Pri povezivanju novog USB uređaja s računalom, Windows automatski otkriva uređaj i instalira odgovarajući pogonitelj, zbog čega korisnik može gotovo odmah koristiti priključeni USB uređaj ili pogon. U nekim organizacijama, kako bi se spriječilo curenje povjerljivih podataka i prodiranje virusa u mrežu, mogućnost sigurnosti USB pogona (flash diskovi, USB HDD-ovi, SD kartice itd.) Blokirana je iz sigurnosnih razloga. U ovom ćemo članku pokazati kako se pomoću grupnih politika (GPO) blokira mogućnost korištenja vanjskih USB pogona u sustavu Windows, sprječava pisanje podataka na povezane flash pogone i pokretanje izvršnih datoteka.
sadržaj:
- Pravila kontrole pristupa sustavu Windows Media
- Konfiguriranje GPO-a za zaključavanje USB medija i drugih vanjskih pogona
- Kako spriječiti određene korisnike da koriste USB pogone
- Blokiranje pristupa USB diskovima putem registra i GPP-a
Pravila kontrole pristupa sustavu Windows Media
U sustavu Windows, počevši od sustava Windows 7 / Vista, pojavila se mogućnost prilično fleksibilne mogućnosti kontrole pristupa vanjskim pogonima (USB, CD / DVD itd.) Pomoću grupnih pravila. Sada možete programski zabraniti upotrebu USB pogona bez utjecaja na USB uređaje poput miša, tipkovnice, pisača itd..
Pravila za blokiranje USB uređaja funkcionirat će ako infrastruktura vaše domene AD ispunjava sljedeće zahtjeve:
- Verzija sheme aktivnog direktorija - Windows Server 2008 ili noviji [uzbuna]primjedba. Skup pravila koja vam omogućuju da u potpunosti kontrolirate instalaciju i upotrebu prijenosnih medija u sustavu Windows pojavio se samo u ovoj verziji AD-a (shema verzija 44). [/ Alert]
- OS klijenta - Windows Vista, Windows 7 i novije verzije
Konfiguriranje GPO-a za zaključavanje USB medija i drugih vanjskih pogona
Dakle, planiramo ograničiti upotrebu USB pogona na svim računalima u određenom spremniku (OU) domene (možete primijeniti politiku zabrane upotrebe USB-a na cijelu domenu, ali to će utjecati i na poslužitelje i druge tehnološke uređaje). Pretpostavimo da želimo proširiti politiku na OU imenovan Radne stanice. Da biste to učinili, otvorite konzolu za upravljanje GPO domenom (GPMC.MSC) i desnim klikom na OU Workstations stvorite novu politiku (stvoriti GPO u ovo domena i link to ovdje).
vijeće. Ako koristite samostalno računalo, pravila ograničenja za upotrebu USB priključaka mogu se uređivati pomoću lokalnog uređivača pravila grupe - gpedit.MSC. U kućnom izdanju sustava Windows nedostaje uređivač lokalne grupe, ali može se instalirati ovako: u sustavu Windows 10, u sustavu Windows 7.Nazovimo politiku Onemogući USB pristup.
Zatim uredite njegove parametre (Uređivanje).
Postavke za blokiranje vanjskih uređaja za pohranu prisutne su u odjeljku za korisnike i računalu GPO-a:
- Korisnička konfiguracija-> Pravila-> Administrativni predlošci-> Sustav-> Pristup uklonivoj pohrani (Konfiguracija korisnika -> Administrativni predlošci -> Sustav -> Pristup prijenosnim uređajima za pohranu)
- Konfiguracija računala-> Pravila-> Administrativni predlošci-> Sustav-> Pristup uklonivoj pohrani (Konfiguracija računala -> Administrativni predlošci -> Sustav -> Pristup prijenosnim uređajima za pohranu)
Ako želite blokirati USB diskove za sve korisnike računala s domenom, morate urediti pravila u odjeljku "Konfiguracija računala". Proširite ga.
U odjeljku "Pristup prijenosnim uređajima za pohranu" (Odvojiva skladištenje pristup) postoji nekoliko pravila koja vam omogućavaju da onemogućite upotrebu različitih klasa uređaja za pohranu: CD / DVD pogoni, diskete (FDD), USB uređaji, vrpce itd..
- CD i DVD: Zabrani izvršavanje (CD i DVD: Zabrani pristup).
- CD i DVD: Zabranjeno čitanje (CD i DVD: Zabrana pristupa za čitanje).
- CD i DVD: Zabranite pristup pisanju (CD i DVD: Zabrani pristup pisanju).
- Posebne klase: Zabrani čitanje (Prilagođene klase: Zabrani pristup čitanju).
- Posebne klase: zabraniti pristup pisanju.
- Diskete: zabranite izvršavanje pristupa.
- Diskete: zabranite pristup čitanju.
- Diskete: zabranite pristup pisanju.
- Uklonjivi diskovi: zabranite izvršavanje pristupa.
- Uklonjivi diskovi: zabranite pristup čitanju.
- Uklonjivi diskovi: zabranite pristup pisanju.
- Pohranjiva predava: Odbijen sav pristup.
- Sva uklonjiva pohrana: omogućuje izravan pristup udaljenim sesijama.
- Vrpce s trakama: zabranite izvršavanje pristupa.
- Vrpce: Zabranite pristup čitanju.
- Vrpce: Zabranite pristup pisanju.
- WPD uređaji: Zabranjen pristup čitanju je klasa prijenosnih uređaja (Windows Portable Device). Uključuje pametne telefone, tablete, uređaje za reprodukciju itd..
- WPD uređaji: zabraniti pristup pisanju.
Kao što vidite, za svaku klasu uređaja možete zabraniti izvršavanje izvršnih datoteka (zaštita od virusa), zabraniti čitanje podataka i pisanje / uređivanje podataka na vanjskim medijima.
Najoštrija "restriktivna" restriktivna politika - sve Odvojiva skladištenje klase: Odbiti sve pristup (Odstranjivi uređaji za pohranu svih klasa: zabrana bilo kakvog pristupa) - omogućuje vam potpuno isključivanje pristupa bilo kojoj vrsti vanjskog uređaja za pohranu. Da biste omogućili ovu politiku, otvorite je i postavite na omogućiti.
Nakon aktiviranja pravila i ažuriranja na klijentima (gpupdate / force) sustav otkriva vanjske spojene uređaje (ne samo USB uređaje, nego i vanjske pogone), ali kada ih pokušate otvoriti, pojavljuje se pogreška u pristupu:
Lokacija nije dostupna
Pogon nije dostupan. Pristup je odbijen
U istom odjeljku pravila možete konfigurirati fleksibilnija ograničenja upotrebe vanjskih USB pogona.
Na primjer, zabranite pisanje podataka na USB flash diskove i druge vrste USB diskova, samo uključite pravilo Odvojiva disk: Odbiti pisati pristup (Izmjenjivi pogoni: odbijanje snimanja).
Korisnici će u tom slučaju moći čitati podatke s flash pogona, ali kad pokušaju na njega upisati podatke, dobit će pogrešku u pristupu:
Zabranjen je pristup odredišnoj mapi
Za obavljanje ove akcije potrebna vam je dozvola
Korištenje pravila Odvojiva diskovi: Odbiti izvršiti pristup (Uklonjivi pogoni: Zabrani izvršavanje), možete spriječiti pokretanje izvršnih datoteka i datoteka skripti s USB pogona.
Kako spriječiti određene korisnike da koriste USB pogone
Često je potrebno zabraniti upotrebu USB diskova svim korisnicima u domeni, osim, na primjer, administratorima.
To se najlakše postiže primjenom sigurnosnog filtriranja u GPO-u. Na primjer, kako bi se spriječilo da se politika zaključavanja USB-a primijeni na skupinu administratora domena.
- U konzoli za upravljanje grupnim politikama odaberite svoju onesposobljavajuću politiku pristupa USB-u..
- U odjeljku Sigurnosno filtriranje dodajte grupu Administrator domena.
- Idite na karticu Delegacija, kliknite na gumb Napredno. U uređivaču sigurnosnih postavki odredite da je grupi Administrator domena zabranjeno primjenjivati ovu GPO (Primjena pravila grupe - Odbaci).
Ako je zadatak drugačiji: trebate dopustiti da svi osim određene grupe korisnika koriste USB diskove, morate dodati svoju grupu korisnika s dopuštenjima za čitanje i korištenje GPO u sigurnosnim postavkama pravila i ostaviti samo dozvolu za čitanje za autentične korisnike ili grupu domena ( poništite odabir opcije Primjena grupe pravila).
Blokiranje pristupa USB diskovima putem registra i GPP-a
Možete fleksibilnije kontrolirati pristup vanjskim uređajima postavljanjem parametara registra koji su postavljeni gore opisanim pravilima kroz mehanizam Grupnih postavki preferencija (GPP). Sva gore navedena pravila odgovaraju određenim ključevima registra u HKLM (ili HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices grani (prema zadanom ovaj odjeljak nije u registru). Da biste omogućili ovo ili ono pravilo, morate u navedenom ključu stvoriti novo pozadinsko osvjetljenje s nazivom klase uređaja kojima želite blokirati pristup (stupac 2) i parametar REG_DWORD s vrstom ograničenja poreći_Read ili poreći_Write. Ako je ključna vrijednost jednaka 1- ograničenje je aktivno ako 0 - zabrana uporabe ove klase uređaja ne primjenjuje se.
| Naziv pravila | Pozadinsko osvjetljenje nazvano GUID klase uređaja | Naziv postavke registra |
| Diskete: Zabrani pristup čitanju | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Diskete: Zabraniti pristup pisanju | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| CD i DVD: Zabrani pristup čitanju | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| CD i DVD: Zabraniti pristup pisanju | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| Izmjenjivi diskovi: Zabrani pristup čitanju | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Izmjenjivi diskovi: Zabraniti pristup pisanju | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| Vozači kazeta: Zabrani pristup čitanju | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Vozači kazeta: Zabraniti pristup pisanju | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| WPD uređaji: Zabrani pristup čitanju | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_Read |
| WPD uređaji: Zabraniti pristup pisanju | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_Write |
Stoga, koristeći ove ključeve registra i mogućnost ciljanja GPP pravila pomoću ciljanja na razini predmeta, fleksibilno možete primijeniti pravila koja ograničavaju upotrebu vanjskih uređaja za pohranu na određene sigurnosne skupine AD-a, web mjesta, verzije OS-a, OU i druge karakteristike računala, sve do WMI zahtjevi. Stoga možete usmjeriti pravila zaključavanja USB-a primjenjiva samo na računala koja nisu (nisu) u određenoj grupi oglasa..
primjedba. Slično tome, možete kreirati vlastita pravila za klase uređaja koje nisu navedene na ovom popisu. Identifikator klase uređaja može se naći u svojstvima upravljačkog programa u vrijednosti atributa uređaj klasa GUID.Ako, kada pokušate formatirati USB flash pogon, sustav kaže "Windows ne može dovršiti oblikovanje", poslužite se preporukama iz članka Zašto SD kartica ili flash pogon nisu formatirani
