Pri pripájaní nového zariadenia USB k počítaču systém Windows automaticky rozpozná zariadenie a nainštaluje príslušný ovládač, vďaka čomu môže používateľ takmer okamžite použiť pripojené zariadenie alebo jednotku USB. V niektorých organizáciách je z bezpečnostných dôvodov blokovaná možnosť použitia jednotiek USB (flash disky, USB HDD, SD karty atď.), Aby sa zabránilo úniku dôverných údajov a prenikaniu vírusov do siete. V tomto článku si ukážeme, ako používať skupinovú politiku (GPO) na blokovanie schopnosti používať externé jednotky USB v systéme Windows, na zabránenie zápisu údajov na pripojené jednotky flash a spúšťanie spustiteľných súborov..
obsah:
- Pravidlá riadenia prístupu Windows Media
- Konfigurácia objektu GPO na uzamknutie médií USB a iných externých jednotiek
- Ako zabrániť niektorým používateľom v používaní jednotiek USB
- Blokovanie prístupu k jednotkám USB prostredníctvom registra a GPP
Pravidlá riadenia prístupu Windows Media
V systéme Windows, začínajúc na Windows 7 / Vista, sa objavila možnosť pomerne flexibilnej schopnosti riadiť prístup k externým jednotkám (USB, CD / DVD atď.) Pomocou skupinových politík. Teraz môžete programovo zakázať používanie jednotiek USB bez ovplyvnenia zariadení USB, ako sú myš, klávesnica, tlačiareň atď..
Zásady blokovania zariadení USB budú fungovať, ak infraštruktúra vašej domény AD spĺňa nasledujúce požiadavky:
- Verzia schémy Active Directory - Windows Server 2008 alebo novší [bdelý]poznámka. Sada politík, ktoré vám umožňujú úplnú kontrolu nad inštaláciou a používaním vymeniteľných médií vo Windows, sa objavila iba v tejto verzii AD (schéma verzie 44). [/ Alert]
- Klientsky OS - Windows Vista, Windows 7 a vyšší
Konfigurácia objektu GPO na uzamknutie médií USB a iných externých jednotiek
Plánujeme preto obmedziť používanie jednotiek USB na všetkých počítačoch v špecifickom kontajneri (OU) domény (môžete použiť politiku zakazujúcu používanie USB na celú doménu, ale to bude mať tiež vplyv na servery a ďalšie technologické zariadenia). Predpokladajme, že chceme rozšíriť politiku na názov OU pracovné stanice. Otvorte konzolu správy GPO domény (GPMC.msc) a kliknutím pravým tlačidlom myši na pracovné stanice OU vytvorte novú politiku (vytvoriť GPO v toto doména a odkaz to tu).
rada. Ak používate voľne stojaci počítač, politiku obmedzenia používania portov USB je možné upravovať pomocou editora miestnych skupinových pravidiel. - gpedit.msc. V domácom vydaní systému Windows chýba editor miestnych skupín, ale môže sa nainštalovať takto: v systéme Windows 10, v systéme Windows 7.Zavolajme politiku Zakázať prístup USB.
Potom upravte jeho parametre (editovať).
Nastavenia blokovania externých úložných zariadení sa nachádzajú v užívateľskej a počítačovej časti GPO:
- User Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Konfigurácia používateľa -> Šablóny pre správu -> Systém -> Prístup k vymeniteľným úložným zariadeniam)
- Konfigurácia počítača-> Politiky-> Šablóny pre správu-> Systém-> Prístup k vymeniteľnému úložisku (Konfigurácia počítača -> Šablóny pre správu -> Systém -> Prístup k vymeniteľným úložným zariadeniam)
Ak chcete blokovať jednotky USB pre všetkých používateľov doménového počítača, musíte upraviť zásady v časti „Konfigurácia počítača“. Rozbaliť.
V časti „Prístup k vymeniteľným úložným zariadeniam“ (snímateľný skladovanie prístup) existuje niekoľko zásad, ktoré vám umožňujú zakázať používanie rôznych tried pamäťových zariadení: jednotky CD / DVD, diskety (FDD), zariadenia USB, pásky atď..
- CD a DVD: Odmietnuť vykonať (CD a DVD: Odmietnuť vykonať prístup).
- CD a DVD: Odmietnuť čítanie (CD a DVD: Odopierať prístup na čítanie).
- CD a DVD: Odopieranie zápisu (CD a DVD: Odopieranie zápisu).
- Špeciálne triedy: Odmietnuť čítanie (Vlastné triedy: Odopierať prístup na čítanie).
- Špeciálne triedy: Odopierať prístup na zápis.
- Diskety: Odmietnuť vykonať prístup.
- Diskety: Odopieranie prístupu na čítanie.
- Diskety: Odopieranie prístupu na zápis.
- Vymeniteľné disky: Odmietnuť vykonať prístup.
- Vymeniteľné disky: Odmietnuť prístup na čítanie.
- Vymeniteľné disky: Odopierať prístup na zápis.
- Vymeniteľné triedy úložiska: Odmietne všetok prístup.
- Všetko vymeniteľné úložisko: Povoľuje priamy prístup vo vzdialených reláciách.
- Páskové jednotky: Odopretie prístupu.
- Páskové jednotky: Odopieranie prístupu na čítanie.
- Páskové jednotky: Odopieranie prístupu na zápis.
- Zariadenia WPD: Prístup odmietnutia čítania je trieda prenosných zariadení (prenosné zariadenie Windows). Zahŕňa smartfóny, tablety, prehrávače atď..
- Zariadenia WPD: Odopierať prístup na zápis.
Ako vidíte, pre každú triedu zariadení môžete zakázať vykonávanie spustiteľných súborov (antivírusová ochrana), zakázať čítanie údajov a zapisovanie / editovanie informácií na externé médiá..
Najdrsnejšia reštriktívna politika - všetko snímateľný skladovanie vyučovanie: Popieraj všetko prístup (Vymeniteľné úložné zariadenia všetkých tried: Zakázať prístup) - umožňuje vám úplne zakázať prístup k akémukoľvek typu externého úložného zariadenia. Ak chcete povoliť túto politiku, otvorte ju a nastavte ju na umožniť.
Po aktivácii politiky a jej aktualizácii na klientoch (gpupdate / force) systém zistí externé pripojené zariadenia (nielen zariadenia USB, ale aj všetky externé jednotky), ale pri pokuse o ich otvorenie sa objaví chyba prístupu:
Poloha nie je k dispozícii
Disk nie je prístupný. Prístup bol odmietnutý
V rovnakej časti politík môžete nakonfigurovať flexibilnejšie obmedzenia týkajúce sa používania externých jednotiek USB.
Napríklad, ak chcete zakázať zapisovanie údajov na USB flash disky a iné typy USB diskov, zapnite túto politiku snímateľný disk: Popieraj write prístup (Vymeniteľné jednotky: Odmietnuť nahrávanie).
V takom prípade budú používatelia schopní čítať údaje z jednotky Flash, ale keď sa na ne pokúsia zapísať informácie, dostanú chybu prístupu:
Prístup k cieľovému priečinku bol zamietnutý
Na vykonanie tejto akcie potrebujete povolenie
Používanie politiky snímateľný disky: Popieraj popraviť prístup (Vymeniteľné jednotky: Odmietnuť vykonanie), môžete zabrániť spusteniu spustiteľných súborov a súborov skriptov z jednotiek USB.
Ako zabrániť niektorým používateľom v používaní jednotiek USB
Pomerne často je potrebné zakázať používanie jednotiek USB všetkým používateľom v doméne, s výnimkou napríklad správcov.
Najľahšie sa to dá dosiahnuť použitím bezpečnostného filtrovania v GPO. Napríklad zabránenie aplikovaniu politiky blokovania USB na skupinu správcov domén.
- V konzole Správa zásad skupiny vyberte pravidlá Zakázať prístup USB..
- V časti Filtrovanie zabezpečenia pridajte skupinu Domain Admins.
- Prejdite na kartu Delegácia a kliknite na tlačidlo Spresniť. V editore nastavení zabezpečenia zadajte, že skupine Domain Admins je zakázané uplatňovať tento GPO (Apply group policy - Deny)..
Ak je úloha iná: musíte povoliť všetkým používateľom s výnimkou určitej skupiny používateľov používať disky USB, musíte do nastavení zabezpečenia politiky pridať svoju skupinu používateľov s oprávneniami na čítanie a používanie GPO a ponechať oprávnenie na čítanie iba pre skupinu Authenticated Users alebo Domain Computers ( zrušte začiarknutie položky Použiť skupinovú politiku).
Blokovanie prístupu k jednotkám USB prostredníctvom registra a GPP
Flexibilnejšie môžete riadiť prístup k externým zariadeniam konfiguráciou nastavení registra, ktoré sú stanovené podľa vyššie uvedených politík prostredníctvom mechanizmu GPP (Group Policy Preferences). Všetky vyššie uvedené politiky zodpovedajú určitým kľúčom registra v vetve \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices HKLM (alebo HKCU) (predvolene táto sekcia nie je v registri). Ak chcete povoliť toto alebo toto pravidlo, musíte v zadanom kľúči vytvoriť nové zvýraznenie s názvom triedy zariadení, ku ktorým chcete zablokovať prístup (stĺpec 2) a parametrom REG_DWORD s typom obmedzenia. poprieť_read alebo poprieť_write. Ak je hodnota kľúča rovnaká 1- obmedzenie je aktívne, ak 0 - zákaz používania tejto triedy zariadení sa neuplatňuje.
| Názov politiky | Podsvietenie s názvom GUID triedy zariadenia | Názov nastavenia registra |
| Disketové mechaniky: Odmietnuť prístup na čítanie | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Disketové mechaniky: Zakázať prístup na zápis | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| CD a DVD: Odmietnuť prístup na čítanie | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| CD a DVD: Zakázať prístup na zápis | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| Vymeniteľné disky: Odmietnuť prístup na čítanie | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Vymeniteľné disky: Zakázať prístup na zápis | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| Páskové ovládače: Odmietnuť prístup na čítanie | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_Read |
| Páskové ovládače: Zakázať prístup na zápis | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_Write |
| Zariadenia WPD: Odmietnuť prístup na čítanie | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_Read |
| Zariadenia WPD: Zakázať prístup na zápis | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_Write |
Použitím týchto kľúčov registra a schopnosti zacieliť politiky GPP pomocou zacielenia na úrovni položky môžete flexibilne uplatňovať politiky, ktoré obmedzujú použitie externých úložných zariadení na určité skupiny zabezpečenia AD, weby, verzie OS, OU a ďalšie vlastnosti počítača, až po WMI. žiadosti. Môžete teda nastaviť, aby sa zásady zámku USB vzťahovali iba na počítače, ktoré nie sú (nie sú) v konkrétnej skupine AD..
poznámka. Podobne si môžete vytvoriť vlastné politiky pre triedy zariadení, ktoré nie sú uvedené v tomto zozname. Identifikátor triedy zariadenia sa nachádza vo vlastnostiach ovládača v hodnote atribútu zariadenie trieda GUID.Ak sa pri pokuse oformátovanie jednotky USB typu Flash zobrazí systém „Windows nedokáže dokončiť formátovanie“, použite odporúčania z článku Prečo karta SD alebo jednotka Flash nie sú naformátované
