Como bloquear dispositivos de armazenamento USB em um domínio 2016/2012 com Política de Grupo.

MiscelâneaDec 19, 2021

Este guia contém instruções passo a passo sobre como bloquear dispositivos de armazenamento USB em todo o domínio ou em usuários de domínio específico usando a Política de Grupo em um Domínio AD 2016 ou 2012. Mais especificamente, depois de ler as instruções neste guia, você aprenderá como impedir o acesso a qualquer dispositivo de armazenamento USB (drives flash, externos discos rígidos, smartphones, tablets, etc.), que podem se conectar a qualquer computador no domínio, ou negar o acesso de armazenamento USB apenas para usuários de domínio específico.

Hoje, muitos de nós usamos um dispositivo de armazenamento USB para transferir dados. No entanto, para uma organização, a capacidade de seus funcionários de usar dispositivos de armazenamento externos pode conter riscos de segurança, como espalhar malware ou interceptar dados confidenciais. Para evitar esses riscos, você pode ler as instruções a seguir para bloquear o acesso a dispositivos de armazenamento USB a todos os usuários e computadores em seu domínio ou apenas a determinados usuários de domínio, usando a Política de Grupo. *

* Notas:
1.Nesta postagem, para bloquear drives USB por meio de política de grupo, usamos um controlador de domínio Active Directory 2016 para criar a nova política de grupo e estações de trabalho Windows 10 Pro e Windows 7 Pro para aplicá-la.
2. A política de "Bloquear acesso USB" não afetará os administradores de domínio ou qualquer outro dispositivo USB conectado, como teclados USB, mouse, impressora, etc.
3.Após a aplicação da Política de Grupo, os usuários não terão acesso a nenhum tipo de dispositivo de armazenamento USB, e receberá uma das seguintes mensagens de erro ao tentar acessar um dispositivo de armazenamento USB em seu PC.

imagemimagem

Como usar a Política de Grupo para Prevenir o Acesso a Dispositivos de Armazenamento USB (Servidor 2012 / 2012R2 / 2016)

  • Parte 1. Bloqueie o acesso de leitura / gravação USB em todos os usuários do domínio.
  • Parte 2. Bloqueie o acesso de leitura / gravação de USB para determinados usuários do domínio.

Parte 1. Como bloquear o acesso a dispositivos de armazenamento USB em todo o domínio 2016.

Para desativar o acesso a qualquer dispositivo de armazenamento USB conectado a qualquer computador (usuário) no domínio:

1. No Server 2016 AD Domain Controller, abra o Gerenciador do Servidor e então de Ferramentas menu, abra o Gerenciamento de políticas de grupo. *

* Além disso, navegue até Painel de controle -> Ferramentas administrativas -> Gerenciamento de políticas de grupo.

Gerenciamento de Política de Grupo - Servidor 2016

2. Debaixo Domínios, selecione seu domínio e depois clique com o botão direito no Política de Domínio Padrão e escolher Editar.

Editar Política de Domínio Padrão

3. Em 'Editor de gerenciamento de política de grupo', navegue até:

  • Configuração do usuário> Políticas> Modelos administrativos> Sistema> Acesso de armazenamento removível

4. No painel direito, clique duas vezes em: Discos removíveis: negam acesso de leitura. *

* Notas:
1. Muitos tutoriais neste ponto sugerem que Habilitar a 'Todas as classes de armazenamento removível: negar todo o acesso ' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
2. Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: negam acesso de gravação.

Como bloquear dispositivos de armazenamento USB em um domínio com política de grupo

5. Verificar Habilitado e clique OK.

Como bloquear o usb por meio da política de grupo no Windows Server 2016

6. Fechar o Editor de Diretiva de Grupo.
7. Reiniciar o servidor e as máquinas cliente, ou execute o gpupdate / force comando para aplicar as novas configurações de política de grupo (sem reinicialização) para o servidor e clientes.

Parte 2. Como impedir o acesso a dispositivos de armazenamento USB em usuários de domínio específicos.

Para desabilitar o acesso a dispositivos de armazenamento USB para usuários específicos apenas usando uma política de grupo, você deve criar um grupo com usuários que não desejam acessar dispositivos de armazenamento USB e, em seguida, aplicar a nova política a este grupo. Fazer isso:

Passo 1. Crie um grupo com os usuários USB com deficiência. *

* Observação: Se você já criou um grupo com os usuários USB desabilitados, continue para passo 2.

1. Aberto Usuários e computadores do Active Directory.
2. Clique com o botão direito no "Comercial"objeto no painel esquerdo e escolha Novo > Grupo

Active Directory - Criar Grupo

3. Digite um nome para o novo grupo (por exemplo, "Usuários com deficiência USB") e clique em OK. *

* Observação: Deixe as opções 'Global' e 'Segurança' marcadas.

imagem

4. Abra o grupo recém-criado, selecione o Membros guia e clique Adicionar

imagem

5. Agora selecione em quais usuários do domínio você deseja bloquear os dispositivos de armazenamento USB e clique em OK.

imagem

6. Clique OK para fechar as propriedades do grupo.

imagem

Passo 2. Crie um novo objeto de política de grupo para desabilitar os dispositivos de armazenamento USB.

1. Abra o Gerenciamento de políticas de grupo.
2. No objeto 'Domínios', clique com o botão direito em seu domínio e selecione Crie um GPO neste domínio e vincule-o aqui.

imagem

3. Digite um nome para o novo GPO (por exemplo, "USB desativado") e clique em OK.

imagem

4. Clique com o botão direito no novo GPO e clique em Editar.

Desative o acesso USB para determinados usuários por meio da Política de Grupo

5. Em 'Editor de gerenciamento de política de grupo', navegue até:

  • Configuração do usuário> Políticas> Modelos administrativos> Sistema> Acesso de armazenamento removível

4. No painel direito, clique duas vezes em: Discos removíveis: negam acesso de leitura. *

* Observação:
1. Muitos tutoriais neste ponto sugerem que Habilitar a 'Todas as classes de armazenamento removível: negar todo o acesso ' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
2. Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: negam acesso de gravação.

Bloquear o acesso ao armazenamento USB para determinados usuários

5. Verificar Habilitado e clique OK.

Discos removíveis - negar acesso

6. Fechar a Editor de gerenciamento de política de grupo janela.

7. Voltar para 'Gerenciamento de Política de Grupo', selecione o GPO "USB desativado" e, na guia 'Escopo', clique no botão Adicionar (nas configurações de 'Filtragem de segurança').

Bloquear USB para certos usuários no AD Server 2016

8. Digite o nome do grupo "Usuários com deficiência de USB" (por exemplo, "Usuários com deficiência de USB" nesta postagem) e clique em OK.

imagem

9. Quando terminar, selecione o Delegação aba.

imagem

10. Na guia 'Delegação', selecionar a Usuários autenticados e clique Avançado.

imagem

11. Nas opções de segurança, selecionar a Usuários autenticados e desmarque a Aplicar política de grupo caixa de seleção. Quando terminar, clique OK.

imagem

6. Fechar o Editor de Diretiva de Grupo.
7. Reiniciar o servidor e as máquinas cliente, ou execute o "gpupdate / force"(como administrador), para aplicar as novas configurações de política de grupo (sem reinicialização) ao servidor e aos clientes.

É isso! Deixe-me saber se este guia o ajudou, deixando um comentário sobre sua experiência. Por favor, curta e compartilhe este guia para ajudar outras pessoas.