วิธีบล็อกอุปกรณ์เก็บข้อมูล USB บนโดเมน 2016/2012 ด้วยนโยบายกลุ่ม

เบ็ดเตล็ดDec 19, 2021

คู่มือนี้มีคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการบล็อกอุปกรณ์เก็บข้อมูล USB บนโดเมนทั้งหมดหรือผู้ใช้โดเมนเฉพาะโดยใช้นโยบายกลุ่มในโดเมน AD 2016 หรือ 2012 โดยเฉพาะอย่างยิ่ง หลังจากอ่านคำแนะนำในคู่มือนี้ คุณจะได้เรียนรู้วิธีป้องกันการเข้าถึงอุปกรณ์จัดเก็บข้อมูล USB (แฟลชไดรฟ์ ภายนอก ฮาร์ดไดรฟ์ สมาร์ทโฟน แท็บเล็ต ฯลฯ) ที่สามารถเชื่อมต่อกับคอมพิวเตอร์เครื่องใดก็ได้ในโดเมน หรือปฏิเสธการเข้าถึงที่เก็บข้อมูล USB เฉพาะผู้ใช้โดเมนที่ระบุเท่านั้น

ทุกวันนี้ พวกเราหลายคนใช้อุปกรณ์เก็บข้อมูล USB เพื่อถ่ายโอนข้อมูล อย่างไรก็ตาม สำหรับองค์กร ความสามารถของพนักงานในการใช้อุปกรณ์จัดเก็บข้อมูลภายนอกอาจมีความเสี่ยงด้านความปลอดภัย เช่น การแพร่กระจายมัลแวร์หรือการสกัดกั้นข้อมูลที่ละเอียดอ่อน เพื่อหลีกเลี่ยงความเสี่ยงเหล่านี้ คุณสามารถอ่านคำแนะนำต่อไปนี้เพื่อบล็อกการเข้าถึงอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้และคอมพิวเตอร์ทุกเครื่องในโดเมนของคุณ หรือผู้ใช้โดเมนบางรายเท่านั้น โดยใช้นโยบายกลุ่ม. *

* หมายเหตุ:
1.ในโพสต์นี้ เพื่อบล็อกไดรฟ์ USB ผ่านนโยบายกลุ่ม เราใช้ตัวควบคุมโดเมน Active Directory 2016 เพื่อสร้างนโยบายกลุ่มใหม่และเวิร์กสเตชัน Windows 10 Pro และ Windows 7 Pro เพื่อนำไปใช้


2. นโยบาย "บล็อกการเข้าถึง USB" จะไม่ส่งผลต่อผู้ดูแลระบบโดเมนหรืออุปกรณ์ USB ที่เชื่อมต่ออื่นๆ เช่น แป้นพิมพ์ USB เมาส์ เครื่องพิมพ์ ฯลฯ
3.หลังจากใช้นโยบายกลุ่มแล้ว ผู้ใช้จะไม่สามารถเข้าถึงอุปกรณ์จัดเก็บข้อมูล USB ชนิดใดๆ และ จะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อพยายามเข้าถึงอุปกรณ์เก็บข้อมูล USB บน พีซี

ภาพภาพ

วิธีใช้นโยบายกลุ่มเพื่อป้องกันการเข้าถึงอุปกรณ์เก็บข้อมูล USB (เซิร์ฟเวอร์ 2012/2012R2/2016)

  • ส่วนที่ 1. บล็อกการเข้าถึงการอ่าน/เขียน USB สำหรับผู้ใช้โดเมนทั้งหมด
  • ตอนที่ 2 บล็อกการเข้าถึงการอ่าน/เขียน USB สำหรับผู้ใช้โดเมนบางราย

ส่วนที่ 1. วิธีบล็อกการเข้าถึงอุปกรณ์เก็บข้อมูล USB บนทั้งโดเมน 2016

ในการปิดใช้งานการเข้าถึงอุปกรณ์เก็บข้อมูล USB ที่เชื่อมต่อกับคอมพิวเตอร์ (ผู้ใช้) ในโดเมน:

1. ใน Server 2016 AD Domain Controller ให้เปิด ตัวจัดการเซิร์ฟเวอร์ แล้วก็จาก เครื่องมือ เมนู เปิด การจัดการนโยบายกลุ่ม *

* นอกจากนี้ ให้ไปที่ แผงควบคุม -> เครื่องมือการดูแลระบบ -> การจัดการนโยบายกลุ่ม

การจัดการนโยบายกลุ่ม - เซิร์ฟเวอร์ 2016

2. ภายใต้ โดเมน, เลือกโดเมนของคุณแล้ว คลิกขวา ที่ นโยบายโดเมนเริ่มต้น แล้วเลือก แก้ไข.

แก้ไขนโยบายโดเมนเริ่มต้น

3. ใน 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' ไปที่:

  • การกำหนดค่าผู้ใช้ > นโยบาย > เทมเพลตการดูแลระบบ > ระบบ > การเข้าถึงที่เก็บข้อมูลแบบถอดได้

4. ที่บานหน้าต่างด้านขวา ให้ดับเบิลคลิกที่: ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงแบบอ่าน *

* หมายเหตุ:
1. บทช่วยสอนมากมาย ณ จุดนี้แนะนำให้ เปิดใช้งาน 'คลาสที่เก็บข้อมูลแบบถอดได้ทั้งหมด: ปฏิเสธการเข้าถึงทั้งหมด' นโยบาย แต่ในระหว่างการทดสอบ เราพบว่านโยบายนี้ใช้ไม่ได้ (ที่ทำงาน) สำหรับสมาร์ทโฟนหรือแท็บเล็ต
2. หากคุณต้องการบล็อกการเข้าถึงการเขียนด้วย USB ให้เลือก ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงการเขียน

วิธีบล็อกอุปกรณ์เก็บข้อมูล USB บนโดเมนด้วยนโยบายกลุ่ม

5. ตรวจสอบ เปิดใช้งาน และคลิก ตกลง.

วิธีบล็อก usb ผ่านนโยบายกลุ่มใน windows server 2016

6. ปิด ตัวแก้ไขนโยบายกลุ่ม
7. เริ่มต้นใหม่ เซิร์ฟเวอร์และเครื่องไคลเอนต์หรือเรียกใช้ gpupdate /force คำสั่งเพื่อใช้การตั้งค่านโยบายกลุ่มใหม่ (โดยไม่ต้องรีสตาร์ท) กับทั้งเซิร์ฟเวอร์และไคลเอนต์

ตอนที่ 2 วิธีป้องกันการเข้าถึงอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้โดเมนเฉพาะ

หากต้องการปิดการเข้าถึงอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้เฉพาะโดยใช้นโยบายกลุ่ม คุณต้องสร้าง กลุ่มกับผู้ใช้ที่ไม่ต้องการเข้าถึงอุปกรณ์เก็บข้อมูล USB แล้วจึงนำนโยบายใหม่ไปใช้กับสิ่งนี้ กลุ่ม. ในการทำเช่นนั้น:

ขั้นตอนที่ 1. สร้างกลุ่มที่มีผู้ใช้ USB ที่ปิดใช้งาน *

* บันทึก: หากคุณได้สร้างกลุ่มโดยผู้ใช้ USB ที่ปิดใช้งานแล้ว ให้ดำเนินการต่อที่ ขั้นตอนที่ 2.

1. เปิด ผู้ใช้ Active Directory และคอมพิวเตอร์
2. คลิกขวาที่ "ผู้ใช้" วัตถุในบานหน้าต่างด้านซ้ายและเลือก ใหม่ > กลุ่ม

Active Directory - สร้างกลุ่ม

3. พิมพ์ชื่อสำหรับกลุ่มใหม่ (เช่น "USB Disabled Users") และคลิก ตกลง. *

* บันทึก: ปล่อยให้ตัวเลือก 'สากล' และ 'ความปลอดภัย' ถูกเลือกไว้

ภาพ

4. เปิดกลุ่มที่สร้างขึ้นใหม่ เลือก สมาชิก แท็บและคลิก เพิ่ม

ภาพ

5. ตอนนี้เลือกผู้ใช้โดเมนที่คุณต้องการบล็อกอุปกรณ์เก็บข้อมูล USB จากนั้นคลิก ตกลง.

ภาพ

6. คลิก ตกลง เพื่อปิดคุณสมบัติของกลุ่ม

ภาพ

ขั้นตอนที่ 2. สร้าง Group Policy Object ใหม่เพื่อปิดการใช้งานอุปกรณ์เก็บข้อมูล USB

1. เปิด การจัดการนโยบายกลุ่ม
2. ภายใต้ออบเจ็กต์ 'Domains' ให้คลิกขวาที่โดเมนของคุณแล้วเลือก สร้าง GPO ในโดเมนนี้และเชื่อมโยงที่นี่

ภาพ

3. พิมพ์ชื่อ GPO ใหม่ (เช่น "USB Disabled") แล้วคลิก ตกลง.

ภาพ

4. คลิกขวาที่ GPO ใหม่และคลิก แก้ไข.

ปิดใช้งานการเข้าถึง USB สำหรับผู้ใช้บางรายผ่านนโยบายกลุ่ม

5. ใน 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' ไปที่:

  • การกำหนดค่าผู้ใช้ > นโยบาย > เทมเพลตการดูแลระบบ > ระบบ > การเข้าถึงที่เก็บข้อมูลแบบถอดได้

4. ที่บานหน้าต่างด้านขวา ให้ดับเบิลคลิกที่: ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงแบบอ่าน *

* บันทึก:
1. บทช่วยสอนมากมาย ณ จุดนี้แนะนำให้ เปิดใช้งาน 'คลาสที่เก็บข้อมูลแบบถอดได้ทั้งหมด: ปฏิเสธการเข้าถึงทั้งหมด' นโยบาย แต่ในระหว่างการทดสอบ เราพบว่านโยบายนี้ใช้ไม่ได้ (ที่ทำงาน) สำหรับสมาร์ทโฟนหรือแท็บเล็ต
2. หากคุณต้องการบล็อกการเข้าถึงการเขียนด้วย USB ให้เลือก ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงการเขียน

บล็อกการเข้าถึงที่เก็บข้อมูล USB สำหรับผู้ใช้บางคน

5. ตรวจสอบ เปิดใช้งาน และคลิก ตกลง.

ดิสก์ที่ถอดออกได้ - ปฏิเสธการเข้าถึง

6. ปิด ที่ ตัวแก้ไขการจัดการนโยบายกลุ่ม หน้าต่าง.

7. กลับไปที่ 'การจัดการนโยบายกลุ่ม' เลือก GPO "ปิดใช้งาน USB" และที่แท็บ 'ขอบเขต' ให้คลิก เพิ่ม ปุ่ม (ภายใต้การตั้งค่า 'การกรองความปลอดภัย')

บล็อก USB ให้กับผู้ใช้บางรายใน AD Server 2016

8. พิมพ์ชื่อกลุ่ม "ผู้ใช้ที่ปิดใช้งาน USB" (เช่น "ผู้ใช้ที่ปิดใช้งาน USB" ในโพสต์นี้) แล้วคลิก ตกลง.

ภาพ

9. เมื่อเสร็จแล้วให้เลือก คณะผู้แทน แท็บ

ภาพ

10. ที่แท็บ 'การมอบหมาย' เลือก ที่ ผู้ใช้ที่ตรวจสอบสิทธิ์ และคลิก ขั้นสูง.

ภาพ

11. ที่ตัวเลือกความปลอดภัย เลือก ที่ ผู้ใช้ที่ตรวจสอบสิทธิ์ และ ยกเลิกการเลือก ที่ ใช้นโยบายกลุ่ม ช่องทำเครื่องหมาย เสร็จแล้วคลิก ตกลง.

ภาพ

6. ปิด ตัวแก้ไขนโยบายกลุ่ม
7. เริ่มต้นใหม่ เซิร์ฟเวอร์และเครื่องไคลเอนต์หรือเรียกใช้ "gpupdate /force" คำสั่ง (ในฐานะผู้ดูแลระบบ) เพื่อใช้การตั้งค่านโยบายกลุ่มใหม่ (โดยไม่ต้องรีสตาร์ท) กับทั้งเซิร์ฟเวอร์และไคลเอ็นต์

แค่นั้นแหละ! แจ้งให้เราทราบหากคู่มือนี้ช่วยคุณโดยแสดงความคิดเห็นเกี่ยวกับประสบการณ์ของคุณ กรุณากดไลค์และแชร์คู่มือนี้เพื่อช่วยเหลือผู้อื่น