Тъй като пускането на USB 1.0 беше направено през 90 -те години, забелязахме големи промени до днес, не само във версията USB, ние сме в 3.0, но и в новите функции за съхранение, размер, сигурност, скорост и др. Когато сме в домейн, е важно да управляваме различните му компоненти, както и елементите, които могат да бъдат включени външно към него. Има устройства като USB, където е важно да се контролират сменяеми устройства и по този начин да се блокира USB GPO, за да се предотврати навлизането им в нашата мрежа. За да можем да извършваме този тип управление, ще имаме организационно звено, откъдето можем да създадем политика за блокиране на USB порт, за да изпълнява тази задача в Windows Server 2021-2022, Server 2022 или Server 2016.
Днес 95% от хората имат USB памет или за лични, организационни, поддръжка и т.н., и това е много важно, тъй като ние, които сме в средата на системите, можем да използваме USB памет за зареждане на операционна система от там (нещо не е било вероятно през 90 -те години), можем да съхраняваме голямо количество информация, до 256 GB, докато първото поколение USB достига само до 16 MB. Не само архивирането е важно за доброто управление на нашите Windows Server сървъри и компании. Различните настройки на политиката за сигурност са повече от жизненоважни.
Причини за блокиране на USBЗащо да блокираме достъпа до USB в нашите домейни с Windows Server? Причините са множество:
- За сигурност, за да се избегне кражба на информация.
- Поради фирмените политики, тъй като има деликатни данни или записи, които могат да се съхраняват в USB памет и оттам да имат лоша дестинация.
- За да се предотврати разпространението на вируси, тъй като много пъти USB стикове са свързани към компютри с домейн, без да преминават през антивирусно сканиране, и те съдържат различни видове вируси, които могат да се разпространят в мрежата и да засегнат различни компютри.
- За да подобрите производителността на компютъра, тъй като много хора инсталират програми или приложения директно от USB памет.
Както виждаме, има много причини, поради които е препоръчително да блокираме USB портове в нашия домейн, а също така е важно да подчертаем, че не всички компании блокират достъпа до USB портовете на своите служители. Чрез блокиране на USB устройства в компютри с домейн чрез GPO в Windows сървър гарантираме нежелани вмъквания. Този път ще анализираме как можем да блокираме USB портовете, използвайки групова политика. Като пример ще работим на Windows Server 2016 или Windows Server2021-2022.
В следния видеоурок можете също да научите как да блокирате USB устройство чрез групови правила или GPO по такъв начин, че да попречите на компютрите, които посочвате, да имат достъп до USB портовете. Важно е да се контролира това, за да се запази сигурността на компанията.
1. Отворете редактора на правила за домейн Windows Server 2016,2021-2022
Етап 1
За да отворите редактора и по този начин да конфигурирате съответния GPO, ще отидем в менюто "Старт" и изберете опцията "Всички приложения".
Стъпка 2
В прозореца Всички приложения ще намерим полето Административни инструменти и там избираме опцията Управление на груповите правила.
Стъпка 3
Ще се покаже следният прозорец:
2. Блокиране на USB чрез GPO Windows Server 2016,2021-2022
Етап 1
За този анализ създадохме организационна единица, наречена Solvetic_USB. В редактора на групови правила ще покажем нашия домейн, за да видим споменатата организационна единица.
Стъпка 2
Там щракваме с десния бутон върху организационната единица „Solvetic_USB“ и избираме опцията „Създаване на GPO“ в този домейн и я свързваме тук.
Стъпка 3
При натискане на посочената опция се показва следният прозорец, където трябва да зададем име, в този случай избираме „Solvetic_Restriccion“.
Стъпка 4
Щракваме върху OK и можем да видим, че нашата политика е създадена правилно. Сега щракваме с десния бутон върху политиката и избираме опцията Редактиране.
Увеличете
Стъпка 5
Отваря се следният прозорец:
Стъпка 6
Трябва да преминем към следния маршрут:
- Директива Solvetic_Restriction
- Настройка на оборудването
- Директиви
- Административни шаблони
- Система
- Подвижен достъп до хранилището
Увеличете
Стъпка 7
От дясната страна можем да видим, че имаме няколко опции за редактиране на политики, най -важната от които е:
Откажете изпълнението на достъпаАко активираме тази политика, ще предотвратим достъпа до всички сменяеми носители, които се свързват с компютър в домейна.
Забранете достъпа за четенеЧрез тази опция можем да позволим на потребителя да пише или копира информация на USB, но да не чете съдържанието му.
Забранете достъпа за записТази опция позволява на потребителя да чете информацията от USB, но не и да прави промени в нея.
Всички видове сменяеми хранилища: откажете достъп до всичко: Ако активираме тази опция, ще попречим на потребителя да използва всякакъв вид сменяеми носители като USB, DVD, мобилен телефон, MP4, MP5 и т.н.
По същия начин можем да конфигурираме ограничения за CD устройства, ленти, отдалечени сесии и т.н.
Стъпка 8
В този пример ще ограничим достъпа само до USB устройства, за които избираме опцията „Сменяеми дискове: отказ на достъп до изпълнение“ и ще видим следния прозорец.
Там трябва да изберете опцията Enabled, за да приложите тази политика към избраната организационна единица. Щракнете върху Прилагане и след това върху OK, за да потвърдите правилата.
Стъпка 9
Ние потвърждаваме, че политиката е активирана в OU Solvetic_Restriccion.
Увеличете
Стъпка 10
След като извършим предишния процес и определим към кой тип единици ще приложим ограничението, ще изчакаме политиката да се приложи към компютрите в домейна или можем да използваме следната команда, за да принудим политиката.
gpupdate / силаПо този начин ние осигуряваме сигурност в нашите домейни, като предотвратяваме добавянето на сменяеми USB устройства към компютрите на организацията, което може да причини различни проблеми за нас като мениджъри на ИТ областта. Чрез блокиране на USB чрез GPO можем да предотвратим свързването на външни устройства към нашия домейн, тъй като можем да контролираме сменяеми устройства. За да завършите обръщането на внимание на тези уроци, които ще ви интересуват, като можете да контролирате кои потребители влизат в Windows Server, в допълнение към това как да научите как да конфигурирате разширени политики за одит на GPO.