Deze handleiding bevat stapsgewijze instructies voor het blokkeren van USB-opslagapparaten op het hele domein of op specifieke domeingebruikers met behulp van Groepsbeleid in een AD-domein 2016 of 2012. Meer in het bijzonder leert u na het lezen van de instructies in deze handleiding hoe u toegang tot een USB-opslagapparaat (flashdrives, externe harde schijven, smartphones, tablets, enz.), die verbinding kunnen maken met elke computer in het domein, of de toegang tot USB-opslag alleen aan specifieke domeingebruikers kunnen weigeren.
Tegenwoordig gebruiken velen van ons een USB-opslagapparaat om gegevens over te dragen. Voor een organisatie kan het vermogen van haar werknemers om externe opslagapparaten te gebruiken echter beveiligingsrisico's met zich meebrengen, zoals het verspreiden van malware of het onderscheppen van gevoelige gegevens. Om deze risico's te vermijden, kunt u de volgende instructies lezen om de toegang tot USB-opslagapparaten te blokkeren voor alle gebruikers en computers in uw domein of alleen voor bepaalde domeingebruikers, met behulp van Groepsbeleid. *
* Opmerkingen:
1.In dit bericht, om USB-drives te blokkeren via groepsbeleid, we gebruikten een Active Directory 2016-domeincontroller om het nieuwe groepsbeleid te maken en Windows 10 Pro- en Windows 7 Pro-werkstations om het toe te passen.
2. Het beleid "USB-toegang blokkeren" heeft geen invloed op de domeinbeheerders of enig ander aangesloten USB-apparaat, zoals USB-toetsenborden, muis, printer, enz.
3.Na het toepassen van het groepsbeleid hebben de gebruikers geen toegang tot welk type USB-opslagapparaat dan ook, en krijgen een van de volgende foutmeldingen wanneer ze proberen toegang te krijgen tot een USB-opslagapparaat op hun pc.
Groepsbeleid gebruiken om toegang tot USB-opslagapparaten te voorkomen (Server 2012/2012R2/2016)
- Deel 1. Blokkeer USB-lees-/schrijftoegang voor alle domeingebruikers.
- Deel 2. Blokkeer USB-lees-/schrijftoegang voor bepaalde domeingebruikers.
Deel 1. Hoe de toegang tot USB-opslagapparaten op het hele domein 2016 te blokkeren.
Om de toegang tot een aangesloten USB-opslagapparaat op een computer (gebruiker) in het domein uit te schakelen:
1. Open in Server 2016 AD-domeincontroller de Serverbeheer en dan van Hulpmiddelen menu, open de Groepsbeleidsmanagement. *
* Navigeer bovendien naar Controlepaneel -> Administratieve hulpmiddelen -> Groepsbeleidsmanagement.
2. Onder Domeinen, selecteer uw domein en dan klik met de rechtermuisknop Bij Standaard domeinbeleid en kies Bewerk.
3. Navigeer in 'Groepsbeleidsbeheer-editor' naar:
- Gebruikersconfiguratie > Beleid > Beheersjablonen > Systeem > Toegang tot verwisselbare opslag
4. Dubbelklik in het rechterdeelvenster op: Verwisselbare schijven: leestoegang weigeren. *
* Opmerkingen:
1. Veel tutorials op dit punt suggereren om: Inschakelen de 'Alle klassen voor verwisselbare opslag: alle toegang weigeren' beleid, maar tijdens onze tests ontdekten we dat dit beleid niet van toepassing is (werk) voor smartphones of tablets.
2. Als u de USB-schrijftoegang wilt blokkeren, selecteert u de Verwisselbare schijven: schrijftoegang weigeren.
5. Controleren Ingeschakeld en klik OKE.
6. Dichtbij de Groepsbeleid-editor.
7. Herstarten de server en de clientmachines, of voer de gpupdate /force opdracht om de nieuwe instellingen voor groepsbeleid (zonder opnieuw opstarten) toe te passen op zowel de server als de clients.
Deel 2. Toegang tot USB-opslagapparaten op specifieke domeingebruikers voorkomen.
Om de toegang tot USB-opslagapparaten alleen voor specifieke gebruikers uit te schakelen door een groepsbeleid te gebruiken, moet u een groep met gebruikers die geen toegang willen tot USB-opslagapparaten en vervolgens het nieuwe beleid hierop toepassen groep. Om dat te doen:
Stap 1. Maak een groep met de uitgeschakelde USB-gebruikers. *
* Opmerking: Als u al een groep hebt gemaakt met de uitgeschakelde USB-gebruikers, gaat u verder met: stap 2.
1. Open Active Directory-gebruikers en computers.
2. Klik met de rechtermuisknop op de "Gebruikers" object in het linkerdeelvenster en kies Nieuw > Groep
3. Typ een naam voor de nieuwe groep (bijv. "USB Disabled Users") en klik op oke. *
* Opmerking: Laat de opties 'Globaal' en 'Beveiliging' aangevinkt.
4. Open de nieuw aangemaakte groep, selecteer de Leden tabblad en klik op Toevoegen
5. Selecteer nu in welke domeingebruiker(s) je de USB-opslagapparaten wilt blokkeren en klik vervolgens op OKE.
6. Klik oke groepseigenschappen te sluiten.
Stap 2. Maak een nieuw groepsbeleidsobject om de USB-opslagapparaten uit te schakelen.
1. Open de Groepsbeleidsmanagement.
2. Klik onder het object 'Domeinen' met de rechtermuisknop op uw domein en selecteer Maak een GPO in dit domein en koppel het hier.
3. Typ een naam voor het nieuwe groepsbeleidsobject (bijv. "USB Disabled") en klik op OKE.
4. Klik met de rechtermuisknop op nieuw groepsbeleidsobject en klik op Bewerk.
5. Navigeer in 'Groepsbeleidsbeheer-editor' naar:
- Gebruikersconfiguratie > Beleid > Beheersjablonen > Systeem > Toegang tot verwisselbare opslag
4. Dubbelklik in het rechterdeelvenster op: Verwisselbare schijven: leestoegang weigeren. *
* Opmerking:
1. Veel tutorials op dit punt suggereren om: Inschakelen de 'Alle klassen voor verwisselbare opslag: alle toegang weigeren' beleid, maar tijdens onze tests ontdekten we dat dit beleid niet van toepassing is (werk) voor smartphones of tablets.
2. Als u de USB-schrijftoegang wilt blokkeren, selecteert u de Verwisselbare schijven: schrijftoegang weigeren.
5. Controleren Ingeschakeld en klik OKE.
6. Dichtbij de Editor voor groepsbeleidsbeheer venster.
7. Terug naar 'Groepsbeleidsbeheer', selecteer het GPO 'USB uitgeschakeld' en klik op het tabblad 'Bereik' op de Toevoegen knop (onder de instellingen voor 'Beveiligingsfiltering').
8. Typ de naam van de groep "USB-gebruikers met een handicap" (bijv. "Gebruikers met een USB-beperking" in dit bericht) en klik op oke.
9. Als u klaar bent, selecteert u de Delegatie tabblad.
10. Op het tabblad 'Delegatie', selecteer de Geverifieerde gebruikers en klik Geavanceerd.
11. Bij Beveiligingsopties, selecteer de Geverifieerde gebruikers en uitvinken de Groepsbeleid toepassen selectievakje. Als u klaar bent, klikt u op OKE.
6. Dichtbij de Groepsbeleid-editor.
7. Herstarten de server en de clientcomputers, of voer de "gpupdate /force" (als beheerder), om de nieuwe instellingen voor groepsbeleid (zonder opnieuw opstarten) toe te passen op zowel de server als de clients.
Dat is het! Laat me weten of deze gids je heeft geholpen door een opmerking over je ervaring achter te laten. Like en deel deze gids om anderen te helpen.