Den här guiden innehåller steg-för-steg-instruktioner om hur du blockerar USB-lagringsenheter på hela domänen eller på specifika domänanvändare genom att använda gruppolicy i en AD-domän 2016 eller 2012. Närmare bestämt, efter att ha läst instruktionerna i den här guiden kommer du att lära dig hur du förhindrar åtkomst till någon USB-lagringsenhet (flash-enheter, externa enheter hårddiskar, smartphones, surfplattor, etc.), som kan ansluta till vilken dator som helst på domänen, eller neka USB-lagringsåtkomst endast för specifika domänanvändare.
Idag använder många av oss en USB-lagringsenhet för att överföra data. Men för en organisation kan dess anställdas förmåga att använda externa lagringsenheter innehålla säkerhetsrisker, såsom spridning av skadlig programvara eller avlyssning av känslig data. För att undvika dessa risker kan du läsa följande instruktioner för att blockera åtkomst till USB-lagringsenheter för alla användare och datorer på din domän eller endast för vissa domänanvändare, genom att använda gruppolicy. *
* Anmärkningar:
1.I det här inlägget, för att blockera USB-enheter genom grupppolicy, vi använde en Active Directory 2016-domänkontrollant för att skapa den nya grupppolicyn och Windows 10 Pro och Windows 7 Pro-arbetsstationer för att tillämpa den.
2. Policyn "Blockera USB-åtkomst" kommer inte att påverka domänadministratörerna eller någon annan ansluten USB-enhet, såsom USB-tangentbord, mus, skrivare, etc.
3.Efter att ha tillämpat grupprincipen kommer användarna inte att ha tillgång till någon typ av USB-lagringsenhet, och kommer att få ett av följande felmeddelanden när de försöker komma åt en USB-lagringsenhet på deras PC.
Hur man använder grupprincip för att förhindra åtkomst till USB-lagringsenheter (Server 2012/2012R2/2016)
- Del 1. Blockera USB-läs-/skrivåtkomst för alla domänanvändare.
- Del 2. Blockera USB-läs-/skrivåtkomst för vissa domänanvändare.
Del 1. Hur man blockerar åtkomst till USB-lagringsenheter på hela domänen 2016.
Så här inaktiverar du åtkomsten till en ansluten USB-lagringsenhet till valfri dator (användare) på domänen:
1. I Server 2016 AD Domain Controller, öppna Serverhanterare och sedan från Verktyg menyn, öppna Grupppolicyhantering. *
* Dessutom, navigera till Kontrollpanel -> Administrationsverktyg -> Grupppolicyhantering.
2. Under Domäner, välj din domän och sedan Högerklicka på Standarddomänpolicy och välj Redigera.
3. I "Group Policy Management Editor" navigerar du till:
- Användarkonfiguration > Policyer > Administrativa mallar > System > Löstagbar lagringsåtkomst
4. I den högra rutan dubbelklickar du på: Flyttbara diskar: Neka läsåtkomst. *
* Anmärkningar:
1. Många tutorials vid denna tidpunkt föreslår Gör det möjligt den 'Alla flyttbara lagringsklasser: Neka all åtkomst' policy, men under våra tester upptäckte vi att denna policy inte gäller (arbete) för smartphones eller surfplattor.
2. Om du vill blockera USB-skrivåtkomst, välj Flyttbara diskar: Neka skrivåtkomst.
5. Kolla upp Aktiverad och klicka OK.
6. Stänga gruppolicyredigeraren.
7. Omstart servern och klientdatorerna, eller kör gpupdate /force kommandot för att tillämpa de nya grupppolicyinställningarna (utan omstart) på både server och klienter.
Del 2. Hur man förhindrar åtkomst till USB-lagringsenheter på specifika domänanvändare.
För att inaktivera åtkomst till USB-lagringsenheter för specifika användare endast genom att använda en grupppolicy måste du skapa en grupp med användare som inte vill komma åt USB-lagringsenheter och sedan tillämpa den nya policyn på detta grupp. Att göra det:
Steg 1. Skapa en grupp med funktionshindrade USB-användare. *
* Notera: Om du redan har skapat en grupp med funktionshindrade USB-användare, fortsätt till steg 2.
1. Öppen Active Directory-användare och datorer.
2. Högerklicka på "Användare" objekt i den vänstra rutan och välj Ny > Grupp
3. Skriv ett namn för den nya gruppen (t.ex. "USB-inaktiverade användare") och klicka OK. *
* Notera: Lämna alternativen "Global" och "Security" markerade.
4. Öppna den nyskapade gruppen, välj Medlemmar fliken och klicka Lägg till
5. Välj nu i vilken domänanvändare du vill blockera USB-lagringsenheterna och klicka sedan OK.
6. Klick OK att stänga koncernfastigheter.
Steg 2. Skapa ett nytt grupprincipobjekt för att inaktivera USB-lagringsenheter.
1. Öppna Grupppolicyhantering.
2. Under objektet 'Domäner' högerklickar du på din domän och väljer Skapa en GPO i den här domänen och länka den här.
3. Skriv ett namn för det nya GPO (t.ex. "USB Disabled") och klicka OK.
4. Högerklicka på nytt GPO och klicka Redigera.
5. I "Group Policy Management Editor" navigerar du till:
- Användarkonfiguration > Policyer > Administrativa mallar > System > Löstagbar lagringsåtkomst
4. I den högra rutan dubbelklickar du på: Flyttbara diskar: Neka läsåtkomst. *
* Notera:
1. Många tutorials vid denna tidpunkt föreslår Gör det möjligt den 'Alla flyttbara lagringsklasser: Neka all åtkomst' policy, men under våra tester upptäckte vi att denna policy inte gäller (arbete) för smartphones eller surfplattor.
2. Om du vill blockera USB-skrivåtkomst, välj Flyttbara diskar: Neka skrivåtkomst.
5. Kolla upp Aktiverad och klicka OK.
6. Stänga de Redaktör för grupppolicyhantering fönster.
7. Tillbaka till "Group Policy Management", välj "USB Disabled" GPO och på fliken "Scope" klicka på Lägg till knappen (under inställningarna för "Säkerhetsfiltrering").
8. Skriv namnet på gruppen "USB disabled users" (t.ex. "USB Disabled Users" i det här inlägget) och klicka på OK.
9. När du är klar väljer du Delegation flik.
10. På fliken "Delegering", Välj de Autentiserade användare och klicka Avancerad.
11. Vid Säkerhetsalternativ, Välj de Autentiserade användare och avmarkera de Tillämpa grupppolicy kryssruta. När du är klar klickar du OK.
6. Stänga gruppolicyredigeraren.
7. Omstart servern och klientdatorerna, eller kör "gpupdate /force" kommando (som administratör), för att tillämpa de nya grupppolicyinställningarna (utan omstart) på både server och klienter.
Det är allt! Låt mig veta om den här guiden har hjälpt dig genom att lämna din kommentar om din upplevelse. Gilla och dela den här guiden för att hjälpa andra.