Как заблокировать USB-устройства хранения данных в домене 2016/2012 с помощью групповой политики.

РазноеDec 19, 2021

Это руководство содержит пошаговые инструкции о том, как заблокировать USB-устройства хранения данных во всем домене или для определенных пользователей домена с помощью групповой политики в домене AD 2016 или 2012. В частности, после прочтения инструкций в этом руководстве вы узнаете, как предотвратить доступ к любому USB-накопителю (флеш-накопители, внешние жесткие диски, смартфоны, планшеты и т. д.), которые могут подключаться к любому компьютеру в домене или запрещать доступ к USB-накопителю только определенным пользователям домена.

Сегодня многие из нас используют USB-накопители для передачи данных. Однако для организации возможность ее сотрудников использовать внешние запоминающие устройства может содержать риски безопасности, такие как распространение вредоносных программ или перехват конфиденциальных данных. Чтобы избежать этих рисков, вы можете прочитать следующие инструкции, чтобы заблокировать доступ к USB-накопителям для всех пользователей и компьютеров в вашем домене или только для определенных пользователей домена с помощью групповой политики.. *

* Примечания:
1.В этом посте, чтобы заблокировать USB-накопители с помощью групповой политики, мы использовали контроллер домена Active Directory 2016 для создания новой групповой политики и рабочие станции Windows 10 Pro и Windows 7 Pro для ее применения.
2. Политика «Блокировать доступ к USB» не повлияет на администраторов домена или любое другое подключенное USB-устройство, такое как USB-клавиатуры, мышь, принтер и т. Д.
3.После применения групповой политики у пользователей не будет доступа ни к какому типу запоминающих устройств USB, и получит одно из следующих сообщений об ошибке при попытке доступа к USB-накопителю на их ПК.

изображениеизображение

Как использовать групповую политику для предотвращения доступа к USB-устройствам хранения данных (Server 2012 / 2012R2 / 2016)

  • Часть 1. Заблокируйте доступ для чтения / записи USB для всех пользователей домена.
  • Часть 2. Запретить доступ для чтения / записи USB для определенных пользователей домена.

Часть 1. Как заблокировать доступ к USB-устройствам хранения данных во всем домене 2016.

Чтобы отключить доступ к любому подключенному USB-накопителю к любому компьютеру (пользователю) в домене:

1. В контроллере домена AD Server 2016 откройте Диспетчер сервера а затем из Инструменты меню, откройте Управление групповой политикой. *

* Дополнительно перейдите к Панель управления -> Инструменты управления -> Управление групповой политикой.

Управление групповой политикой - Сервер 2016

2. Под Домены, выберите свой домен, а затем щелкните правой кнопкой мыши в Политика домена по умолчанию и выберите Редактировать.

Изменить политику домена по умолчанию

3. В «Редакторе управления групповой политикой» перейдите к:

  • Конфигурация пользователя> Политики> Административные шаблоны> Система> Съемный доступ к хранилищу

4. На правой панели дважды щелкните по: Съемные диски: запретить доступ для чтения. *

* Примечания:
1. Многие руководства на этом этапе предлагают Давать возможность 'Все классы съемных носителей: запретить любой доступ ' политики, но в ходе наших тестов мы обнаружили, что эта политика не применяется (работает) для смартфонов или планшетов.
2. Если вы хотите заблокировать доступ к USB-записи, выберите Съемные диски: запретить доступ для записи.

Как заблокировать USB-устройства хранения данных в домене с помощью групповой политики

5. Проверять Включено и нажмите В ПОРЯДКЕ.

Как заблокировать usb через групповую политику в windows server 2016

6. Закрывать редактор групповой политики.
7. Начать сначала сервер и клиентские машины, или запустите gpupdate / force , чтобы применить новые параметры групповой политики (без перезапуска) как к серверу, так и к клиентам.

Часть 2. Как запретить доступ к USB-устройствам хранения для определенных пользователей домена.

Чтобы запретить доступ к запоминающим устройствам USB для определенных пользователей только с помощью групповой политики, необходимо создать группу с пользователями, которые не хотят иметь доступ к USB-устройствам хранения данных, а затем применить новую политику к этому группа. Для этого:

Шаг 1. Создайте группу с отключенными пользователями USB. *

* Примечание: Если вы уже создали группу с отключенными пользователями USB, продолжайте шаг 2.

1. Открытым Пользователи и компьютеры Active Directory.
2. Щелкните правой кнопкой мыши на "Пользователи"объект на левой панели и выберите Новый > Группа

Active Directory - создать группу

3. Введите имя новой группы (например, «Пользователи с отключенными USB-подключениями») и нажмите В ПОРЯДКЕ. *

* Примечание: Оставьте отмеченными опции «Глобальный» и «Безопасность».

изображение

4. Откройте только что созданную группу, выберите Члены вкладку и щелкните Добавлять

изображение

5. Теперь выберите, в каком домене вы хотите заблокировать USB-устройства хранения данных, и нажмите В ПОРЯДКЕ.

изображение

6. Нажмите В ПОРЯДКЕ закрыть свойства группы.

изображение

Шаг 2. Создайте новый объект групповой политики для отключения USB-накопителей.

1. Открыть Управление групповой политикой.
2. Под объектом "Домены" щелкните правой кнопкой мыши свой домен и выберите Создайте объект групповой политики в этом домене и свяжите его здесь.

изображение

3. Введите имя нового объекта групповой политики (например, «USB отключен») и щелкните В ПОРЯДКЕ.

изображение

4. Щелкните правой кнопкой мыши новый объект групповой политики и выберите Редактировать.

Отключить USB-доступ для определенных пользователей с помощью групповой политики

5. В «Редакторе управления групповой политикой» перейдите к:

  • Конфигурация пользователя> Политики> Административные шаблоны> Система> Съемный доступ к хранилищу

4. На правой панели дважды щелкните по: Съемные диски: запретить доступ для чтения. *

* Примечание:
1. Многие руководства на этом этапе предлагают Давать возможность 'Все классы съемных носителей: запретить любой доступ ' политики, но в ходе наших тестов мы обнаружили, что эта политика не применяется (работает) для смартфонов или планшетов.
2. Если вы хотите заблокировать доступ к USB-записи, выберите Съемные диски: запретить доступ для записи.

Блокировать доступ к USB-накопителю для определенных пользователей

5. Проверять Включено и нажмите В ПОРЯДКЕ.

Съемные диски - запретить доступ

6. Закрывать в Редактор управления групповой политикой окно.

7. Вернитесь в «Управление групповой политикой», выберите объект групповой политики «USB отключен» и на вкладке «Область» нажмите кнопку Добавлять кнопку (в настройках «Фильтрация безопасности»).

Блокировать USB для определенных пользователей в AD Server 2016

8. Введите название группы «Пользователи с отключенным USB-подключением» (например, «Пользователи с отключенным USB-подключением» в этом сообщении) и нажмите В ПОРЯДКЕ.

изображение

9. Когда закончите, выберите Делегация таб.

изображение

10. На вкладке "Делегирование" Выбрать в Прошедшие проверку пользователи и нажмите Передовой.

изображение

11. В разделе "Параметры безопасности" Выбрать в Прошедшие проверку пользователи и снимите отметку в Применить групповую политику флажок. Когда закончите, нажмите В ПОРЯДКЕ.

изображение

6. Закрывать редактор групповой политики.
7. Начать сначала сервер и клиентские машины, или запустите "gpupdate / force"(от имени администратора), чтобы применить новые параметры групповой политики (без перезапуска) как к серверу, так и к клиентам.

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.