Zabrana upotrebe USB pogona pomoću Windows Group Policy (GPO)

Pri povezivanju novog USB uređaja s računalom, Windows automatski otkriva uređaj i instalira odgovarajući pogonitelj, zbog čega korisnik može gotovo odmah koristiti priključeni USB uređaj ili pogon. U nekim organizacijama, kako bi se spriječilo curenje povjerljivih podataka i prodiranje virusa u mrežu, mogućnost sigurnosti USB pogona (flash diskovi, USB HDD-ovi, SD kartice itd.) Blokirana je iz sigurnosnih razloga. U ovom ćemo članku pokazati kako se pomoću grupnih politika (GPO) blokira mogućnost korištenja vanjskih USB pogona u sustavu Windows, sprječava pisanje podataka na povezane flash pogone i pokretanje izvršnih datoteka.

sadržaj:

  • Pravila kontrole pristupa sustavu Windows Media
  • Konfiguriranje GPO-a za zaključavanje USB medija i drugih vanjskih pogona
  • Kako spriječiti određene korisnike da koriste USB pogone
  • Blokiranje pristupa USB diskovima putem registra i GPP-a

Pravila kontrole pristupa sustavu Windows Media

U sustavu Windows, počevši od sustava Windows 7 / Vista, pojavila se mogućnost prilično fleksibilne mogućnosti kontrole pristupa vanjskim pogonima (USB, CD / DVD itd.) Pomoću grupnih pravila. Sada možete programski zabraniti upotrebu USB pogona bez utjecaja na USB uređaje poput miša, tipkovnice, pisača itd..

Pravila za blokiranje USB uređaja funkcionirat će ako infrastruktura vaše domene AD ispunjava sljedeće zahtjeve:

  • Verzija sheme aktivnog direktorija - Windows Server 2008 ili noviji [uzbuna]primjedba. Skup pravila koja vam omogućuju da u potpunosti kontrolirate instalaciju i upotrebu prijenosnih medija u sustavu Windows pojavio se samo u ovoj verziji AD-a (shema verzija 44). [/ Alert]
  • OS klijenta - Windows Vista, Windows 7 i novije verzije
primjedba. U grupnim pravilima sustava Windows XP ne postoji način da se ograniči pristup vanjskim USB uređajima. Da biste ograničili pristup vanjskim medijima u ovom OS-u, morali ste koristiti proizvode treće strane ili zabraniti pokretanje određenih upravljačkih programa (UsbStor, Cdrom, Flpydisk, Sfloppy) u ogranku HKLM \ SYSTEM \ CurrentControlSet \ Services \ koristeći ključni parametar vrijednosti Start = 0. Međutim, od 2014. ovaj je OS obustavljen i gotovo se nikad ne koristi u korporativnim mrežama..

Konfiguriranje GPO-a za zaključavanje USB medija i drugih vanjskih pogona

Dakle, planiramo ograničiti upotrebu USB pogona na svim računalima u određenom spremniku (OU) domene (možete primijeniti politiku zabrane upotrebe USB-a na cijelu domenu, ali to će utjecati i na poslužitelje i druge tehnološke uređaje). Pretpostavimo da želimo proširiti politiku na OU imenovan Radne stanice. Da biste to učinili, otvorite konzolu za upravljanje GPO domenom (GPMC.MSC) i desnim klikom na OU Workstations stvorite novu politiku (stvoriti GPO u ovo domena i link to ovdje).

vijeće. Ako koristite samostalno računalo, pravila ograničenja za upotrebu USB priključaka mogu se uređivati ​​pomoću lokalnog uređivača pravila grupe - gpedit.MSC. U kućnom izdanju sustava Windows nedostaje uređivač lokalne grupe, ali može se instalirati ovako: u sustavu Windows 10, u sustavu Windows 7.

Nazovimo politiku Onemogući USB pristup.

Zatim uredite njegove parametre (Uređivanje).

Postavke za blokiranje vanjskih uređaja za pohranu prisutne su u odjeljku za korisnike i računalu GPO-a:

  • Korisnička konfiguracija-> Pravila-> Administrativni predlošci-> Sustav-> Pristup uklonivoj pohrani (Konfiguracija korisnika -> Administrativni predlošci -> Sustav -> Pristup prijenosnim uređajima za pohranu)
  • Konfiguracija računala-> Pravila-> Administrativni predlošci-> Sustav-> Pristup uklonivoj pohrani (Konfiguracija računala -> Administrativni predlošci -> Sustav -> Pristup prijenosnim uređajima za pohranu)

Ako želite blokirati USB diskove za sve korisnike računala s domenom, morate urediti pravila u odjeljku "Konfiguracija računala". Proširite ga.

U odjeljku "Pristup prijenosnim uređajima za pohranu" (Odvojiva skladištenje pristup) postoji nekoliko pravila koja vam omogućavaju da onemogućite upotrebu različitih klasa uređaja za pohranu: CD / DVD pogoni, diskete (FDD), USB uređaji, vrpce itd..

  • CD i DVD: Zabrani izvršavanje (CD i DVD: Zabrani pristup).
  • CD i DVD: Zabranjeno čitanje (CD i DVD: Zabrana pristupa za čitanje).
  • CD i DVD: Zabranite pristup pisanju (CD i DVD: Zabrani pristup pisanju).
  • Posebne klase: Zabrani čitanje (Prilagođene klase: Zabrani pristup čitanju).
  • Posebne klase: zabraniti pristup pisanju.
  • Diskete: zabranite izvršavanje pristupa.
  • Diskete: zabranite pristup čitanju.
  • Diskete: zabranite pristup pisanju.
  • Uklonjivi diskovi: zabranite izvršavanje pristupa.
  • Uklonjivi diskovi: zabranite pristup čitanju.
  • Uklonjivi diskovi: zabranite pristup pisanju.
  • Pohranjiva predava: Odbijen sav pristup.
  • Sva uklonjiva pohrana: omogućuje izravan pristup udaljenim sesijama.
  • Vrpce s trakama: zabranite izvršavanje pristupa.
  • Vrpce: Zabranite pristup čitanju.
  • Vrpce: Zabranite pristup pisanju.
  • WPD uređaji: Zabranjen pristup čitanju je klasa prijenosnih uređaja (Windows Portable Device). Uključuje pametne telefone, tablete, uređaje za reprodukciju itd..
  • WPD uređaji: zabraniti pristup pisanju.

Kao što vidite, za svaku klasu uređaja možete zabraniti izvršavanje izvršnih datoteka (zaštita od virusa), zabraniti čitanje podataka i pisanje / uređivanje podataka na vanjskim medijima.

Najoštrija "restriktivna" restriktivna politika - sve Odvojiva skladištenje klase: Odbiti sve pristup (Odstranjivi uređaji za pohranu svih klasa: zabrana bilo kakvog pristupa) - omogućuje vam potpuno isključivanje pristupa bilo kojoj vrsti vanjskog uređaja za pohranu. Da biste omogućili ovu politiku, otvorite je i postavite na omogućiti.

Nakon aktiviranja pravila i ažuriranja na klijentima (gpupdate / force) sustav otkriva vanjske spojene uređaje (ne samo USB uređaje, nego i vanjske pogone), ali kada ih pokušate otvoriti, pojavljuje se pogreška u pristupu:

Lokacija nije dostupna

Pogon nije dostupan. Pristup je odbijen

vijeće. Slično ograničenje kroz registar možete postaviti tako da stvorite ključ u ogranku HKEY_CURRENT_USER (ili ogranku HKEY_LOCAL_MACHINE) \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices Deny_All tipa dword sa vrijednošću 00000001 .

U istom odjeljku pravila možete konfigurirati fleksibilnija ograničenja upotrebe vanjskih USB pogona.

Na primjer, zabranite pisanje podataka na USB flash diskove i druge vrste USB diskova, samo uključite pravilo Odvojiva disk: Odbiti pisati pristup (Izmjenjivi pogoni: odbijanje snimanja).

Korisnici će u tom slučaju moći čitati podatke s flash pogona, ali kad pokušaju na njega upisati podatke, dobit će pogrešku u pristupu:

Zabranjen je pristup odredišnoj mapi

Za obavljanje ove akcije potrebna vam je dozvola

Korištenje pravila Odvojiva diskovi: Odbiti izvršiti pristup (Uklonjivi pogoni: Zabrani izvršavanje), možete spriječiti pokretanje izvršnih datoteka i datoteka skripti s USB pogona.

Kako spriječiti određene korisnike da koriste USB pogone

Često je potrebno zabraniti upotrebu USB diskova svim korisnicima u domeni, osim, na primjer, administratorima.

To se najlakše postiže primjenom sigurnosnog filtriranja u GPO-u. Na primjer, kako bi se spriječilo da se politika zaključavanja USB-a primijeni na skupinu administratora domena.

  1. U konzoli za upravljanje grupnim politikama odaberite svoju onesposobljavajuću politiku pristupa USB-u..
  2. U odjeljku Sigurnosno filtriranje dodajte grupu Administrator domena.
  3. Idite na karticu Delegacija, kliknite na gumb Napredno. U uređivaču sigurnosnih postavki odredite da je grupi Administrator domena zabranjeno primjenjivati ​​ovu GPO (Primjena pravila grupe - Odbaci).

Ako je zadatak drugačiji: trebate dopustiti da svi osim određene grupe korisnika koriste USB diskove, morate dodati svoju grupu korisnika s dopuštenjima za čitanje i korištenje GPO u sigurnosnim postavkama pravila i ostaviti samo dozvolu za čitanje za autentične korisnike ili grupu domena ( poništite odabir opcije Primjena grupe pravila).

Blokiranje pristupa USB diskovima putem registra i GPP-a

Možete fleksibilnije kontrolirati pristup vanjskim uređajima postavljanjem parametara registra koji su postavljeni gore opisanim pravilima kroz mehanizam Grupnih postavki preferencija (GPP). Sva gore navedena pravila odgovaraju određenim ključevima registra u HKLM (ili HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices grani (prema zadanom ovaj odjeljak nije u registru). Da biste omogućili ovo ili ono pravilo, morate u navedenom ključu stvoriti novo pozadinsko osvjetljenje s nazivom klase uređaja kojima želite blokirati pristup (stupac 2) i parametar REG_DWORD s vrstom ograničenja poreći_Read ili poreći_Write. Ako je ključna vrijednost jednaka 1-  ograničenje je aktivno ako 0  - zabrana uporabe ove klase uređaja ne primjenjuje se.

Naziv pravilaPozadinsko osvjetljenje nazvano GUID klase uređajaNaziv postavke registra
Diskete:
Zabrani pristup čitanju
53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Diskete:
Zabraniti pristup pisanju
53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
CD i DVD:
Zabrani pristup čitanju
53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
CD i DVD:
Zabraniti pristup pisanju
53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
Izmjenjivi diskovi:
Zabrani pristup čitanju
53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Izmjenjivi diskovi:
Zabraniti pristup pisanju
53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
Vozači kazeta:
Zabrani pristup čitanju
53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Vozači kazeta:
Zabraniti pristup pisanju
53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
WPD uređaji:
Zabrani pristup čitanju
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Deny_Read
WPD uređaji:
Zabraniti pristup pisanju
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Deny_Write

Stoga, koristeći ove ključeve registra i mogućnost ciljanja GPP pravila pomoću ciljanja na razini predmeta, fleksibilno možete primijeniti pravila koja ograničavaju upotrebu vanjskih uređaja za pohranu na određene sigurnosne skupine AD-a, web mjesta, verzije OS-a, OU i druge karakteristike računala, sve do WMI zahtjevi. Stoga možete usmjeriti pravila zaključavanja USB-a primjenjiva samo na računala koja nisu (nisu) u određenoj grupi oglasa..

primjedba. Slično tome, možete kreirati vlastita pravila za klase uređaja koje nisu navedene na ovom popisu. Identifikator klase uređaja može se naći u svojstvima upravljačkog programa u vrijednosti atributa uređaj klasa GUID.Ako, kada pokušate formatirati USB flash pogon, sustav kaže "Windows ne može dovršiti oblikovanje", poslužite se preporukama iz članka Zašto SD kartica ili flash pogon nisu formatirani