Táto príručka obsahuje podrobné pokyny, ako zablokovať úložné zariadenia USB v celej doméne alebo na konkrétnych používateľoch domény pomocou skupinovej politiky v doméne AD 2016 alebo 2012. Presnejšie povedané, po prečítaní pokynov v tejto príručke sa naučíte, ako zabrániť prístupu k akémukoľvek úložnému zariadeniu USB (flash disky, externé pevné disky, smartfóny, tablety atď.), ktoré sa môžu pripojiť k akémukoľvek počítaču v doméne alebo zakázať prístup k úložisku USB iba konkrétnym používateľom domény.
V súčasnosti mnohí z nás používajú na prenos dát pamäťové zariadenie USB. Pre organizáciu však môže schopnosť jej zamestnancov používať externé úložné zariadenia obsahovať bezpečnostné riziká, ako napríklad šírenie malvéru alebo zachytávanie citlivých údajov. Aby ste sa vyhli týmto rizikám, môžete si prečítať nasledujúce pokyny na zablokovanie prístupu k úložným zariadeniam USB všetkým používateľom a počítačom vo vašej doméne alebo iba používateľom určitých domén pomocou zásad skupiny. *
* Poznámky:
1.Ak chcete v tomto príspevku zablokovať jednotky USB prostredníctvom zásad skupiny, na vytvorenie novej skupinovej politiky sme použili radič domény Active Directory 2016 a na jej uplatnenie sme použili pracovné stanice Windows 10 Pro a Windows 7 Pro.
2. Zásada „Blokovať USB prístup“ neovplyvní správcov domény ani žiadne iné pripojené USB zariadenie, ako sú USB klávesnice, myš, tlačiareň atď.
3.Po použití skupinovej politiky nebudú mať používatelia prístup k žiadnemu typu úložného zariadenia USB a pri pokuse o prístup k úložnému zariadeniu USB na svojom zariadení sa zobrazí jedno z nasledujúcich chybových hlásení PC.
Ako používať skupinovú politiku na zabránenie prístupu k úložným zariadeniam USB (Server 2012/2012R2/2016)
- Časť 1. Blokovať prístup na čítanie/zápis cez USB všetkým používateľom domény.
- Časť 2. Blokovať prístup na čítanie/zápis cez USB pre niektorých používateľov domény.
Časť 1. Ako zablokovať prístup k úložným zariadeniam USB v celej doméne 2016.
Ak chcete zakázať prístup k akémukoľvek pripojenému úložnému zariadeniu USB k akémukoľvek počítaču (používateľovi) v doméne:
1. V Serveri 2016 AD Domain Controller otvorte súbor Správca servera a potom od Nástroje otvorte menu Správa zásad skupiny. *
* Okrem toho prejdite na Ovládací panel -> Administratívne nástroje -> Správa zásad skupiny.
2. Pod domény, vyberte svoju doménu a potom kliknite pravým tlačidlom myši pri Predvolená politika domény a vyberte si Upraviť.
3. V 'Editor správy zásad skupiny' prejdite na:
- Konfigurácia používateľa > Politiky > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku
4. Na pravej table dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *
* Poznámky:
1. Mnohé návody v tomto bode naznačujú Povoliť 'Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup“ pravidlá, ale počas našich testov sme zistili, že táto politika neplatí (nefunguje) pre smartfóny alebo tablety.
2. Ak chcete zablokovať prístup USB Write, vyberte Vymeniteľné disky: Zakázať prístup na zápis.
5. Skontrolujte Povolené a kliknite OK
6. Zavrieť editor zásad skupiny.
7. Reštart server a klientske počítače alebo spustite gpupdate /force na použitie nových nastavení skupinovej politiky (bez reštartu) na server aj klientov.
Časť 2. Ako zabrániť prístupu k úložným zariadeniam USB u konkrétnych používateľov domény.
Ak chcete zakázať prístup k úložným zariadeniam USB iba konkrétnym používateľom pomocou skupinovej politiky, musíte vytvoriť a skupinu s používateľmi, ktorí nechcú pristupovať k úložným zariadeniam USB, a potom na to použiť novú politiku skupina. Urobiť to:
Krok 1. Vytvorte skupinu s zakázanými používateľmi USB. *
* Poznámka: Ak ste už vytvorili skupinu so zakázanými používateľmi USB, pokračujte ďalej Krok 2.
1. Otvorené Používatelia a počítače služby Active Directory.
2. Kliknite pravým tlačidlom myši na "Používatelia" objekt na ľavej table a vyberte si Nový > Skupina
3. Zadajte názov novej skupiny (napr. „Používatelia so zakázaným rozhraním USB“) a kliknite OK. *
* Poznámka: Ponechajte začiarknuté možnosti „Globálne“ a „Zabezpečenie“.
4. Otvorte novovytvorenú skupinu, vyberte členov tab a kliknite Pridať
5. Teraz vyberte, v ktorej doméne chcete zablokovať úložné zariadenia USB a potom kliknite OK
6. Kliknite OK zatvorte vlastnosti skupiny.
Krok 2. Vytvorte nový objekt skupinovej politiky na deaktiváciu úložných zariadení USB.
1. Otvor Správa zásad skupiny.
2. Pod objektom 'Domains' kliknite pravým tlačidlom myši na svoju doménu a vyberte Vytvorte GPO v tejto doméne a prepojte ho tu.
3. Zadajte názov nového objektu GPO (napr. „USB Disabled“) a kliknite OK
4. Kliknite pravým tlačidlom myši na nový objekt GPO a kliknite Upraviť.
5. V 'Editor správy zásad skupiny' prejdite na:
- Konfigurácia používateľa > Politiky > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku
4. Na pravej table dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *
* Poznámka:
1. Mnohé návody v tomto bode naznačujú Povoliť 'Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup“ pravidlá, ale počas našich testov sme zistili, že táto politika neplatí (nefunguje) pre smartfóny alebo tablety.
2. Ak chcete zablokovať prístup USB Write, vyberte Vymeniteľné disky: Zakázať prístup na zápis.
5. Skontrolujte Povolené a kliknite OK
6. Zavrieť a Editor správy zásad skupiny okno.
7. Späť na „Správa zásad skupiny“ vyberte GPO „USB vypnuté“ a na karte „Rozsah“ kliknite na Pridať (v nastaveniach „Filtrovanie zabezpečenia“).
8. Zadajte názov skupiny „Používatelia so zakázaným rozhraním USB“ (napr. „Používatelia so zakázaným rozhraním USB“ v tomto príspevku) a kliknite na OK.
9. Po dokončení vyberte Delegovanie tab.
10. Na karte Delegovanie vybrať a Overení používatelia a kliknite Pokročilé.
11. V možnostiach zabezpečenia, vybrať a Overení používatelia a zrušiť začiarknutie a Použiť skupinovú politiku začiarkavacie políčko. Po dokončení kliknite OK
6. Zavrieť editor zásad skupiny.
7. Reštart server a klientske počítače alebo spustite "gpupdate /force" (ako správca), aby ste použili nové nastavenia skupinovej politiky (bez reštartu) na server aj klientov.
To je všetko! Dajte mi vedieť, či vám táto príručka pomohla, a zanechajte komentár o svojej skúsenosti. Prosím, lajkujte a zdieľajte tento návod, aby ste pomohli ostatným.