem kļūdu ziņojumiem PC.
Kā izmantot grupas politiku, lai novērstu piekļuvi USB atmiņas ierīcēm (serveris 2012/2012R2/2016)
- 1. daļa. Bloķēt USB lasīšanas/rakstīšanas piekļuvi visiem domēna lietotājiem.
- 2. daļa. Bloķējiet USB lasīšanas/rakstīšanas piekļuvi noteiktiem domēna lietotājiem.
1. daļa. Kā bloķēt piekļuvi USB atmiņas ierīcēm visā domēnā 2016.
Lai atspējotu piekļuvi jebkurai pievienotajai USB atmiņas ierīcei jebkuram datoram (lietotājam) domēnā:
1. Programmā Server 2016 AD domēna kontrolleris atveriet Servera pārvaldnieks un tad no Rīki izvēlni, atveriet Grupas politikas pārvaldība. *
* Turklāt dodieties uz Vadības panelis -> Administratīvie rīki -> Grupas politikas pārvaldība.
2. Zem Domēni, atlasiet savu domēnu un pēc tam ar peles labo pogu noklikšķiniet plkst Noklusējuma domēna politika un izvēlēties Rediģēt.
3. Grupas politikas pārvaldības redaktorā dodieties uz:
- Lietotāja konfigurācija > Politikas > Administratīvās veidnes > Sistēma > Noņemama piekļuve krātuvei
4. Labajā rūtī veiciet dubultklikšķi uz: Noņemamie diski: liegt lasīšanas piekļuvi. *
* Piezīmes:
1. Daudzas apmācības šajā brīdī iesaka Iespējot 'Visas noņemamās krātuves klases: liegt visu piekļuvi politiku, taču mūsu pārbaužu laikā atklājām, ka šī politika neattiecas uz viedtālruņiem vai planšetdatoriem.
2. Ja vēlaties bloķēt USB rakstīšanas piekļuvi, atlasiet Noņemamie diski: liegt rakstīšanas piekļuvi.
5. Pārbaudiet Iespējots un noklikšķiniet LABI.
6. Aizvērt grupas politikas redaktors.
7. Restartēt serveri un klienta mašīnas vai palaidiet gpupdate /force komandu, lai lietotu jaunos grupas politikas iestatījumus (bez restartēšanas) gan serverim, gan klientiem.
2. daļa. Kā noteiktu domēna lietotāju piekļuvi USB atmiņas ierīcēm novērst.
Lai atspējotu piekļuvi USB atmiņas ierīcēm tikai konkrētiem lietotājiem, izmantojot grupas politiku, ir jāizveido a grupā ar lietotājiem, kuri nevēlas piekļūt USB atmiņas ierīcēm, un pēc tam piemērot jauno politiku grupai. Darīt to:
1. darbība. Izveidojiet grupu ar atspējotiem USB lietotājiem. *
* Piezīme: Ja esat jau izveidojis grupu ar atspējotiem USB lietotājiem, turpiniet solis-2.
1. Atvērt Active Directory lietotāji un datori.
2. Ar peles labo pogu noklikšķiniet uz "Lietotāji" objektu kreisajā rūtī un izvēlieties Jauns > Grupa
3. Ierakstiet jaunās grupas nosaukumu (piemēram, "USB atspējoti lietotāji") un noklikšķiniet uz labi. *
* Piezīme: Atstājiet atzīmētas opcijas “Globālā” un “Drošība”.
4. Atveriet jaunizveidoto grupu, atlasiet Dalībnieki cilni un noklikšķiniet Pievienot
5. Tagad atlasiet, kurā(-os) domēna lietotāju(s) vēlaties bloķēt USB atmiņas ierīces, un pēc tam noklikšķiniet uz LABI.
6. Klikšķis labi lai aizvērtu grupas rekvizītus.
2. darbība. Izveidojiet jaunu grupas politikas objektu, lai atspējotu USB atmiņas ierīces.
1. Atveriet Grupas politikas pārvaldība.
2. Zem objekta "Domēni" ar peles labo pogu noklikšķiniet uz sava domēna un atlasiet Izveidojiet GPO šajā domēnā un saistiet to šeit.
3. Ierakstiet jaunā GPO nosaukumu (piemēram, "USB atspējots") un noklikšķiniet uz LABI.
4. Ar peles labo pogu noklikšķiniet uz jaunā GPO un noklikšķiniet uz Rediģēt.
5. Grupas politikas pārvaldības redaktorā dodieties uz:
- Lietotāja konfigurācija > Politikas > Administratīvās veidnes > Sistēma > Noņemama piekļuve krātuvei
4. Labajā rūtī veiciet dubultklikšķi uz: Noņemamie diski: liegt lasīšanas piekļuvi. *
* Piezīme:
1. Daudzas apmācības šajā brīdī iesaka Iespējot 'Visas noņemamās krātuves klases: liegt visu piekļuvi politiku, taču mūsu pārbaužu laikā atklājām, ka šī politika neattiecas uz viedtālruņiem vai planšetdatoriem.
2. Ja vēlaties bloķēt USB rakstīšanas piekļuvi, atlasiet Noņemamie diski: liegt rakstīšanas piekļuvi.
5. Pārbaudiet Iespējots un noklikšķiniet LABI.
6. Aizvērt uz Grupas politikas pārvaldības redaktors logs.
7. Atgriezieties sadaļā "Grupas politikas pārvaldība", atlasiet GPO "USB atspējots" un cilnē "Tvērums" noklikšķiniet uz Pievienot pogu (sadaļā "Drošības filtrēšana").
8. Ierakstiet grupas "USB atspējoti lietotāji" nosaukumu (piem., "USB atspējoti lietotāji" šajā ziņā) un noklikšķiniet uz labi.
9. Kad esat pabeidzis, atlasiet Delegācija cilne.
10. Cilnē "Delegācija" izvēlieties uz Autentificēti lietotāji un noklikšķiniet Papildu.
11. Sadaļā Drošības opcijas izvēlieties uz Autentificēti lietotāji un noņemiet atzīmi uz Lietot grupas politiku izvēles rūtiņa. Kad esat pabeidzis, noklikšķiniet LABI.
6. Aizvērt grupas politikas redaktors.
7. Restartēt serveri un klienta mašīnas vai palaidiet "gpupdate /force" komandu (kā administrators), lai lietotu jaunos grupas politikas iestatījumus (bez restartēšanas) gan serverim, gan klientiem.
Tieši tā! Paziņojiet man, vai šī rokasgrāmata jums ir palīdzējusi, atstājot komentāru par savu pieredzi. Lūdzu, patīk un dalies ar šo ceļvedi, lai palīdzētu citiem.