Bu kılavuz, bir AD Etki Alanı 2016 veya 2012'de Grup İlkesi kullanılarak Etki Alanının tamamında veya belirli etki alanı kullanıcılarında USB depolama aygıtlarının nasıl engelleneceğine ilişkin adım adım yönergeler içerir. Daha spesifik olarak, bu kılavuzdaki talimatları okuduktan sonra, herhangi bir USB depolama aygıtına (flash sürücüler, harici etki alanındaki herhangi bir bilgisayara bağlanabilen veya yalnızca belirli etki alanı kullanıcılarına USB depolama erişimini engelleyebilen sabit sürücüler, akıllı telefonlar, tabletler vb.
Bugün çoğumuz veri aktarmak için bir USB depolama cihazı kullanıyoruz. Bununla birlikte, bir kuruluş için, çalışanlarının harici depolama cihazlarını kullanma yeteneği, kötü amaçlı yazılım yaymak veya hassas verileri ele geçirmek gibi güvenlik riskleri içerebilir. Bu risklerden kaçınmak için, Grup İlkesi'ni kullanarak alanınızdaki tüm kullanıcılara ve bilgisayarlara veya yalnızca belirli etki alanı kullanıcılarına USB depolama aygıtlarına erişimi engellemek için aşağıdaki talimatları okuyabilirsiniz.. *
* Notlar:
1.Bu yazıda, grup ilkesi aracılığıyla USB sürücülerini engellemek için, yeni grup ilkesini oluşturmak için bir Active Directory 2016 etki alanı denetleyicisi ve bunu uygulamak için Windows 10 Pro ve Windows 7 Pro iş istasyonları kullandık.
2. "USB Erişimini Engelle" ilkesi, Etki Alanı Yöneticilerini veya USB Klavyeler, Fare, Yazıcı vb. gibi diğer bağlı USB aygıtlarını etkilemez.
3.Grup İlkesini uyguladıktan sonra, kullanıcılar herhangi bir USB Depolama cihazına erişemeyecek ve USB depolama aygıtına erişmeye çalışırken aşağıdaki hata mesajlarından birini alacak bilgisayar.
USB Depolama Aygıtlarına Erişimi Engellemek için Grup İlkesi nasıl kullanılır (Sunucu 2012/2012R2/2016)
- Bölüm 1. Tüm Etki Alanı Kullanıcılarında USB Okuma/Yazma Erişimini Engelleyin.
- Bölüm 2. Belirli Etki Alanı Kullanıcıları için USB Okuma/Yazma Erişimini Engelleyin.
Bölüm 1. Tüm Etki Alanında 2016 USB Depolama Aygıtlarına Erişim Nasıl Engellenir.
Etki alanındaki herhangi bir bilgisayara (kullanıcıya) bağlı herhangi bir USB depolama aygıtına erişimi devre dışı bırakmak için:
1. Server 2016 AD Etki Alanı Denetleyicisi'nde, Sunucu Yöneticisi ve sonra Araçlar menüsünü açın, Grup İlkesi Yönetimi. *
* Ek olarak, şuraya gidin: Kontrol Paneli -> Yönetim araçları -> Grup İlkesi Yönetimi.
2. Altında Etki Alanları, etki alanınızı seçin ve ardından sağ tık de Varsayılan Etki Alanı Politikası ve Seç Düzenlemek.
3. 'Grup İlkesi Yönetimi Düzenleyicisi'nde şuraya gidin:
- Kullanıcı Yapılandırması > İlkeler > Yönetim Şablonları > Sistem > Çıkarılabilir Depolama Erişimi
4. Sağ bölmede, şuraya çift tıklayın: Çıkarılabilir Diskler: Okuma erişimini reddet. *
* Notlar:
1. Bu noktada birçok öğretici şunları önermektedir: Olanak vermek 'Tüm Çıkarılabilir Depolama sınıfları: Tüm erişimi reddet' politika, ancak testlerimiz sırasında bu politikanın akıllı telefonlar veya tabletler için geçerli (iş) olmadığını keşfettik.
2. USB Yazma erişimini engellemek istiyorsanız, Çıkarılabilir Diskler: Yazma erişimini reddet.
5. Kontrol Etkinleştirilmiş ve tıklayın TAMAM.
6. Kapat Grup İlkesi Düzenleyicisi.
7. Tekrar başlat sunucu ve istemci makineler veya gpudate /kuvvet yeni grup ilkesi ayarlarını (yeniden başlatma olmadan) hem sunucuya hem de istemcilere uygulama komutu.
Bölüm 2. Belirli Etki Alanı Kullanıcılarında USB Depolama Aygıtlarına Erişim Nasıl Engellenir.
Yalnızca belirli kullanıcıların USB depolama aygıtlarına erişimini bir grup ilkesi kullanarak devre dışı bırakmak için bir USB depolama cihazlarına erişmek istemeyen kullanıcılarla grup oluşturun ve ardından yeni politikayı buna uygulayın grup. Bunu yapmak için:
Aşama 1. Engelli USB Kullanıcıları ile bir Grup Oluşturun. *
* Not: Devre dışı bırakılmış USB kullanıcıları ile zaten bir grup oluşturduysanız, devam edin. Adım 2.
1. Açık Aktif Dizin kulanıcıları ve bilgisayarları.
2. Sağ tıklayın "Kullanıcılar" sol bölmedeki nesneyi seçin ve Yeni > Grup
3. Yeni grup için bir ad yazın (ör. "USB Devre Dışı Bırakılan Kullanıcılar") ve tamam. *
* Not: 'Global' ve 'Güvenlik' seçeneklerini işaretli bırakın.
4. Yeni oluşturulan grubu açın, Üyeler sekmesini ve tıklayın Eklemek
5. Şimdi, USB Depolama aygıtlarını engellemek istediğiniz etki alanı kullanıcısını/kullanıcılarını seçin ve ardından TAMAM.
6. Tıklamak tamam grup özelliklerini kapatmak için
Adım 2. USB Depolama aygıtlarını Devre Dışı Bırakmak için Yeni Bir Grup İlkesi Nesnesi Oluşturun.
1. Aç Grup İlkesi Yönetimi.
2. 'Etki Alanları' nesnesinin altında, alan adınıza sağ tıklayın ve Bu etki alanında bir GPO oluşturun ve buraya bağlayın.
3. Yeni GPO için bir ad yazın (ör. "USB Devre Dışı") ve TAMAM.
4. Yeni GPO'ya sağ tıklayın ve Düzenlemek.
5. 'Grup İlkesi Yönetimi Düzenleyicisi'nde şuraya gidin:
- Kullanıcı Yapılandırması > İlkeler > Yönetim Şablonları > Sistem > Çıkarılabilir Depolama Erişimi
4. Sağ bölmede, şuraya çift tıklayın: Çıkarılabilir Diskler: Okuma erişimini reddet. *
* Not:
1. Bu noktada birçok öğretici şunları önermektedir: Olanak vermek 'Tüm Çıkarılabilir Depolama sınıfları: Tüm erişimi reddet' politika, ancak testlerimiz sırasında bu politikanın akıllı telefonlar veya tabletler için geçerli (iş) olmadığını keşfettik.
2. USB Yazma erişimini engellemek istiyorsanız, Çıkarılabilir Diskler: Yazma erişimini reddet.
5. Kontrol Etkinleştirilmiş ve tıklayın TAMAM.
6. Kapat en Grup İlkesi Yönetimi Düzenleyicisi pencere.
7. 'Grup İlkesi Yönetimi'ne geri dönün, "USB Devre Dışı Bırakıldı" GPO'yu seçin ve 'Kapsam' sekmesinde Eklemek düğmesine basın ('Güvenlik filtreleme' ayarları altında).
8. "USB devre dışı bırakılmış kullanıcılar" grubunun adını yazın (örneğin, bu gönderide "USB Devre Dışı Bırakılan Kullanıcılar") ve tıklayın. tamam.
9. Bittiğinde, seçin heyet sekme.
10. 'Delegasyon' sekmesinde, Seçme en Kimliği Doğrulanmış Kullanıcılar ve tıklayın İleri.
11. Güvenlik seçeneklerinde, Seçme en Kimliği Doğrulanmış Kullanıcılar ve işaretini kaldır en Grup ilkesini uygula onay kutusu. Bittiğinde, tıklayın TAMAM.
6. Kapat Grup İlkesi Düzenleyicisi.
7. Tekrar başlat sunucu ve istemci makineler veya "gpudate /kuvvet" komutu (yönetici olarak), yeni grup ilkesi ayarlarını (yeniden başlatma olmadan) hem sunucuya hem de istemcilere uygulamak için.
Bu kadar! Deneyiminizle ilgili yorumunuzu bırakarak bu kılavuzun size yardımcı olup olmadığını bana bildirin. Lütfen başkalarına yardımcı olmak için bu kılavuzu beğenin ve paylaşın.