Při připojování nového zařízení USB k počítači systém Windows automaticky detekuje zařízení a nainstaluje příslušný ovladač, díky čemuž může uživatel téměř okamžitě připojit připojené zařízení USB nebo jednotku. V některých organizacích je z bezpečnostních důvodů blokována možnost použití jednotek USB (flash disky, USB HDD, SD karty atd.), Aby se zabránilo úniku důvěrných dat a pronikání virů do sítě. V tomto článku si ukážeme, jak pomocí Skupinové politiky (GPO) blokovat schopnost používat externí jednotky USB v systému Windows, zabránit zápisu dat na připojené jednotky flash a spouštět spustitelné soubory..
Obsah:
- Zásady řízení přístupu Windows Media
- Konfigurace objektu GPO pro uzamčení médií USB a dalších externích jednotek
- Jak zabránit určitým uživatelům v používání jednotek USB
- Blokování přístupu k jednotkám USB prostřednictvím registru a GPP
Zásady řízení přístupu Windows Media
Ve Windows se od Windows 7 / Vista objevila možnost poměrně flexibilní schopnosti řídit přístup k externím jednotkám (USB, CD / DVD atd.) Pomocí skupinových zásad. Nyní můžete programově zakázat používání jednotek USB bez ovlivnění zařízení USB, jako je myš, klávesnice, tiskárna atd..
Zásady blokování zařízení USB budou fungovat, pokud infrastruktura vaší domény AD splňuje následující požadavky:
- Verze schématu služby Active Directory - Windows Server 2008 nebo novější [upozornění]Poznámka:. Sada zásad, které vám umožní plně řídit instalaci a použití vyměnitelných médií ve Windows, se objevila pouze v této verzi AD (schéma verze 44). [/ Alert]
- Klientské operační systémy - Windows Vista, Windows 7 a vyšší
Konfigurace objektu GPO pro uzamčení médií USB a dalších externích jednotek
Plánujeme tedy omezit používání jednotek USB na všech počítačích v konkrétním kontejneru (OU) domény (můžete použít zásadu zákazu používání USB na celou doménu, ale to bude mít také dopad na servery a jiná technologická zařízení). Předpokládejme, že chceme rozšířit politiku na OU s názvem Pracovní stanice. Chcete-li to provést, otevřete konzolu pro správu GPO domény (gpmc.msc) a kliknutím pravým tlačítkem myši na pracovní stanice OU vytvořte novou politiku (Vytvořit a GPO v toto doména a Odkaz to zde).
Tip. Pokud používáte volně stojící počítač, lze pravidla omezení používání portů USB upravit pomocí editoru místních skupinových zásad. - gpedit.msc. V domácí verzi systému Windows chybí editor místní skupiny, ale lze jej nainstalovat takto: v systému Windows 10, v systému Windows 7.Říkejme politice Zakázat přístup USB.
Poté upravte jeho parametry (Upravit).
Nastavení blokování externích úložných zařízení jsou k dispozici v uživatelské a počítačové části GPO:
- Konfigurace uživatele-> Zásady-> Šablony pro správu-> Systém-> Přístup k vyměnitelnému úložišti (Konfigurace uživatele -> Šablony pro správu -> Systém -> Přístup k vyměnitelným úložným zařízením)
- Konfigurace počítače-> Zásady-> Šablony pro správu-> Systém-> Přístup k vyměnitelnému úložišti (Konfigurace počítače -> Šablony pro správu -> Systém -> Přístup k vyměnitelným úložným zařízením)
Pokud chcete blokovat jednotky USB pro všechny uživatele doménového počítače, musíte upravit zásady v části „Konfigurace počítače“. Rozbalte to.
V části „Přístup k vyměnitelným úložným zařízením“ (Odnímatelný Skladování Přístup) existuje několik zásad, které vám umožňují zakázat používání různých tříd paměťových zařízení: jednotky CD / DVD, diskety (FDD), zařízení USB, pásky atd..
- CD a DVD: Odepřít provádění (CD a DVD: Odepřít přístup).
- CD a DVD: Odepřít čtení (CD a DVD: Přístup odepřít čtení).
- CD a DVD: Přístup odepřít zápisu (CD a DVD: Přístup odepřít zápisu).
- Speciální třídy: Odepřít čtení (Vlastní třídy: Odepřít přístup pro čtení).
- Speciální třídy: Odepřít přístup pro zápis.
- Diskety: Zakázat přístup k provedení.
- Diskety: Odepření přístupu ke čtení.
- Diskety: Odepření přístupu pro zápis.
- Vyměnitelné disky: Odepřít přístup k provádění.
- Vyměnitelné disky: Odepření přístupu ke čtení.
- Vyměnitelné disky: Odepření přístupu pro zápis.
- Vyměnitelné třídy úložiště: Odepřít veškerý přístup.
- Všechna vyměnitelná úložiště: Umožňují přímý přístup ve vzdálených relacích.
- Páskové jednotky: Odepření přístupu.
- Páskové jednotky: Odepření přístupu ke čtení.
- Páskové jednotky: Odepření přístupu pro zápis.
- Zařízení WPD: Přístup k odepření čtení je třída přenosných zařízení (přenosné zařízení Windows). Zahrnuje smartphony, tablety, přehrávače atd..
- Zařízení WPD: Odepření přístupu pro zápis.
Jak vidíte, pro každou třídu zařízení můžete zakázat provádění spustitelných souborů (antivirová ochrana), zakázat čtení dat a psaní / editaci informací na externích médiích.
Nejkrutější restriktivní politika - Všechny Odnímatelný Skladování Třídy: Deny Všechny Přístup (Vyměnitelná úložná zařízení všech tříd: Odepřít přístup) - umožňuje zcela zakázat přístup k jakémukoli typu externího úložného zařízení. Chcete-li tuto zásadu povolit, otevřete ji a nastavte ji na Povolit.
Po aktivaci zásady a aktualizaci na klientech (gpupdate / force) systém detekuje externí připojená zařízení (nejen zařízení USB, ale také jakékoli externí jednotky), ale při pokusu o jejich otevření se objeví chyba přístupu:
Poloha není k dispozici
Jednotka není přístupná. Přístup byl odepřen
Ve stejné části zásad můžete konfigurovat flexibilnější omezení používání externích jednotek USB.
Chcete-li například zakázat zápis dat na USB flash disky a další typy USB disků, stačí zapnout zásadu Odnímatelný Disk: Deny napsat přístup (Vyměnitelné jednotky: Odepření záznamu).
V takovém případě budou uživatelé moci číst data z jednotky flash, ale když se na ni pokusí zapsat informace, obdrží chybu přístupu:
Přístup k cílové složce byl odepřen
K provedení této akce potřebujete povolení
Používání politiky Odnímatelný Disky: Deny vykonat přístup (Vyměnitelné jednotky: Odepřít provádění) můžete zabránit spuštění spustitelných souborů a souborů skriptů z jednotek USB.
Jak zabránit určitým uživatelům v používání jednotek USB
Poměrně často je nutné zakázat používání jednotek USB všem uživatelům v doméně, s výjimkou například správců.
Toho lze nejsnadněji dosáhnout použitím filtrování zabezpečení v GPO. Například pro zabránění použití zásady blokování USB na skupinu správců domény.
- V konzole Správa zásad skupiny vyberte zásady Zakázat přístup USB..
- V části Filtrování zabezpečení přidejte skupinu Domain Admins.
- Přejděte na kartu Delegace a klikněte na tlačítko Upřesnit. V editoru nastavení zabezpečení určete, že skupině Domain Admins je zakázáno používat tento GPO (Použít zásady skupiny - Odepřít).
Pokud je úloha jiná: musíte povolit všem uživatelům kromě určité skupiny uživatelů používat disky USB, musíte přidat svou skupinu uživatelů s oprávněními ke čtení a používání GPO v nastavení zabezpečení zásad a ponechat oprávnění ke čtení pouze pro skupinu Authenticated Users nebo Domain Computers ( zrušte zaškrtnutí položky Použít zásady skupiny).
Blokování přístupu k jednotkám USB prostřednictvím registru a GPP
Přístup k externím zařízením můžete flexibilněji řídit konfigurací nastavení registru, která jsou nastavena výše popsanými zásadami pomocí mechanismu GPP (Group Policy Preferences). Všechny výše uvedené zásady odpovídají určitým klíčům registru ve větvi HKLM (nebo HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices (ve výchozím nastavení tato část není v registru). Chcete-li tuto zásadu povolit, musíte v zadaném klíči vytvořit nové zvýraznění s názvem třídy zařízení, ke které chcete zablokovat přístup (sloupec 2) a parametr REG_DWORD s typem omezení. Deny_Přečtěte si nebo Deny_Pište. Pokud je hodnota klíče stejná 1- omezení je aktivní, pokud 0 - zákaz používání této třídy zařízení se nevztahuje.
| Název zásady | Podsvícení s názvem GUID třídy zařízení | Název nastavení registru |
| Diskety: Odepřít přístup pro čtení | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Diskety: Odepřít přístup pro zápis | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| CD a DVD: Odepřít přístup pro čtení | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| CD a DVD: Odepřít přístup pro zápis | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Vyměnitelné disky: Odepřít přístup pro čtení | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Vyměnitelné disky: Odepřít přístup pro zápis | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Ovladače pásky: Odepřít přístup pro čtení | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Ovladače pásky: Odepřít přístup pro zápis | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Zařízení WPD: Odepřít přístup pro čtení | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_read |
| Zařízení WPD: Odepřít přístup pro zápis | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_write |
Pomocí těchto klíčů registru a schopnosti cílit na zásady GPP pomocí cílení na úrovni položky můžete tedy flexibilně použít zásady, které omezují použití externích úložných zařízení na určité skupiny zabezpečení AD, weby, verze OS, OU a další vlastnosti počítače, až po WMI. dotazy. Můžete tedy nastavit, aby se zásady zámku USB vztahovaly pouze na počítače, které jsou (nejsou) v konkrétní skupině AD.
Poznámka:. Podobně můžete vytvořit vlastní zásady pro třídy zařízení, které nejsou v tomto seznamu uvedeny. Identifikátor třídy zařízení lze nalézt ve vlastnostech ovladače v hodnotě atributu Zařízení Třída GUID.Pokud se při pokusu naformátovat jednotku USB Flash systém řekne „Windows nemůže dokončit formátování“, použijte doporučení z článku Proč karta SD nebo jednotka Flash není naformátována
