Od czasu premiery USB 1.0 w latach 90-tych, do dziś zauważyliśmy wielkie zmiany, nie tylko w wersji USB, jesteśmy w 3.0, ale także w nowych funkcjach przechowywania, rozmiaru, bezpieczeństwa, szybkości, między innymi. Kiedy jesteśmy w domenie, ważne jest, aby zarządzać różnymi jej komponentami, a także elementami, które można włączyć do niej zewnętrznie. Istnieją urządzenia takie jak USB, w których ważne jest kontrolowanie urządzeń wymiennych, a tym samym możliwość blokowania obiektów GPO USB, aby uniemożliwić im wejście do naszej sieci. Aby móc wykonywać tego typu zarządzanie, będziemy dysponować jednostką organizacyjną, z której możemy utworzyć politykę blokowania portów USB, aby wykonać to zadanie w systemie Windows Server 2021-2022, Server 2022 lub Server 2016.
Obecnie 95% ludzi ma pamięć USB do celów osobistych, organizacyjnych, wsparcia itp., a jest to bardzo ważne, ponieważ my, którzy jesteśmy w środku systemów, możemy użyć pamięci USB do uruchomienia systemu operacyjnego z tego miejsca (coś, co było to mało prawdopodobne w latach 90.), możemy przechowywać dużą ilość informacji, do 256 GB, podczas gdy pierwsza generacja USB wzrosła tylko do 16 MB. Nie tylko tworzenie kopii zapasowych jest ważne dla dobrego zarządzania naszymi serwerami i firmami z systemem Windows Server. Różne ustawienia polityki bezpieczeństwa są więcej niż niezbędne.
Przyczyny blokowania USBPo co blokować dostęp do USB w naszych domenach za pomocą systemu Windows Server?Powodów jest wiele:
- Ze względów bezpieczeństwa, aby uniknąć kradzieży informacji.
- Ze względu na politykę firmy, ponieważ w pamięci USB można przechowywać delikatne dane lub zapisy, które stamtąd mogą znajdować się w złym miejscu docelowym.
- Aby zapobiec rozprzestrzenianiu się wirusów, ponieważ wiele razy pamięci USB są podłączane do komputerów domeny bez przechodzenia przez skanowanie antywirusowe i zawierają różne typy wirusów, które mogą rozprzestrzeniać się w sieci i wpływać na różne komputery.
- Aby poprawić wydajność komputera, ponieważ wiele osób instaluje programy lub aplikacje bezpośrednio z pamięci USB.
Jak widać, jest wiele powodów, dla których warto blokować porty USB w naszej domenie i należy również podkreślić, że nie wszystkie firmy blokują dostęp do portów USB swoich pracowników. Blokując urządzenia USB w komputerach domenowych przez GPO w serwerze Windows zapewniamy niechciane wstawienia. Tym razem przeanalizujemy, jak możemy zablokować porty USB za pomocą polityki grupowej. Jako przykład będziemy pracować na Windows Server 2016 lub Windows Server2021-2022.
W poniższym samouczku wideo można również dowiedzieć się, jak zablokować urządzenie USB za pomocą zasad grupy lub obiektów zasad grupy w taki sposób, aby uniemożliwić określonym komputerom dostęp do portów USB. Ważne jest, aby to kontrolować, aby zachować bezpieczeństwo firmy.
1. Otwórz Edytor zasad domeny Windows Server 2016,2021-2022
Krok 1
Aby otworzyć edytor i tym samym skonfigurować odpowiedni obiekt GPO, przejdziemy do menu Start i wybierzemy opcję „Wszystkie aplikacje”.
Krok 2
W oknie Wszystkie aplikacje zlokalizujemy pole Narzędzia administracyjne i tam wybieramy opcję Zarządzanie zasadami grupy.
Krok 3
Wyświetli się następujące okno:
2. Blokuj USB przez GPO Windows Server 2016,2021-2022
Krok 1
Do tej analizy stworzyliśmy jednostkę organizacyjną o nazwie Solvetic_USB. W edytorze zasad grupy wyświetlimy naszą domenę, aby zobaczyć wspomnianą jednostkę organizacyjną.
Krok 2
Tam klikniemy prawym przyciskiem myszy na jednostkę organizacyjną „Solvetic_USB” i wybierzemy opcję „Utwórz GPO” w tej domenie i podlinkujemy ją tutaj.
Krok 3
Po naciśnięciu wskazanej opcji wyświetla się następujące okno, w którym musimy nadać nazwę, w tym przypadku wybieramy „Solvetic_Restriccion”.
Krok 4
Klikamy OK i widzimy, że nasza polityka została stworzona poprawnie. Teraz klikniemy prawym przyciskiem myszy politykę i wybierzemy opcję Edytuj.
POWIĘKSZAĆ
Krok 5
Otworzy się następujące okno:
Krok 6
Musimy udać się na następującą trasę:
- Dyrektywa Solvetic_Restriction
- Konfiguracja sprzętu
- Dyrektywy
- Szablony administracyjne
- System
- Dostęp do pamięci wymiennej
POWIĘKSZAĆ
Krok 7
Po prawej stronie widzimy, że mamy kilka opcji edycji polityki, z których najważniejsze to:
Odmowa dostępu do wykonywaniaJeśli włączymy tę zasadę, uniemożliwimy dostęp do wszelkich nośników wymiennych, które łączą się z komputerem w domenie.
Odmów dostępu do odczytuDzięki tej opcji możemy zezwolić użytkownikowi na zapisywanie lub kopiowanie informacji na USB, ale nie odczytywanie jego zawartości.
Odmów dostępu do zapisuTa opcja pozwala użytkownikowi odczytać informacje z USB, ale nie wprowadzać w nich zmian.
Wszystkie rodzaje pamięci wymiennych: odmów dostępu do wszystkiego: Jeśli włączymy tę opcję, uniemożliwimy użytkownikowi korzystanie z dowolnego rodzaju nośników wymiennych, takich jak USB, DVD, telefon komórkowy, MP4, MP5 itp.
W ten sam sposób możemy skonfigurować ograniczenia dla napędów CD, taśm, sesji zdalnych itp.
Krok 8
W tym przykładzie ograniczymy dostęp tylko do dysków USB, dla których zaznaczymy opcję „Dyski wymienne: odmów dostępu do wykonywania” i zobaczymy następujące okno.
Tam musimy wybrać opcję Włączone, aby zastosować tę zasadę do wybranej jednostki organizacyjnej. Kliknij Zastosuj, a następnie OK, aby sprawdzić poprawność zasad.
Krok 9
Sprawdzamy, czy zasady są włączone w jednostce organizacyjnej Solvetic_Retriccion.
POWIĘKSZAĆ
Krok 10
Po wykonaniu poprzedniego procesu i określeniu, do jakiego typu jednostek zastosujemy ograniczenie, poczekamy na zastosowanie polityki do komputerów w domenie lub możemy użyć następującego polecenia, aby wymusić politykę.
gpupdate / życieW ten sposób zapewniamy bezpieczeństwo w naszych domenach, uniemożliwiając dodawanie wymiennych urządzeń USB do komputerów organizacji, co może sprawiać różne problemy nam jako menedżerom obszaru IT. Blokując USB przez GPO, możemy uniemożliwić urządzeniom zewnętrznym łączenie się z naszą domeną, ponieważ możemy kontrolować urządzenia wymienne. Aby zakończyć zwracanie uwagi na te samouczki, które będą dla Ciebie interesujące, możesz kontrolować, którzy użytkownicy logują się do systemu Windows Server, a także dowiedzieć się, jak skonfigurować zaawansowane zasady audytu obiektów zasad grupy.
