Ako blokovať úložné zariadenia USB v doméne 2016/2012 pomocou skupinovej politiky.

RôzneDec 19, 2021

Táto príručka obsahuje podrobné pokyny, ako zablokovať úložné zariadenia USB v celej doméne alebo na konkrétnych používateľoch domény pomocou skupinovej politiky v doméne AD 2016 alebo 2012. Presnejšie povedané, po prečítaní pokynov v tejto príručke sa naučíte, ako zabrániť prístupu k akémukoľvek úložnému zariadeniu USB (flash disky, externé pevné disky, smartfóny, tablety atď.), ktoré sa môžu pripojiť k akémukoľvek počítaču v doméne alebo zakázať prístup k úložisku USB iba konkrétnym používateľom domény.

V súčasnosti mnohí z nás používajú na prenos dát pamäťové zariadenie USB. Pre organizáciu však môže schopnosť jej zamestnancov používať externé úložné zariadenia obsahovať bezpečnostné riziká, ako napríklad šírenie malvéru alebo zachytávanie citlivých údajov. Aby ste sa vyhli týmto rizikám, môžete si prečítať nasledujúce pokyny na zablokovanie prístupu k úložným zariadeniam USB všetkým používateľom a počítačom vo vašej doméne alebo iba používateľom určitých domén pomocou zásad skupiny. *

* Poznámky:
1.Ak chcete v tomto príspevku zablokovať jednotky USB prostredníctvom zásad skupiny, na vytvorenie novej skupinovej politiky sme použili radič domény Active Directory 2016 a na jej uplatnenie sme použili pracovné stanice Windows 10 Pro a Windows 7 Pro.
2. Zásada „Blokovať USB prístup“ neovplyvní správcov domény ani žiadne iné pripojené USB zariadenie, ako sú USB klávesnice, myš, tlačiareň atď.
3.Po použití skupinovej politiky nebudú mať používatelia prístup k žiadnemu typu úložného zariadenia USB a pri pokuse o prístup k úložnému zariadeniu USB na svojom zariadení sa zobrazí jedno z nasledujúcich chybových hlásení PC.

obrázokobrázok

Ako používať skupinovú politiku na zabránenie prístupu k úložným zariadeniam USB (Server 2012/2012R2/2016)

  • Časť 1. Blokovať prístup na čítanie/zápis cez USB všetkým používateľom domény.
  • Časť 2. Blokovať prístup na čítanie/zápis cez USB pre niektorých používateľov domény.

Časť 1. Ako zablokovať prístup k úložným zariadeniam USB v celej doméne 2016.

Ak chcete zakázať prístup k akémukoľvek pripojenému úložnému zariadeniu USB k akémukoľvek počítaču (používateľovi) v doméne:

1. V Serveri 2016 AD Domain Controller otvorte súbor Správca servera a potom od Nástroje otvorte menu Správa zásad skupiny. *

* Okrem toho prejdite na Ovládací panel -> Administratívne nástroje -> Správa zásad skupiny.

Správa zásad skupiny – Server 2016

2. Pod domény, vyberte svoju doménu a potom kliknite pravým tlačidlom myši pri Predvolená politika domény a vyberte si Upraviť.

Upraviť predvolenú politiku domény

3. V 'Editor správy zásad skupiny' prejdite na:

  • Konfigurácia používateľa > Politiky > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku

4. Na pravej table dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *

* Poznámky:
1. Mnohé návody v tomto bode naznačujú Povoliť 'Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup“ pravidlá, ale počas našich testov sme zistili, že táto politika neplatí (nefunguje) pre smartfóny alebo tablety.
2. Ak chcete zablokovať prístup USB Write, vyberte Vymeniteľné disky: Zakázať prístup na zápis.

Ako blokovať úložné zariadenia USB v doméne pomocou skupinovej politiky

5. Skontrolujte Povolené a kliknite OK

Ako zablokovať usb prostredníctvom skupinovej politiky v systéme Windows Server 2016

6. Zavrieť editor zásad skupiny.
7. Reštart server a klientske počítače alebo spustite gpupdate /force na použitie nových nastavení skupinovej politiky (bez reštartu) na server aj klientov.

Časť 2. Ako zabrániť prístupu k úložným zariadeniam USB u konkrétnych používateľov domény.

Ak chcete zakázať prístup k úložným zariadeniam USB iba konkrétnym používateľom pomocou skupinovej politiky, musíte vytvoriť a skupinu s používateľmi, ktorí nechcú pristupovať k úložným zariadeniam USB, a potom na to použiť novú politiku skupina. Urobiť to:

Krok 1. Vytvorte skupinu s zakázanými používateľmi USB. *

* Poznámka: Ak ste už vytvorili skupinu so zakázanými používateľmi USB, pokračujte ďalej Krok 2.

1. Otvorené Používatelia a počítače služby Active Directory.
2. Kliknite pravým tlačidlom myši na "Používatelia" objekt na ľavej table a vyberte si Nový > Skupina

Active Directory - Vytvoriť skupinu

3. Zadajte názov novej skupiny (napr. „Používatelia so zakázaným rozhraním USB“) a kliknite OK. *

* Poznámka: Ponechajte začiarknuté možnosti „Globálne“ a „Zabezpečenie“.

obrázok

4. Otvorte novovytvorenú skupinu, vyberte členov tab a kliknite Pridať

obrázok

5. Teraz vyberte, v ktorej doméne chcete zablokovať úložné zariadenia USB a potom kliknite OK

obrázok

6. Kliknite OK zatvorte vlastnosti skupiny.

obrázok

Krok 2. Vytvorte nový objekt skupinovej politiky na deaktiváciu úložných zariadení USB.

1. Otvor Správa zásad skupiny.
2. Pod objektom 'Domains' kliknite pravým tlačidlom myši na svoju doménu a vyberte Vytvorte GPO v tejto doméne a prepojte ho tu.

obrázok

3. Zadajte názov nového objektu GPO (napr. „USB Disabled“) a kliknite OK

obrázok

4. Kliknite pravým tlačidlom myši na nový objekt GPO a kliknite Upraviť.

Zakázať prístup cez USB pre určitých používateľov prostredníctvom skupinovej politiky

5. V 'Editor správy zásad skupiny' prejdite na:

  • Konfigurácia používateľa > Politiky > Šablóny pre správu > Systém > Prístup k vymeniteľnému úložisku

4. Na pravej table dvakrát kliknite na: Vymeniteľné disky: Zakázať prístup na čítanie. *

* Poznámka:
1. Mnohé návody v tomto bode naznačujú Povoliť 'Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup“ pravidlá, ale počas našich testov sme zistili, že táto politika neplatí (nefunguje) pre smartfóny alebo tablety.
2. Ak chcete zablokovať prístup USB Write, vyberte Vymeniteľné disky: Zakázať prístup na zápis.

Blokovať prístup k úložisku USB pre určitých používateľov

5. Skontrolujte Povolené a kliknite OK

Vymeniteľné disky - Zakázať prístup

6. Zavrieť a Editor správy zásad skupiny okno.

7. Späť na „Správa zásad skupiny“ vyberte GPO „USB vypnuté“ a na karte „Rozsah“ kliknite na Pridať (v nastaveniach „Filtrovanie zabezpečenia“).

Blokujte USB pre určitých používateľov v AD Server 2016

8. Zadajte názov skupiny „Používatelia so zakázaným rozhraním USB“ (napr. „Používatelia so zakázaným rozhraním USB“ v tomto príspevku) a kliknite na OK.

obrázok

9. Po dokončení vyberte Delegovanie tab.

obrázok

10. Na karte Delegovanie vybrať a Overení používatelia a kliknite Pokročilé.

obrázok

11. V možnostiach zabezpečenia, vybrať a Overení používatelia a zrušiť začiarknutie a Použiť skupinovú politiku začiarkavacie políčko. Po dokončení kliknite OK

obrázok

6. Zavrieť editor zásad skupiny.
7. Reštart server a klientske počítače alebo spustite "gpupdate /force" (ako správca), aby ste použili nové nastavenia skupinovej politiky (bez reštartu) na server aj klientov.

To je všetko! Dajte mi vedieť, či vám táto príručka pomohla, a zanechajte komentár o svojej skúsenosti. Prosím, lajkujte a zdieľajte tento návod, aby ste pomohli ostatným.