Zákaz používání jednotek USB pomocí zásad skupiny Windows (GPO)

Při připojování nového zařízení USB k počítači systém Windows automaticky detekuje zařízení a nainstaluje příslušný ovladač, díky čemuž může uživatel téměř okamžitě připojit připojené zařízení USB nebo jednotku. V některých organizacích je z bezpečnostních důvodů blokována možnost použití jednotek USB (flash disky, USB HDD, SD karty atd.), Aby se zabránilo úniku důvěrných dat a pronikání virů do sítě. V tomto článku si ukážeme, jak pomocí Skupinové politiky (GPO) blokovat schopnost používat externí jednotky USB v systému Windows, zabránit zápisu dat na připojené jednotky flash a spouštět spustitelné soubory..

Obsah:

  • Zásady řízení přístupu Windows Media
  • Konfigurace objektu GPO pro uzamčení médií USB a dalších externích jednotek
  • Jak zabránit určitým uživatelům v používání jednotek USB
  • Blokování přístupu k jednotkám USB prostřednictvím registru a GPP

Zásady řízení přístupu Windows Media

Ve Windows se od Windows 7 / Vista objevila možnost poměrně flexibilní schopnosti řídit přístup k externím jednotkám (USB, CD / DVD atd.) Pomocí skupinových zásad. Nyní můžete programově zakázat používání jednotek USB bez ovlivnění zařízení USB, jako je myš, klávesnice, tiskárna atd..

Zásady blokování zařízení USB budou fungovat, pokud infrastruktura vaší domény AD splňuje následující požadavky:

  • Verze schématu služby Active Directory - Windows Server 2008 nebo novější [upozornění]Poznámka:. Sada zásad, které vám umožní plně řídit instalaci a použití vyměnitelných médií ve Windows, se objevila pouze v této verzi AD (schéma verze 44). [/ Alert]
  • Klientské operační systémy - Windows Vista, Windows 7 a vyšší
Poznámka:. Ve skupinových zásadách systému Windows XP neexistuje žádný způsob, jak omezit přístup k externím zařízením USB. Chcete-li omezit přístup k externím médiím v tomto operačním systému, museli jste používat produkty třetích stran nebo zakázat spouštění určitých ovladačů (UsbStor, Cdrom, Flpydisk, Sfloppy) ve větvi HKLM \ SYSTEM \ CurrentControlSet \ Services \ pomocí hodnoty klíčového parametru Start = 0. Od roku 2014 je však tento operační systém ukončen a v podnikových sítích se téměř nikdy nepoužívá..

Konfigurace objektu GPO pro uzamčení médií USB a dalších externích jednotek

Plánujeme tedy omezit používání jednotek USB na všech počítačích v konkrétním kontejneru (OU) domény (můžete použít zásadu zákazu používání USB na celou doménu, ale to bude mít také dopad na servery a jiná technologická zařízení). Předpokládejme, že chceme rozšířit politiku na OU s názvem Pracovní stanice. Chcete-li to provést, otevřete konzolu pro správu GPO domény (gpmc.msc) a kliknutím pravým tlačítkem myši na pracovní stanice OU vytvořte novou politiku (Vytvořit a GPO v toto doména a Odkaz to zde).

Tip. Pokud používáte volně stojící počítač, lze pravidla omezení používání portů USB upravit pomocí editoru místních skupinových zásad. - gpedit.msc. V domácí verzi systému Windows chybí editor místní skupiny, ale lze jej nainstalovat takto: v systému Windows 10, v systému Windows 7.

Říkejme politice Zakázat přístup USB.

Poté upravte jeho parametry (Upravit).

Nastavení blokování externích úložných zařízení jsou k dispozici v uživatelské a počítačové části GPO:

  • Konfigurace uživatele-> Zásady-> Šablony pro správu-> Systém-> Přístup k vyměnitelnému úložišti (Konfigurace uživatele -> Šablony pro správu -> Systém -> Přístup k vyměnitelným úložným zařízením)
  • Konfigurace počítače-> Zásady-> Šablony pro správu-> Systém-> Přístup k vyměnitelnému úložišti (Konfigurace počítače -> Šablony pro správu -> Systém -> Přístup k vyměnitelným úložným zařízením)

Pokud chcete blokovat jednotky USB pro všechny uživatele doménového počítače, musíte upravit zásady v části „Konfigurace počítače“. Rozbalte to.

V části „Přístup k vyměnitelným úložným zařízením“ (Odnímatelný Skladování Přístup) existuje několik zásad, které vám umožňují zakázat používání různých tříd paměťových zařízení: jednotky CD / DVD, diskety (FDD), zařízení USB, pásky atd..

  • CD a DVD: Odepřít provádění (CD a DVD: Odepřít přístup).
  • CD a DVD: Odepřít čtení (CD a DVD: Přístup odepřít čtení).
  • CD a DVD: Přístup odepřít zápisu (CD a DVD: Přístup odepřít zápisu).
  • Speciální třídy: Odepřít čtení (Vlastní třídy: Odepřít přístup pro čtení).
  • Speciální třídy: Odepřít přístup pro zápis.
  • Diskety: Zakázat přístup k provedení.
  • Diskety: Odepření přístupu ke čtení.
  • Diskety: Odepření přístupu pro zápis.
  • Vyměnitelné disky: Odepřít přístup k provádění.
  • Vyměnitelné disky: Odepření přístupu ke čtení.
  • Vyměnitelné disky: Odepření přístupu pro zápis.
  • Vyměnitelné třídy úložiště: Odepřít veškerý přístup.
  • Všechna vyměnitelná úložiště: Umožňují přímý přístup ve vzdálených relacích.
  • Páskové jednotky: Odepření přístupu.
  • Páskové jednotky: Odepření přístupu ke čtení.
  • Páskové jednotky: Odepření přístupu pro zápis.
  • Zařízení WPD: Přístup k odepření čtení je třída přenosných zařízení (přenosné zařízení Windows). Zahrnuje smartphony, tablety, přehrávače atd..
  • Zařízení WPD: Odepření přístupu pro zápis.

Jak vidíte, pro každou třídu zařízení můžete zakázat provádění spustitelných souborů (antivirová ochrana), zakázat čtení dat a psaní / editaci informací na externích médiích.

Nejkrutější restriktivní politika - Všechny Odnímatelný Skladování Třídy: Deny Všechny Přístup (Vyměnitelná úložná zařízení všech tříd: Odepřít přístup) - umožňuje zcela zakázat přístup k jakémukoli typu externího úložného zařízení. Chcete-li tuto zásadu povolit, otevřete ji a nastavte ji na Povolit.

Po aktivaci zásady a aktualizaci na klientech (gpupdate / force) systém detekuje externí připojená zařízení (nejen zařízení USB, ale také jakékoli externí jednotky), ale při pokusu o jejich otevření se objeví chyba přístupu:

Poloha není k dispozici

Jednotka není přístupná. Přístup byl odepřen

Tip. Podobné omezení můžete nastavit prostřednictvím registru vytvořením klíče ve větvi HKEY_CURRENT_USER (nebo větve HKEY_LOCAL_MACHINE) \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices Deny_all typu dword s hodnotou 00000001 .

Ve stejné části zásad můžete konfigurovat flexibilnější omezení používání externích jednotek USB.

Chcete-li například zakázat zápis dat na USB flash disky a další typy USB disků, stačí zapnout zásadu Odnímatelný Disk: Deny napsat přístup (Vyměnitelné jednotky: Odepření záznamu).

V takovém případě budou uživatelé moci číst data z jednotky flash, ale když se na ni pokusí zapsat informace, obdrží chybu přístupu:

Přístup k cílové složce byl odepřen

K provedení této akce potřebujete povolení

Používání politiky Odnímatelný Disky: Deny vykonat přístup (Vyměnitelné jednotky: Odepřít provádění) můžete zabránit spuštění spustitelných souborů a souborů skriptů z jednotek USB.

Jak zabránit určitým uživatelům v používání jednotek USB

Poměrně často je nutné zakázat používání jednotek USB všem uživatelům v doméně, s výjimkou například správců.

Toho lze nejsnadněji dosáhnout použitím filtrování zabezpečení v GPO. Například pro zabránění použití zásady blokování USB na skupinu správců domény.

  1. V konzole Správa zásad skupiny vyberte zásady Zakázat přístup USB..
  2. V části Filtrování zabezpečení přidejte skupinu Domain Admins.
  3. Přejděte na kartu Delegace a klikněte na tlačítko Upřesnit. V editoru nastavení zabezpečení určete, že skupině Domain Admins je zakázáno používat tento GPO (Použít zásady skupiny - Odepřít).

Pokud je úloha jiná: musíte povolit všem uživatelům kromě určité skupiny uživatelů používat disky USB, musíte přidat svou skupinu uživatelů s oprávněními ke čtení a používání GPO v nastavení zabezpečení zásad a ponechat oprávnění ke čtení pouze pro skupinu Authenticated Users nebo Domain Computers ( zrušte zaškrtnutí položky Použít zásady skupiny).

Blokování přístupu k jednotkám USB prostřednictvím registru a GPP

Přístup k externím zařízením můžete flexibilněji řídit konfigurací nastavení registru, která jsou nastavena výše popsanými zásadami pomocí mechanismu GPP (Group Policy Preferences). Všechny výše uvedené zásady odpovídají určitým klíčům registru ve větvi HKLM (nebo HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices (ve výchozím nastavení tato část není v registru). Chcete-li tuto zásadu povolit, musíte v zadaném klíči vytvořit nové zvýraznění s názvem třídy zařízení, ke které chcete zablokovat přístup (sloupec 2) a parametr REG_DWORD s typem omezení. Deny_Přečtěte si nebo Deny_Pište. Pokud je hodnota klíče stejná 1-  omezení je aktivní, pokud 0  - zákaz používání této třídy zařízení se nevztahuje.

Název zásadyPodsvícení s názvem GUID třídy zařízeníNázev nastavení registru
Diskety:
Odepřít přístup pro čtení
53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Diskety:
Odepřít přístup pro zápis
53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_write
CD a DVD:
Odepřít přístup pro čtení
53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_read
CD a DVD:
Odepřít přístup pro zápis
53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_write
Vyměnitelné disky:
Odepřít přístup pro čtení
53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Vyměnitelné disky:
Odepřít přístup pro zápis
53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_write
Ovladače pásky:
Odepřít přístup pro čtení
53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Ovladače pásky:
Odepřít přístup pro zápis
53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_write
Zařízení WPD:
Odepřít přístup pro čtení
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Deny_read
Zařízení WPD:
Odepřít přístup pro zápis
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Deny_write

Pomocí těchto klíčů registru a schopnosti cílit na zásady GPP pomocí cílení na úrovni položky můžete tedy flexibilně použít zásady, které omezují použití externích úložných zařízení na určité skupiny zabezpečení AD, weby, verze OS, OU a další vlastnosti počítače, až po WMI. dotazy. Můžete tedy nastavit, aby se zásady zámku USB vztahovaly pouze na počítače, které jsou (nejsou) v konkrétní skupině AD.

Poznámka:. Podobně můžete vytvořit vlastní zásady pro třídy zařízení, které nejsou v tomto seznamu uvedeny. Identifikátor třídy zařízení lze nalézt ve vlastnostech ovladače v hodnotě atributu Zařízení Třída GUID.Pokud se při pokusu naformátovat jednotku USB Flash systém řekne „Windows nemůže dokončit formátování“, použijte doporučení z článku Proč karta SD nebo jednotka Flash není naformátována