Az USB-meghajtók használatának tilalma a Windows csoportházirend (GPO) használatával

Amikor egy új USB-eszközt csatlakoztat a számítógéphez, a Windows automatikusan felismeri az eszközt és telepíti a megfelelő illesztőprogramot, amelynek eredményeként a felhasználó szinte azonnal használhatja a csatlakoztatott USB-eszközt vagy meghajtót. Egyes szervezetekben a bizalmas adatok szivárgásának és a vírusok hálózatba való bejutásának megakadályozása érdekében biztonsági okokból le van tiltva az USB-meghajtók (flash meghajtók, USB HDD-k, SD-kártyák stb.) Használata. Ebben a cikkben bemutatjuk, hogyan használhatjuk a csoportházirendet (GPO) a külső USB-meghajtók használatának blokkolására a Windowsban, megakadályozzuk az adatok írását a csatlakoztatott flash meghajtókra és futtatható fájlokat.

Tartalom:

  • Windows Media hozzáférés-vezérlő házirendek
  • Csoportházirend-objektum konfigurálása az USB adathordozók és más külső meghajtók zárolására
  • Hogyan lehet megakadályozni egyes felhasználókat az USB-meghajtók használatában?
  • Az USB-meghajtókhoz való hozzáférés blokkolása a nyilvántartás és a GPP segítségével

Windows Media hozzáférés-vezérlő házirendek

A Windows rendszerben, a Windows 7 / Vista rendszerrel kezdve, meglehetõsen rugalmas lehetõség nyílt a külsõ meghajtókhoz (USB, CD / DVD stb.) Való hozzáférés vezérlésére csoportszabályok segítségével. Mostantól programozhatóan megtilthatja az USB-meghajtók használatát anélkül, hogy befolyásolná az USB-eszközöket, például az egeret, a billentyűzetet, a nyomtatót stb..

Az USB-eszközök blokkolási házirendje akkor működik, ha az AD-tartományi infrastruktúra megfelel a következő követelményeknek:

  • Active Directory séma verzió - Windows Server 2008 vagy újabb [éber]megjegyzés. Azon házirendek, amelyek lehetővé teszik a cserélhető adathordozók telepítésének és használatának teljes ellenőrzését a Windows rendszerben, csak az AD ezen verziójában jelentek meg (sémaverzió 44). [/ Alert]
  • Ügyfél operációs rendszer - Windows Vista, Windows 7 és újabb
megjegyzés. A Windows XP csoportszabályokban a külső USB-eszközökhöz való hozzáférést nem lehet korlátozni. A külső adathordozókhoz való hozzáférés korlátozásához ebben az operációs rendszerben harmadik féltől származó termékeket kellett használnia, vagy meg kellett tiltania bizonyos illesztőprogramok (UsbStor, Cdrom, Flpydisk, Sfloppy) indítását a HKLM \ SYSTEM \ CurrentControlSet \ Services \ ágban, a Start = 0 kulcsparaméter érték használatával. 2014 óta azonban ezt az operációs rendszert megszüntették, és szinte soha nem használják a vállalati hálózatokban..

Csoportházirend-objektum konfigurálása az USB adathordozók és más külső meghajtók zárolására

Ezért azt tervezzük, hogy korlátozni fogjuk az USB-meghajtók használatát a tartomány minden egyes tárolójában (OU) lévő számítógépeken (alkalmazhatja az USB használatának tiltását az egész tartományra, de ez a szerverekre és más technológiai eszközökre is vonatkozik). Tegyük fel, hogy egy irányelvet ki akarunk terjeszteni egy elnevezett OU-ra is munkaállomások. Ehhez nyissa meg a tartomány GPO felügyeleti konzolt (kezelő konzol.msc), és kattintson a jobb gombbal az OU munkaállomásokra, és hozzon létre egy új irányelvet (teremt egy GPO -ban ezt domain és link azt itt).

tanács. Ha önálló számítógépet használ, az USB portok használatára vonatkozó korlátozási házirendet a helyi csoportházirend-szerkesztő segítségével szerkesztheti. - gpedit.msc. A Windows otthoni kiadásában hiányzik a helyi csoportszerkesztő, de úgy telepíthető: Windows 10, Windows 7.

Hívjuk a politikát Az USB-hozzáférés letiltása.

Ezután szerkessze a paramétereit (szerkesztése).

A külső tárolóeszközök blokkolásának beállításai a GPO felhasználói és számítógépes szakaszaiban találhatók:

  • Felhasználói konfiguráció-> Házirendek-> Felügyeleti sablonok-> Rendszer-> Cserélhető tárhely-hozzáférés (Felhasználói konfiguráció -> Felügyeleti sablonok -> Rendszer -> Hozzáférés cserélhető tárolóeszközökhöz)
  • Számítógép konfiguráció-> Házirendek-> Adminisztrációs sablonok-> Rendszer-> Cserélhető tárhely-hozzáférés (Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Hozzáférés cserélhető tárolóeszközökhöz)

Ha blokkolni szeretné az USB meghajtókat egy domain számítógép minden felhasználója számára, akkor módosítania kell a házirendeket a "Számítógép konfigurálása" szakaszban. Bontsa ki.

A „Cserélhető tárolóeszközökhöz való hozzáférés” szakaszban (elmozdítható tárolás hozzáférés) számos irányelv lehetővé teszi a különféle tárolóeszközök használatának letiltását: CD / DVD meghajtók, hajlékonylemezek (FDD), USB eszközök, szalagok stb..

  • CD-k és DVD-k: végrehajtás megtagadása (CD és DVD: végrehajtás megtagadása).
  • CD-k és DVD-k: Olvasás megtagadása (CD és DVD: Olvasás megtagadása).
  • CD-k és DVD-k: Hozzáférés megtagadása (CD és DVD: Írás megtagadása).
  • Speciális osztályok: Olvasás megtagadása (Saját osztályok: Olvasás megtagadása).
  • Speciális osztályok: Megtagadhatja az íráshoz való hozzáférést.
  • Floppy meghajtók: A hozzáférés megtagadása.
  • Floppy meghajtók: Megtagadja az olvasási hozzáférést.
  • Floppy meghajtók: Megtagadja az írási hozzáférést.
  • Cserélhető lemezek: A hozzáférés megtagadása.
  • Cserélhető lemezek: Az olvasáshoz való hozzáférés megtagadása.
  • Cserélhető lemezek: Az írási hozzáférés megtagadása.
  • Cserélhető tárolási osztályok: Minden hozzáférést megtagadni.
  • Összes cserélhető tárhely: Közvetlen hozzáférés engedélyezése távoli munkamenetekben.
  • Szalagos meghajtók: A hozzáférés megtagadása.
  • Szalagos meghajtók: Megtagadhatja az olvasási hozzáférést.
  • Szalagos meghajtók: Megtagadhatja az írási hozzáférést.
  • WPD-eszközök: Az olvasás elutasítása a hordozható eszközök osztálya (Windows Portable Device). Ide tartoznak az okostelefonok, táblagépek, lejátszók stb..
  • WPD-eszközök: Megtagadhatja az írási hozzáférést.

Mint láthatja, minden eszközosztályon megtilthatja a futtatható fájlok végrehajtását (vírusvédelem), megtilthatja az adatok olvasását és az információk írását / szerkesztését a külső adathordozón.

A legszorosabb korlátozó politika - minden elmozdítható tárolás osztályok: Tagadom minden hozzáférés (Minden osztály cserélhető tárolóeszközei: Bármelyik hozzáférés megtagadása) - lehetővé teszi a bármilyen típusú külső tárolóeszközhöz való hozzáférés teljes letiltását. A házirend engedélyezéséhez nyissa meg és állítsa be engedélyezése.

A házirend aktiválása és az ügyfelekön történő frissítés (gpupdate / force) után a rendszer észleli a csatlakoztatott külső eszközöket (nem csak az USB-eszközöket, hanem az esetleges külső meghajtókat is), de amikor megpróbálja őket megnyitni, hozzáférési hiba jelenik meg:

A hely nem érhető el

A meghajtó nem érhető el. A hozzáférés megtagadva

tanács. Hasonló korlátozást lehet beállítani a nyilvántartáson keresztül, ha létrehoz egy kulcsot a HKEY_CURRENT_USER ágban (vagy a HKEY_LOCAL_MACHINE ágban) \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices Deny_All típusú dword értékkel 00000001 .

A házirendek ugyanazon szakaszában konfigurálhat rugalmasabb korlátozásokat a külső USB-meghajtók használatára.

Ha például meg szeretné tiltani az adatok írását az USB flash meghajtókra és más típusú USB meghajtókra, csak kapcsolja be a házirendet elmozdítható tárcsa: Tagadom write hozzáférés (Cserélhető meghajtók: A felvétel megtagadása).

Ebben az esetben a felhasználók képesek lesznek adatok olvasására egy flash meghajtóról, de amikor információt próbálnak rá írni, hozzáférési hibát kapnak:

A célmappa elérése megtagadva

Ehhez a művelethez engedélyre van szüksége

Az irányelv használata elmozdítható Lemezek: Tagadom kivégez hozzáférés (Cserélhető meghajtók: A végrehajtás megtagadása) megakadályozhatja, hogy a végrehajtható fájlok és a szkriptfájlok az USB meghajtóktól induljanak.

Hogyan lehet megakadályozni egyes felhasználókat az USB-meghajtók használatában?

Gyakran meg kell tiltani az USB-meghajtók használatát a domain összes felhasználójának, kivéve például az adminisztrátorokat.

Ez a legkönnyebben a biztonsági szűrés használatával érhető el a csoportházirend-objektumban. Például annak megakadályozása érdekében, hogy az USB lezárási házirendet alkalmazzák a tartományi rendszergazdák csoportjára.

  1. A Csoportházirend-kezelő konzolon válassza az USB-hozzáférés letiltása házirendet..
  2. A Biztonsági szűrés szakaszban adja hozzá a Tartománygazdák csoportot.
  3. Lépjen a Delegálás lapra, kattintson a Speciális gombra. A biztonsági beállítások szerkesztőben adja meg, hogy a Tartománygazdák csoport tilos-e ezt a csoportházirend-objektumot alkalmazni (Csoportházirend alkalmazása - Megtagadás).

Ha a feladat más: mindenkinek engedélyeznie kell az USB-lemezeket, kivéve egy bizonyos felhasználói csoportot, hozzá kell adnia felhasználói csoportját az olvasási és GPO-engedélyekkel a házirend-biztonsági beállításokhoz, és csak olvasási engedélyt kell hagynia a hitelesített felhasználók vagy a tartományi számítógépek csoportjára ( törölje a Csoportházirend elem alkalmazása jelölést).

Az USB-meghajtókhoz való hozzáférés blokkolása a nyilvántartáson és a GPP-n keresztül

A külső eszközökhöz való hozzáférést rugalmasabban ellenőrizheti a regisztrációs paraméterek beállításával, amelyeket a fent említett házirendek állítanak be a csoportházirend-preferencia (GPP) mechanizmuson keresztül. A fenti házirendek megfelelnek a HKLM (vagy HKCU) \ SZOFTVER \ Házirendek \ Microsoft \ Windows \ RemovableStorageDevices ág bizonyos rendszerleíró kulcsoknak (alapértelmezés szerint ez a szakasz nincs a rendszerleíró adatbázisban). Ennek vagy ennek a házirendnek a bekapcsolásához új jelölést kell létrehoznia a megadott kulcsban annak az eszközosztálynak a nevével, amelyhez blokkolni kívánja a hozzáférést (2. oszlop), és a REG_DWORD paramétert a korlátozás típusával megtagad_Read vagy megtagad_Write. Ha a kulcs értéke megegyezik 1-  A korlátozás aktív, ha 0  - az ezen osztályú eszközök használatának tilalma nem vonatkozik.

Irányelv neveHáttérvilágítás Device Class GUIDNyilvántartási beállítás neve
Floppy meghajtók:
Az olvasási hozzáférés megtagadása		53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Floppy meghajtók:
Írásbeli hozzáférés megtagadása		53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
CD és DVD:
Az olvasási hozzáférés megtagadása		53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
CD és DVD:
Írásbeli hozzáférés megtagadása		53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
Cserélhető lemezek:
Az olvasási hozzáférés megtagadása		53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Cserélhető lemezek:
Írásbeli hozzáférés megtagadása		53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
Szalagos meghajtók:
Az olvasási hozzáférés megtagadása		53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_Read
Szalagos meghajtók:
Írásbeli hozzáférés megtagadása		53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_Write
WPD eszközök:
Az olvasási hozzáférés megtagadása		6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE		Deny_Read
WPD eszközök:
Írásbeli hozzáférés megtagadása		6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE		Deny_Write

Így ezekkel a rendszerleíró kulcsokkal és a GPP-házirendek célzási lehetőségével az elemszintű célzás segítségével rugalmasan alkalmazhat olyan házirendeket, amelyek a külső tárolóeszközök használatát bizonyos AD biztonsági csoportokra, webhelyekre, operációs rendszerek verzióira, OU-ra és más számítógépes jellemzőkre korlátoznak, a WMI-ig kérelmeket. Így az USB-zárolási házirendek csak azokra a számítógépekre vonatkozhatnak, amelyek egy adott AD-csoportba tartoznak (nincsenek).

megjegyzés. Hasonlóképpen létrehozhat saját házirendeket azon eszközosztályokhoz, amelyek nem szerepelnek a listában. Az eszközosztály azonosító az illesztőprogram tulajdonságaiban található az attribútum értékében eszköz osztály GUID.Ha az USB flash meghajtó formázásakor a rendszer azt mondja, hogy a "Windows nem tudja befejezni a formázást", akkor használja a cikk Miért nem formázott az SD-kártya vagy a flash meghajtó, ajánlásait
Kategória