Pri priključitvi nove naprave USB na računalnik Windows samodejno zazna napravo in namesti ustrezen gonilnik, zaradi česar lahko uporabnik skoraj takoj uporabi priključeno USB napravo ali pogon. V nekaterih organizacijah se zaradi varnosti prepreči uhajanje zaupnih podatkov in prodor virusov v omrežje zaradi uporabe pogonov USB (bliskovni pogoni, trdi diski USB, SD kartice itd.). V tem članku bomo pokazali, kako s skupinsko politiko (GPO) blokirati možnost uporabe zunanjih pogonov USB v sistemu Windows, preprečiti pisanje podatkov na povezane bliskovne pogone in zagnati izvršljive datoteke.
Vsebina:
- Pravilniki o nadzoru dostopa do medijev Windows
- Konfiguriranje GPO za zaklepanje USB medijev in drugih zunanjih pogonov
- Kako določenim uporabnikom preprečiti uporabo USB pogonov
- Blokiranje dostopa do pogonov USB prek registra in GPP
Pravilniki o nadzoru dostopa do medijev Windows
V operacijskem sistemu Windows, začenši z operacijskim sistemom Windows 7 / Vista, se je pojavila možnost dokaj prilagodljive sposobnosti nadzora dostopa do zunanjih pogonov (USB, CD / DVD itd.) Z uporabo skupinskih pravilnikov. Zdaj lahko programsko prepovete uporabo pogonov USB, ne da bi pri tem vplivali na naprave USB, kot so miška, tipkovnica, tiskalnik itd..
Pravilnik o blokiranju naprav USB bo deloval, če bo vaša domenska infrastruktura AD izpolnjevala naslednje zahteve:
- Različica sheme aktivnega imenika - Windows Server 2008 ali novejši [opozorilo]Opomba. Nabor pravilnikov, ki vam omogočajo popoln nadzor nad namestitvijo in uporabo odstranljivih medijev v sistemu Windows, se je pojavil samo v tej različici AD (shema različica 44). [/ Alert]
- OS strank - Windows Vista, Windows 7 in novejši
Konfiguriranje GPO za zaklepanje USB medijev in drugih zunanjih pogonov
Torej načrtujemo omejitev uporabe pogonov USB na vseh računalnikih v določenem vsebniku (OU) domene (lahko uporabite politiko prepovedi uporabe USB na celotni domeni, vendar bo to vplivalo tudi na strežnike in druge tehnološke naprave). Recimo, da želimo razširiti politiko na OU z imenom Delovne postaje. Če želite to narediti, odprite konzolo za upravljanje domene GPO (gpmc.msc) in z desnim klikom na delovne postaje OU ustvarite novo politiko (Ustvari a GPO v to domena in Povezava to tukaj).
Namig. Če uporabljate samostoječi računalnik, lahko pravilnik o omejitvah uporabe vrat USB uredite s pomočjo urejevalnika pravilnikov lokalne skupine - gpedit.msc. V domači izdaji sistema Windows manjka lokalni urejevalnik skupin, vendar ga je mogoče namestiti tako: v operacijskem sistemu Windows 10, v sistemu Windows 7.Recimo politika Onemogoči dostop USB.
Nato uredite njegove parametre (Uredi).
Nastavitve za blokiranje zunanjih pomnilniških naprav so na voljo v uporabniških in računalniških oddelkih GPO:
- Uporabniška konfiguracija-> Politike-> Predloge za skrbništvo-> Sistem-> Dostop do shranjene shrambe (Konfiguracija uporabnika -> Administrativne predloge -> Sistem -> Dostop do odstranljivih naprav za shranjevanje)
- Konfiguracija računalnika-> Politike-> Skrbniške predloge-> Sistem-> Dostop do shranjene shrambe (Konfiguracija računalnika -> Administrativne predloge -> Sistem -> Dostop do odstranljivih pomnilniških naprav)
Če želite blokirati pogone USB za vse uporabnike računalnika domene, morate urediti pravilnike v razdelku »Konfiguracija računalnika«. Razširite.
V razdelku »Dostop do odstranljivih naprav za shranjevanje« (Snemljiv Skladiščenje Dostop) obstaja več pravilnikov, ki vam omogočajo, da onemogočite uporabo različnih razredov pomnilniških naprav: pogoni CD / DVD, diskete (FDD), naprave USB, trakovi itd..
- CD-ji in DVD-ji: Zavrni izvrševanje (CD in DVD: Zavrni izvrševanje dostopa).
- CD-ji in DVD-ji: Zavrni branje (CD in DVD: Zavrni dostop za branje).
- CD-ji in DVD-ji: Zavrni dostop do pisanja (CD in DVD: Zavrni dostop za pisanje).
- Posebni razredi: Zavrni branje (Razredi po meri: Zavrni dostop za branje).
- Posebni razredi: Zavrni dostop do pisanja.
- Disketi: Zavrni dostop.
- Disketi: Zavrni dostop za branje.
- Disketi: Zavrni dostop do pisanja.
- Odstranljivi diski: Zavrnite dostop.
- Odstranljivi diski: onemogočite dostop do branja.
- Odstranljivi diski: onemogočite dostop do pisanja.
- Razstavni skladiščni razredi: onemogoči dostop.
- Vse odstranljivo shranjevanje: Dovoli neposreden dostop v oddaljenih sejah.
- Pogonski trakovi: Zavrni dostop.
- Pogonski trakovi: Zavrni dostop za branje.
- Pogonski trakovi: Zavrni dostop do pisanja.
- Naprave WPD: Prepovedan dostop do branja je razred prenosnih naprav (prenosna naprava Windows). Vključuje pametne telefone, tablice, predvajalnike itd..
- Naprave WPD: Zavrni dostop do pisanja.
Kot lahko vidite, lahko za vsak razred naprav prepovete izvajanje izvršljivih datotek (zaščita pred virusi), prepovedo branje podatkov in pisanje / urejanje informacij na zunanjih nosilcih podatkov.
Najbolj "ostra" restriktivna politika - Vse Snemljiv Skladiščenje Razredi: Zavrni Vse Dostop (Odstranljive naprave za shranjevanje vseh razredov. Zavrni kakršen koli dostop) - omogoča popolno onemogočanje dostopa do katere koli vrste zunanjih pomnilniških naprav. Če želite omogočiti ta pravilnik, ga odprite in nastavite na Omogoči.
Ko aktivirate pravilnik in ga posodobite na odjemalcih (gpupdate / force), sistem odkrije zunanje povezane naprave (ne samo naprave USB, ampak tudi vse zunanje pogone), ko pa jih poskusite odpreti, se prikaže napaka v dostopu:
Lokacija ni na voljo
Vožnja ni dostopna. Dostop je zavrnjen
V istem razdelku pravilnikov lahko nastavite prožnejše omejitve uporabe zunanjih pogonov USB.
Če želite na primer prepovedati pisanje podatkov na bliskovne pogone USB in druge vrste pogonov USB, samo vklopite pravilnik Snemljiv Disk: Zavrni pisati dostop (Odstranljivi pogoni: Zavrni snemanje).
V tem primeru bodo uporabniki lahko brali podatke s bliskovnega pogona, ko pa bodo nanj poskušali zapisati podatke, bodo prejeli napako pri dostopu:
Zavrnjen dostop do ciljne mape
Za izvedbo tega dejanja potrebujete dovoljenje
Uporaba politike Snemljiv Diski: Zavrni izvršiti dostop (Odstranljivi pogoni: Zavrni izvedbo) lahko preprečite, da bi se izvršljive datoteke in datoteke skriptov začele iz pogonov USB.
Kako določenim uporabnikom preprečiti uporabo USB pogonov
Precej pogosto je treba prepovedati uporabo pogonov USB vsem uporabnikom v domeni, razen na primer skrbnikom.
To najlažje dosežemo z uporabo varnostnega filtriranja v GPO. Na primer, da preprečite, da bi se politika blokiranja USB uporabila na skupini skrbnikov domen.
- V konzoli za upravljanje skupinskih politik izberite svojo možnost Onemogoči dostop do USB-ja..
- V razdelek Varnostno filtriranje dodajte skupino upravnikov domene.
- Pojdite na zavihek Delegacija, kliknite na gumb Napredno. V urejevalniku varnostnih nastavitev določite, da skupini domenskih skrbnikov ni dovoljeno uporabljati te GPO (Uporabi pravilnik skupine - Zavrni).
Če je naloga drugačna: morate vsem uporabnikom, razen določeni skupini uporabnikov, dovoliti uporabo USB diskov, morate v varnostnih nastavitvah dodati svojo uporabniško skupino z dovoljenji za branje in uporabo GPO in pustiti dovoljenje samo za branje za pristne uporabnike ali domenske računalnike ( če počistite potrditveno polje pravila o uporabi skupine).
Blokiranje dostopa do pogonov USB prek registra in GPP
Dostop do zunanjih naprav lahko bolj fleksibilno nadzorujete tako, da nastavite parametre registra, ki jih določijo zgoraj omenjene politike prek mehanizma za skupinsko politiko (GPP). Vsi zgornji pravilniki ustrezajo določenim registrskim ključem v veji HKLM (ali HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices (privzeto ta razdelek ni v registru). Če želite omogočiti ta ali oni pravilnik, morate v podani tipki ustvariti novo osvetlitev ozadja z imenom razreda naprav, do katerih želite blokirati dostop (stolpec 2) in parametrom REG_DWORD s tipom omejitve Zavrni_ Preberi ali Zavrni_ Zapiši. Če je ključna vrednost enaka 1- omejitev je aktivna, če 0 - prepoved uporabe tega razreda naprav ne velja.
| Ime pravilnika | Osvetlitev ozadja z imenom GUID razreda naprave | Ime nastavitve registra |
| Disketi: Zavrni dostop za branje | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Disketi: Zavrni dostop do pisanja | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| CD in DVD: Zavrni dostop za branje | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| CD in DVD: Zavrni dostop do pisanja | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Odstranljivi diski: Zavrni dostop za branje | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Odstranljivi diski: Zavrni dostop do pisanja | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Gonilniki trakov: Zavrni dostop za branje | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Gonilniki trakov: Zavrni dostop do pisanja | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Naprave WPD: Zavrni dostop za branje | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_read |
| Naprave WPD: Zavrni dostop do pisanja | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_write |
Tako lahko s pomočjo teh registrskih ključev in zmožnosti ciljanja na politike GPP z uporabo ciljanja na ravni predmeta prilagodljivo uporabite politike, ki omejujejo uporabo zunanjih pomnilniških naprav na določene varnostne skupine AD, spletna mesta, različice OS, OU in druge značilnosti računalnika, vse do WMI poizvedbe. Tako lahko pravilniki za zaklepanje USB veljajo samo za računalnike, ki niso (niso) v določeni skupini oglasov..
Opomba. Podobno lahko ustvarite svoje pravilnike za razrede naprav, ki niso navedeni na tem seznamu. Identifikator razreda naprave je mogoče najti v lastnostih gonilnika v vrednosti atributa Naprava Razred VODNIK.Če sistem, ko poskušate formatirati bliskovni pogon USB, sistem reče: "Windows ne more dokončati oblikovanja", uporabite priporočila iz članka Zakaj sd kartica ali bliskovni pogon ni formatiran
