При повезивању новог УСБ уређаја на рачунар, Виндовс аутоматски открива уређај и инсталира одговарајући управљачки програм, услед чега корисник може готово одмах да користи повезани УСБ уређај или уређај. У неким организацијама, ради спречавања цурења поверљивих података и продора вируса у мрежу, могућност коришћења УСБ драјвова (флеш дискова, УСБ ХДД-а, СД картица итд.) Је блокирана из безбедносних разлога. У овом чланку ћемо показати како се помоћу групне политике (ГПО) блокира могућност коришћења спољних УСБ уређаја у Виндовс-у, спречава се писање података на повезане флеш дискове и покретање извршних датотека.
Садржај:
- Правила за контролу приступа Виндовс Медиа
- Конфигурирање ГПО-а за закључавање УСБ медија и других вањских погона
- Како спречити одређене кориснике да користе УСБ уређаје
- Блокирање приступа УСБ дисковима путем регистра и ГПП-а
Правила за контролу приступа Виндовс Медиа
У Виндовс-у, почев од Виндовс 7 / Виста, појавила се могућност прилично флексибилне могућности контроле приступа спољним дисковима (УСБ, ЦД / ДВД, итд.) Коришћењем групних смерница. Сада можете програмски забранити употребу УСБ уређаја без утицаја на УСБ уређаје као што су миш, тастатура, штампач итд..
Политика блокирања УСБ уређаја функционира ако ваша АД домена испуњава следеће захтеве:
- Верзија шеме активног директорија - Виндовс Сервер 2008 или новији [узбуну]Напомена. Скуп смерница које вам омогућавају да у потпуности контролишете инсталацију и употребу преносивих медија у Виндовс-у појавио се само у овој верзији АД-а (шема верзија 44). [/ Алерт]
- ОС клијента - Виндовс Виста, Виндовс 7 и новији
Конфигурирање ГПО-а за закључавање УСБ медија и других вањских погона
Дакле, планирамо да ограничимо употребу УСБ уређаја на свим рачунарима у одређеном контејнеру (ОУ) домена (можете применити политику забране употребе УСБ-а на цео домен, али то ће утицати и на сервере и друге технолошке уређаје). Претпоставимо да желимо проширити политику на ОУ именован Радне станице. Да бисте то учинили, отворите конзолу за управљање ГПО домена (гпмц.мсц) и десним кликом на ОУ Воркстатионс креирајте нову политику (Креирајте а ГПО ин ово домен и Линк то овде).
Савет. Ако користите самостални рачунар, политику ограничења за употребу УСБ портова може се уређивати помоћу локалног уређивача смерница групе - гпедит.мсц. У кућном издању Виндовса недостаје локални уређивач група, али може се инсталирати овако: у Виндовс 10, у Виндовс 7.Назовимо политику Онемогући УСБ приступ.
Затим уредите његове параметре (Измени).
Подешавања за блокирање екстерних уређаја за складиштење присутна су у одељцима за кориснике и рачунаре ГПО-а:
- Конфигурација корисника-> Политике-> Административни предлошци-> Систем-> Приступ уклањајућој похрани (Конфигурација корисника -> Административни предлошци -> Систем -> Приступ преносним уређајима за складиштење)
- Конфигурација рачунара-> Политике-> Административни предлошци-> Систем-> Приступ уклонивој меморији (Конфигурација рачунара -> Административни предлошци -> Систем -> Приступ преносним уређајима за складиштење)
Ако желите да блокирате УСБ дискове за све кориснике рачунара са доменом, морате да измените смернице у одељку „Конфигурација рачунара“. Прошири.
У одељку „Приступ уклоњивим уређајима за складиштење“ (Уклониви Складиштење Приступ) постоји неколико смерница које вам омогућавају да онемогућите употребу различитих класа уређаја за складиштење: ЦД / ДВД уређаје, дискете (ФДД), УСБ уређаје, касете итд..
- ЦД-ови и ДВД-ови: Забрани извршавање (ЦД и ДВД: Забрани приступ).
- ЦД-ови и ДВД-ови: Забрањено читање (ЦД и ДВД: Забрањен приступ за читање).
- ЦД и ДВД: Забраните приступ писању (ЦД и ДВД: Забрани приступ писању).
- Специјалне класе: Забрани читање (Прилагођене класе: Забрани приступ читању).
- Специјалне класе: Забранити приступ писању.
- Дискете: Забраните извршавање приступа.
- Дискете: Забраните приступ читању.
- Дискете: Забраните приступ писању.
- Уклоњиви дискови: забраните извршавање приступа.
- Уклоњиви дискови: забраните приступ читању.
- Уклоњиви дискови: забраните приступ писању.
- Класе уклоњивог складиштења: забранити сав приступ.
- Сва уклоњива похрана: Омогућава директан приступ у удаљеним сесијама.
- Тапе драјвови: забраните извршавање приступа.
- Врпце: Забраните приступ читању.
- Врпце: Забраните приступ писању.
- ВПД уређаји: Забрањен приступ читању је класа преносних уређаја (Виндовс Портабле Девице). Укључује паметне телефоне, таблете, плејере итд..
- ВПД уређаји: забранити приступ писању.
Као што видите, за сваку класу уређаја можете забранити извршавање извршних датотека (заштита од вируса), забранити читање података и писање / уређивање информација на спољним медијима.
Најоштрија рестриктивна политика - Све Уклониви Складиштење Часови: Дени Све Приступ (Уклоњиви уређаји за складиштење свих класа: забраните било какав приступ) - омогућава вам да у потпуности онемогућите приступ било којој врсти спољних уређаја за складиштење података. Да бисте омогућили ову политику, отворите је и подесите на Омогући.
Након активирања политике и њеног ажурирања на клијентима (гпупдате / форце) систем открива спољашње уређаје (не само УСБ уређаје, него и све спољне погоне), али када их покушате отворити, појављује се грешка у приступу:
Локација није доступна
Погон није доступан. Приступ је одбијен
У истом одељку смерница можете конфигурисати флексибилнија ограничења употребе спољних УСБ уређаја.
На пример, да бисте забранили писање података на УСБ флеш уређаје и друге врсте УСБ уређаја, само укључите смернице Уклониви Диск: Дени писати приступ (Уклоњиви погони: Забрањено снимање).
У овом случају корисници ће моћи да читају податке са флеш уређаја, али када покушају да упишу информације на њега, добиће грешку у приступу:
Забрањен је приступ одредишној мапи
За обављање ове акције потребна вам је дозвола
Коришћење политике Уклониви Дискови: Дени извршити приступ (Уклоњиви погони: Забрани извршавање), можете спречити покретање извршних датотека и датотека са скрипту са УСБ уређаја.
Како спречити одређене кориснике да користе УСБ уређаје
Често је потребно забранити употребу УСБ дискова свим корисницима у домену, осим, на пример, администраторима.
Ово се најлакше постиже коришћењем Безбедносног филтрирања у ГПО-у. На пример, како бисте спречили да се политика закључавања УСБ-а примењује на групу администратора домена.
- У конзоли за управљање групним политикама одаберите своју онеспособљавајућу политику приступа УСБ-у..
- У одељак Сигурносно филтрирање додајте групу Администратор домена.
- Идите на картицу Делегација, кликните на дугме Напредно. У уређивачу безбедносних поставки одредите да је групи Админс домена забрањено да примењује ову ГПО (Примени смернице групе - Забрани).
Ако је задатак другачији: требате дозволити свима осим одређеној групи корисника да користе УСБ дискове, у безбедносним подешавањима политике морате да додате своју корисничку групу са дозволама за читање и коришћење ГПО и оставите само дозволу за читање за аутентичне кориснике или групу домена ( поништавање ознаке ставке Примене групе правила).
Блокирање приступа УСБ дисковима путем регистра и ГПП-а
Можете флексибилније да контролишете приступ спољним уређајима постављањем параметара регистра, који су постављени горе описаним смерницама, путем механизма Групних подешавања политике (ГПП). Све горе наведене политике одговарају одређеним кључевима регистра у ХКЛМ (или ХКЦУ) \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс \ РемоваблеСторагеДевицес огранку (по дефаулту, овај одељак није у регистру). Да бисте омогућили ову или ону политику, морате да направите нови истицање у наведеном тастеру са називом класе уређаја којима желите блокирати приступ (ступац 2) и параметром РЕГ_ДВОРД са врстом ограничења Одбаци_Прочитајте или Одбаци_Написати. Ако је кључна вредност једнака 1- ограничење је активно ако 0 - забрана употребе уређаја ове класе се не примењује.
| Назив политике | Позадинско осветљење названо ГУИД класе уређаја | Назив поставке регистра |
| Дискете: Забрани приступ читању | 53ф56311-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_реад |
| Дискете: Забраните приступ писању | 53ф56311-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_врите |
| ЦД и ДВД: Забрани приступ читању | 53ф56308-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_реад |
| ЦД и ДВД: Забраните приступ писању | 53ф56308-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_врите |
| Изменљиви дискови: Забрани приступ читању | 53ф5630д-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_реад |
| Изменљиви дискови: Забраните приступ писању | 53ф5630д-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_врите |
| Возачи трака: Забрани приступ читању | 53ф5630б-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_реад |
| Возачи трака: Забраните приступ писању | 53ф5630б-б6бф-11д0-94ф2-00а0ц91ефб8б | Дени_врите |
| ВПД уређаји: Забрани приступ читању | 6АЦ27878-А6ФА-4155-БА85-Ф98Ф491Д4Ф33 Ф33ФДЦ04-Д1АЦ-4Е8Е-9А30-19ББД4Б108АЕ | Дени_реад |
| ВПД уређаји: Забраните приступ писању | 6АЦ27878-А6ФА-4155-БА85-Ф98Ф491Д4Ф33 Ф33ФДЦ04-Д1АЦ-4Е8Е-9А30-19ББД4Б108АЕ | Дени_врите |
Стога, користећи ове кључеве регистра и могућност циљања ГПП смерница користећи циљање на нивоу ставке, можете флексибилно применити смернице које ограничавају употребу спољних складишних уређаја на одређене АД безбедносне групе, веб локације, верзије ОС-а, ОУ и друге карактеристике рачунара, све до ВМИ упити. Стога, можете закључити да се правила о закључавању УСБ-а односе само на рачунаре који нису (нису) у одређеној АД групи..
Напомена. Слично томе, можете да креирате сопствена правила за класе уређаја које нису наведене на овој листи. Идентификатор класе уређаја може се наћи у својствима управљачког програма у вриједности атрибута Уређај Класа ГУИД.Ако, када покушате да форматирате УСБ флеш уређај, систем каже да "Виндовс не може довршити форматирање", користите препоруке из чланка Зашто СД картица или флеш уређај нису форматирани
