Denne veiledningen inneholder trinnvise instruksjoner om hvordan du blokkerer USB-lagringsenheter på hele domenet eller på spesifikke domenebrukere ved å bruke gruppepolicy i et AD-domene 2016 eller 2012. Mer spesifikt, etter å ha lest instruksjonene i denne veiledningen vil du lære hvordan du forhindrer tilgang til enhver USB-lagringsenhet (flash-stasjoner, eksterne harddisker, smarttelefoner, nettbrett osv.), som kan kobles til en hvilken som helst datamaskin i domenet, eller nekte USB-lagringstilgang bare for spesifikke domenebrukere.
I dag bruker mange av oss en USB-lagringsenhet for å overføre data. For en organisasjon kan imidlertid ansattes evne til å bruke eksterne lagringsenheter inneholde sikkerhetsrisikoer, for eksempel spredning av skadelig programvare eller avskjæring av sensitive data. For å unngå disse risikoene kan du lese instruksjonene nedenfor for å blokkere tilgang til USB-lagringsenheter for alle brukere og datamaskiner på domenet ditt eller kun til visse domenebrukere, ved å bruke gruppepolicy. *
* Merknader:
1.I dette innlegget, for å blokkere USB-stasjoner gjennom gruppepolicy, vi brukte en Active Directory 2016-domenekontroller for å lage den nye gruppepolicyen og Windows 10 Pro og Windows 7 Pro-arbeidsstasjoner for å bruke den.
2. "Blokker USB-tilgang"-policyen vil ikke påvirke domeneadministratorene eller noen annen tilkoblet USB-enhet, for eksempel USB-tastaturer, mus, skrivere osv.
3.Etter å ha brukt gruppepolicyen, vil ikke brukerne ha tilgang til noen type USB-lagringsenhet, og vil motta en av følgende feilmeldinger når du prøver å få tilgang til en USB-lagringsenhet på deres PC.
Slik bruker du gruppepolicy for å forhindre tilgang til USB-lagringsenheter (Server 2012/2012R2/2016)
- Del 1. Blokker USB-lese-/skrivetilgang på alle domenebrukere.
- Del 2. Blokker USB-lese-/skrivetilgang for enkelte domenebrukere.
Del 1. Slik blokkerer du tilgang til USB-lagringsenheter på hele domenet 2016.
Slik deaktiverer du tilgangen til en tilkoblet USB-lagringsenhet til en hvilken som helst datamaskin (bruker) på domenet:
1. I Server 2016 AD Domain Controller åpner du Server Manager og så fra Verktøy menyen åpner du Group Policy Management. *
* I tillegg, naviger til Kontrollpanel -> Administrative verktøy -> Group Policy Management.
2. Under Domener, velg ditt domene og deretter Høyreklikk på Standard domenepolicy og velg Redigere.
3. I "Gruppepolicybehandlingsredigering", naviger til:
- Brukerkonfigurasjon > Retningslinjer > Administrative maler > System > Avtakbar lagringstilgang
4. I høyre rute dobbeltklikker du på: Flyttbare disker: Nekt lesetilgang. *
* Merknader:
1. Mange opplæringsprogrammer på dette punktet foreslår Muliggjøre den 'Alle flyttbare lagringsklasser: Nekt all tilgang' policy, men under testene våre oppdaget vi at denne policyen ikke gjelder (arbeid) for smarttelefoner eller nettbrett.
2. Hvis du vil blokkere USB-skrivetilgangen, velger du Flyttbare disker: Nekt skrivetilgang.
5. Kryss av Aktivert og klikk OK.
6. Lukk gruppepolicyredigereren.
7. Omstart serveren og klientmaskinene, eller kjør gpupdate /force kommandoen for å bruke de nye gruppepolicyinnstillingene (uten omstart) på både server og klienter.
Del 2. Hvordan forhindre tilgang til USB-lagringsenheter på spesifikke domenebrukere.
For å deaktivere tilgang til USB-lagringsenheter kun for bestemte brukere ved å bruke en gruppepolicy, må du opprette en gruppe med brukere som ikke vil ha tilgang til USB-lagringsenheter og deretter bruke den nye policyen på dette gruppe. Å gjøre det:
Trinn 1. Opprett en gruppe med deaktiverte USB-brukere. *
* Merk: Hvis du allerede har opprettet en gruppe med de deaktiverte USB-brukerne, fortsett til steg 2.
1. Åpen Active Directory-brukere og datamaskiner.
2. Høyreklikk på "Brukere" objekt i venstre rute, og velg Ny > Gruppe
3. Skriv inn et navn for den nye gruppen (f.eks. "USB-deaktiverte brukere") og klikk OK. *
* Merk: La "Global" og "Sikkerhet" være avmerket.
4. Åpne den nyopprettede gruppen, velg Medlemmer fanen og klikk Legg til
5. Velg nå i hvilke domenebrukere du vil blokkere USB-lagringsenhetene, og klikk deretter OK.
6. Klikk OK å stenge gruppeeiendommer.
Steg 2. Opprett et nytt gruppepolicyobjekt for å deaktivere USB-lagringsenheter.
1. Åpne Group Policy Management.
2. Under 'Domener'-objektet høyreklikker du på domenet ditt og velger Opprett en GPO i dette domenet og koble det her.
3. Skriv inn et navn for den nye GPO (f.eks. "USB deaktivert") og klikk OK.
4. Høyreklikk på ny GPO og klikk Redigere.
5. I "Gruppepolicybehandlingsredigering", naviger til:
- Brukerkonfigurasjon > Retningslinjer > Administrative maler > System > Avtakbar lagringstilgang
4. I høyre rute dobbeltklikker du på: Flyttbare disker: Nekt lesetilgang. *
* Merk:
1. Mange opplæringsprogrammer på dette punktet foreslår Muliggjøre den 'Alle flyttbare lagringsklasser: Nekt all tilgang' policy, men under testene våre oppdaget vi at denne policyen ikke gjelder (arbeid) for smarttelefoner eller nettbrett.
2. Hvis du vil blokkere USB-skrivetilgangen, velger du Flyttbare disker: Nekt skrivetilgang.
5. Kryss av Aktivert og klikk OK.
6. Lukk de Redaktør for gruppepolicyadministrasjon vindu.
7. Tilbake til "Group Policy Management", velg "USB Disabled" GPO og på "Scope"-fanen klikker du på Legg til -knappen (under innstillingene for 'Sikkerhetsfiltrering').
8. Skriv inn navnet på "USB-deaktiverte brukere"-gruppen (f.eks. "USB-deaktiverte brukere" i dette innlegget), og klikk OK.
9. Når du er ferdig, velg Delegasjon fanen.
10. På 'Delegering'-fanen, plukke ut de Autentiserte brukere og klikk Avansert.
11. På Sikkerhetsalternativer, plukke ut de Autentiserte brukere og fjern merket de Bruk gruppepolicy avmerkingsboksen. Klikk når du er ferdig OK.
6. Lukk gruppepolicyredigereren.
7. Omstart serveren og klientmaskinene, eller kjør "gpupdate /force" kommando (som administrator), for å bruke de nye gruppepolicyinnstillingene (uten omstart) på både server og klienter.
Det er det! Gi meg beskjed om denne veiledningen har hjulpet deg ved å legge igjen en kommentar om opplevelsen din. Lik og del denne veiledningen for å hjelpe andre.