Як заблокувати USB-накопичувачі в домені 2016/2012 за допомогою групової політики.

РізнеDec 19, 2021

Цей посібник містить покрокові інструкції щодо блокування пристроїв зберігання даних USB на всьому домені або на окремих користувачів домену за допомогою групової політики в домені AD 2016 або 2012 року. Точніше, прочитавши інструкції в цьому посібнику, ви дізнаєтеся, як запобігти доступу до будь-якого USB-накопичувача (флеш-накопичувачі, зовнішні жорсткі диски, смартфони, планшети тощо), які можуть підключатися до будь-якого комп’ютера в домені або забороняти доступ до USB-накопичувача лише певним користувачам домену.

Сьогодні багато з нас використовують USB-накопичувач для передачі даних. Однак для організації здатність її співробітників використовувати зовнішні пристрої зберігання даних може містити ризики для безпеки, такі як поширення зловмисного програмного забезпечення або перехоплення конфіденційних даних. Щоб уникнути цих ризиків, ви можете прочитати наведені нижче інструкції, щоб заблокувати доступ до USB-накопичувачів для всіх користувачів і комп’ютерів у вашому домені або лише для певних користувачів домену за допомогою групової політики. *

* Примітки:
1.У цій публікації, щоб заблокувати USB-накопичувачі за допомогою групової політики, ми використали контролер домену Active Directory 2016 для створення нової групової політики та робочі станції Windows 10 Pro та Windows 7 Pro для її застосування.
2. Політика «Блокувати доступ до USB» не вплине на адміністраторів домену чи будь-який інший підключений USB-пристрій, наприклад USB-клавіатуру, мишу, принтер тощо.
3.Після застосування групової політики користувачі не матимуть доступу до будь-якого типу USB-накопичувачів отримає одне з наведених нижче повідомлень про помилку під час спроби отримати доступ до USB-накопичувача на своєму пристрої ПК.

зображеннязображення

Як використовувати групову політику для запобігання доступу до USB-накопичувача (сервер 2012/2012R2/2016)

  • Частина 1. Блокувати доступ для читання/запису через USB для всіх користувачів домену.
  • Частина 2. Блокувати доступ для читання/запису через USB для певних користувачів домену.

Частина 1. Як заблокувати доступ до USB-накопичувачів на всьому домені 2016.

Щоб вимкнути доступ до будь-якого підключеного USB-накопичувача до будь-якого комп’ютера (користувача) у домені:

1. У контролері домену AD Server 2016 відкрийте файл Менеджер сервера а потім від Інструменти меню, відкрийте Управління груповою політикою. *

* Крім того, перейдіть до Панель управління -> Адміністративні інструменти -> Управління груповою політикою.

Управління груповою політикою - Server 2016

2. Під Домени, виберіть свій домен, а потім клацніть правою кнопкою миші на Політика домену за замовчуванням і вибрати Редагувати.

Редагувати політику домену за замовчуванням

3. У «Редакторі керування груповою політикою» перейдіть до:

  • Конфігурація користувача > Політики > Адміністративні шаблони > Система > Доступ до знімного сховища

4. На правій панелі двічі клацніть на: Знімні диски: заборонити доступ для читання. *

* Примітки:
1. Багато підручників на цьому етапі пропонують до Увімкнути 'Усі класи знімних накопичувачів: заборонити будь-який доступ» політики, але під час наших тестів ми виявили, що ця політика не застосовується (працює) для смартфонів або планшетів.
2. Якщо ви хочете заблокувати доступ до USB-запису, виберіть Знімні диски: заборонити доступ на запис.

Як заблокувати USB-накопичувачі в домені за допомогою групової політики

5. Перевірте Увімкнено і натисніть ДОБРЕ.

Як заблокувати USB через групову політику в Windows Server 2016

6. Закрити редактор групової політики.
7. Перезапустіть сервер і клієнтські машини, або запустіть файл gpupdate /force команду, щоб застосувати нові параметри групової політики (без перезапуску) як до сервера, так і до клієнтів.

Частина 2. Як запобігти доступу до USB-накопичувача для певних користувачів домену.

Щоб вимкнути доступ до USB-накопичувачів лише для певних користувачів за допомогою групової політики, необхідно створити файл a групу з користувачами, які не хочуть отримати доступ до USB-накопичувачів, а потім застосувати до цього нову політику група. Щоб зробити це:

Крок 1. Створіть групу з відключеними користувачами USB. *

* Примітка: Якщо ви вже створили групу з відключеними користувачами USB, продовжуйте крок-2.

1. відчинено Користувачі та комп’ютери Active Directory.
2. Клацніть правою кнопкою миші на «Користувачі" на лівій панелі та виберіть Новий > Група

Active Directory - Створити групу

3. Введіть назву для нової групи (наприклад, «Користувачі з відключенням USB») і натисніть добре. *

* Примітка: Залиште прапорцями параметри «Глобальна» та «Безпека».

зображення

4. Відкрийте новостворену групу, виберіть Члени вкладку та клацніть Додати

зображення

5. Тепер виберіть користувача(-ів) домену, у якому ви хочете заблокувати USB-накопичувачі, а потім клацніть ДОБРЕ.

зображення

6. Натисніть добре щоб закрити властивості групи.

зображення

Крок 2. Створіть новий об’єкт групової політики, щоб вимкнути USB-накопичувачі.

1. Відкрийте Управління груповою політикою.
2. Під об’єктом «Домени» клацніть правою кнопкою миші свій домен і виберіть Створіть GPO в цьому домені та зв’яжіть його тут.

зображення

3. Введіть назву для нового GPO (наприклад, "USB Disabled") і натисніть ДОБРЕ.

зображення

4. Клацніть правою кнопкою миші на новому GPO та клацніть Редагувати.

Вимкніть доступ до USB для певних користувачів за допомогою групової політики

5. У «Редакторі керування груповою політикою» перейдіть до:

  • Конфігурація користувача > Політики > Адміністративні шаблони > Система > Доступ до знімного сховища

4. На правій панелі двічі клацніть на: Знімні диски: заборонити доступ для читання. *

* Примітка:
1. Багато підручників на цьому етапі пропонують до Увімкнути 'Усі класи знімних накопичувачів: заборонити будь-який доступ» політики, але під час наших тестів ми виявили, що ця політика не застосовується (працює) для смартфонів або планшетів.
2. Якщо ви хочете заблокувати доступ до USB-запису, виберіть Знімні диски: заборонити доступ на запис.

Блокувати доступ до USB-накопичувача для певних користувачів

5. Перевірте Увімкнено і натисніть ДОБРЕ.

Знімні диски – заборонити доступ

6. Закрити в Редактор керування груповою політикою вікно.

7. Поверніться до «Керування груповою політикою», виберіть «USB Disabled» GPO та на вкладці «Обсяг» натисніть кнопку Додати (у налаштуваннях «Фільтрування безпеки»).

Блокувати USB для певних користувачів у AD Server 2016

8. Введіть назву групи «Користувачі з відключенням USB» (наприклад, «Користувачі з відключенням USB» у цій публікації) та натисніть добре.

зображення

9. Після завершення виберіть Делегування табл.

зображення

10. На вкладці "Делегування" виберіть в Авторизовані користувачі і натисніть Розширений.

зображення

11. У параметрах безпеки, виберіть в Авторизовані користувачі і зніміть прапорець в Застосовувати групову політику прапорець. Після завершення натисніть ДОБРЕ.

зображення

6. Закрити редактор групової політики.
7. Перезапустіть сервер і клієнтські машини, або запустіть "gpupdate /force" (як адміністратор), щоб застосувати нові параметри групової політики (без перезапуску) як до сервера, так і до клієнтів.

Це воно! Дайте мені знати, чи допоміг вам цей посібник, залишивши свій коментар про свій досвід. Будь ласка, поставте лайк і поділіться цим посібником, щоб допомогти іншим.