Khi kết nối thiết bị USB mới với máy tính, Windows sẽ tự động phát hiện thiết bị và cài đặt trình điều khiển thích hợp. Do đó, người dùng gần như có thể sử dụng ngay thiết bị hoặc ổ USB được kết nối. Ở một số tổ chức, việc sử dụng thiết bị lưu trữ USB (ổ đĩa flash, USB HDD, thẻ SD, v.v.) bị chặn vì lý do bảo mật để ngăn chặn rò rỉ dữ liệu nhạy cảm và lây nhiễm cho máy tính. Bài viết này mô tả cách sử dụng Chính sách Nhóm (GPO) để vô hiệu hóa các ổ USB di động bên ngoài.
Định cấu hình GPO để tắt thiết bị lưu trữ USB trên máy tính miền
Trong tất cả các phiên bản Windows, bắt đầu từ Windows 7, bạn có thể quản lý linh hoạt quyền truy cập vào các ổ đĩa ngoài (USB, CD / DVD, đĩa mềm, băng từ, v.v.) bằng Chính sách nhóm (chúng tôi không xem xét một cách triệt để để tắt cổng USB thông qua cài đặt BIOS ). Có thể lập trình chặn chỉ sử dụng ổ USB mà không ảnh hưởng đến các thiết bị USB như chuột, bàn phím, máy in, v.v. (không được nhận dạng là đĩa di động).
Chính sách chặn thiết bị USB sẽ hoạt động nếu cơ sở hạ tầng của miền AD của bạn đáp ứng các yêu cầu sau:
- Phiên bản giản đồ Active Directory - Windows Server 2008 hoặc mới hơn; Lưu ý . Bộ Chính sách nhóm cho phép kiểm soát việc cài đặt và sử dụng phương tiện di động trên Windows chỉ xuất hiện trong phiên bản AD 44.
- Hệ điều hành dành cho máy tính để bàn –Windows 7 hoặc mới hơn.
Chúng tôi sẽ hạn chế việc sử dụng ổ USB cho tất cả các máy tính trong một vùng chứa AD (OU) nhất định. Bạn có thể áp dụng chính sách chặn USB cho toàn bộ miền nhưng điều này sẽ ảnh hưởng đến máy chủ và các thiết bị công nghệ khác. Giả sử rằng chúng tôi muốn áp dụng chính sách cho đơn vị tổ chức có tên Máy trạm . Để thực hiện, hãy mở bảng điều khiển quản lý GPO ( gpmc.msc ), nhấp chuột phải vào Máy trạm OU và tạo một chính sách mới ( Tạo GPO trong miền này và Liên kết nó ở đây. )
Mẹo . Trong trường hợp máy tính độc lập, bạn có thể chỉnh sửa chính sách hạn chế thiết bị USB bằng Trình chỉnh sửa chính sách nhóm cục bộ - gpedit.msc . Local Group Policy Editor không có sẵn trong các phiên bản Windows Home, nhưng bạn có thể cài đặt nó như sau:Cách bật gpedit.msc trên Windows 10 Home.
Đặt tên GPO “ Tắt quyền truy cập USB” .
Sửa đổi cài đặt GPO ( Chỉnh sửa ).
Các cài đặt để chặn thiết bị lưu trữ bên ngoài có sẵn trong cả phần Người dùng và Máy tính của GPO:
- Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Hệ thống -> Quyền truy cập bộ nhớ di động.
- Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Hệ thống -> Quyền truy cập bộ nhớ di động.
Trong Quyền truy cập bộ nhớ di động , có một số chính sách cho phép bạn vô hiệu hóa việc sử dụng các loại lớp lưu trữ khác nhau - CD / DVD, FDD, thiết bị USB, băng, v.v.
- CD và DVD:Từ chối quyền truy cập thực thi.
- CD và DVD:Từ chối quyền đọc.
- CD và DVD:Từ chối quyền ghi.
- Lớp tùy chỉnh:Từ chối quyền đọc.
- Lớp tùy chỉnh:Từ chối quyền ghi.
- Ổ đĩa mềm:Từ chối quyền truy cập thực thi.
- Ổ đĩa mềm:Từ chối quyền truy cập đã đọc.
- Ổ đĩa mềm:Từ chối quyền ghi.
- Đĩa có thể tháo rời:Từ chối quyền truy cập thực thi.
- Đĩa có thể tháo rời:Từ chối quyền truy cập đã đọc.
- Đĩa có thể tháo rời:Từ chối quyền ghi.
- Tất cả các lớp Bộ nhớ di động:Từ chối mọi quyền truy cập.
- Tất cả bộ nhớ có thể tháo rời:Cho phép truy cập trực tiếp trong các phiên từ xa.
- Ổ đĩa băng:Từ chối quyền truy cập thực thi.
- Ổ đĩa băng:Từ chối quyền truy cập đã đọc.
- Ổ đĩa băng:Từ chối quyền ghi.
- Thiết bị di động Windows - nhóm này bao gồm điện thoại thông minh, máy tính bảng, máy nghe nhạc, v.v.
- Thiết bị WPD:Từ chối quyền ghi.
Như bạn thấy, bạn có thể từ chối việc khởi chạy các tệp thực thi cho từng lớp thiết bị (bảo vệ máy tính khỏi vi rút), cấm đọc dữ liệu và ghi / chỉnh sửa tệp trên phương tiện bên ngoài.
Chính sách hạn chế "mạnh nhất" - Tất cả các lớp bộ nhớ di động:Từ chối mọi quyền truy cập - cho phép vô hiệu hóa hoàn toàn quyền truy cập vào tất cả các loại thiết bị lưu trữ bên ngoài. Để bật chính sách, hãy mở chính sách và chọn Bật .
Sau khi bật và cập nhật chính sách trên máy tính khách ( gpupdate / force ), hệ điều hành phát hiện các thiết bị bên ngoài được kết nối (không chỉ thiết bị USB, mà còn bất kỳ ổ đĩa ngoài nào), nhưng khi cố gắng mở chúng, lỗi xuất hiện:
Location is not available Drive is not accessible. Access is denied.
Mẹo . Có thể đặt hạn chế tương tự bằng cách sử dụng sổ đăng ký bằng cách tạo tham số DWORD Deny_All với giá trị 00000001 trong khóa đăng ký HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices .
Trong cùng một phần chính sách, bạn có thể định cấu hình các hạn chế linh hoạt hơn đối với việc sử dụng ổ USB bên ngoài.
Ví dụ:để ngăn ghi dữ liệu vào ổ đĩa flash USB và các loại ổ USB khác, bạn nên bật chính sách Đĩa có thể tháo rời:Từ chối quyền ghi .
Trong trường hợp này, người dùng có thể đọc dữ liệu từ ổ USB flash, nhưng khi họ cố gắng ghi thông tin vào đó, họ sẽ nhận được lỗi bị từ chối truy cập:
Destination Folder Access Denied You need permission to perform this action
Bạn có thể ngăn các tệp thực thi và tập lệnh chạy từ ổ USB bằng cách sử dụng Đĩa có thể tháo rời:Từ chối quyền truy cập thực thi chính sách.
Tắt Ổ USB qua GPO cho Người dùng Cụ thể
Rất thường xuyên, cần phải chặn ổ USB cho tất cả người dùng trong miền ngoại trừ quản trị viên.
Cách dễ nhất để làm điều này là sử dụng Lọc bảo mật trong GPO. Ví dụ:để ngăn chính sách chặn USB được áp dụng cho nhóm Quản trị viên miền:
- Chọn Tắt quyền truy cập USB của bạn chính sách trong bảng điều khiển Quản lý chính sách nhóm;
- Trong Lọc bảo mật , thêm Quản trị viên miền tập đoàn;
- Đi tới Ủy quyền và nhấp vào tab Nâng cao . Trong trình chỉnh sửa cài đặt bảo mật, hãy chỉ định rằng nhóm Quản trị viên miền không được phép áp dụng GPO này ( Áp dụng chính sách nhóm - Từ chối ).
Có thể có một nhiệm vụ khác - bạn cần cho phép sử dụng ổ USB bên ngoài cho tất cả mọi người ngoại trừ một nhóm người dùng nhất định. Tạo nhóm bảo mật “Từ chối USB” và thêm nhóm này vào cài đặt bảo mật của GPO. Đối với nhóm này, hãy đặt quyền đọc và áp dụng GPO và chỉ để lại quyền đọc cho Người dùng đã xác thực hoặc Máy tính miền nhóm (bằng cách bỏ chọn Áp dụng chính sách nhóm hộp kiểm).
Chặn USB và thiết bị có thể tháo rời thông qua tùy chọn đăng ký và chính sách nhóm
Bạn có thể kiểm soát linh hoạt hơn quyền truy cập vào các thiết bị bên ngoài bằng cách định cấu hình cài đặt sổ đăng ký được thiết lập bởi các chính sách được thảo luận ở trên thông qua Tùy chọn Chính sách Nhóm (GPP). Tất cả các chính sách trên tương ứng với một số khóa đăng ký nhất định trong HKLM (hoặc HKCU ) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices khóa (theo mặc định khóa đăng ký này bị thiếu).
Để bật một trong các chính sách này, bạn phải tạo một khóa con mới trong khóa được chỉ định với tên của lớp thiết bị mà bạn muốn chặn quyền truy cập (cột 2) và tham số REG_DWORD với loại ràng buộc ( Deny_Read , Deny_Write hoặc Deny_Execute ). Nếu giá trị của tham số này bằng 1 , giới hạn USB đang hoạt động, nếu 0 - không có lệnh rút lại trên lớp thiết bị này.
Tên chính sách | HƯỚNG DẪN Lớp Thiết Bị | Tên thông số đăng ký |
Ổ đĩa mềm: Từ chối quyền đọc | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Ổ đĩa mềm: Từ chối quyền ghi | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
CD và DVD: Từ chối quyền đọc | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
CD và DVD: Từ chối quyền ghi | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
Đĩa Di động: Từ chối quyền đọc | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Đĩa Di động: Từ chối quyền ghi | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
Ổ đĩa băng: Từ chối quyền truy cập đọc | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Ổ đĩa băng: Từ chối quyền ghi | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
Thiết bị WPD: Từ chối quyền đọc | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | Deny_Read |
Thiết bị WPD: Từ chối quyền ghi | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | Deny_Write |
Bạn có thể tạo thủ công các khóa và tham số đăng ký được chỉ định. Trong ảnh chụp màn hình bên dưới, tôi đã tạo RemovableStorageDevices khóa và khóa con có tên {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Với sự trợ giúp của các tham số REG_DWORD, tôi đã cấm ghi và chạy tệp thực thi từ ổ USB.
Việc tắt bộ nhớ USB sẽ có hiệu lực ngay sau khi chính sách được áp dụng (không cần khởi động lại máy tính của bạn). Nếu ổ đĩa flash USB được kết nối với máy tính, nó sẽ khả dụng cho đến khi được kết nối lại.
Bạn có thể sử dụng các khóa đăng ký này và nhắm mục tiêu theo cấp Mặt hàng của GPP để áp dụng linh hoạt các chính sách hạn chế việc sử dụng thiết bị lưu trữ USB bên ngoài. Bạn có thể áp dụng các chính sách cho các nhóm, trang web, phiên bản hệ điều hành, đơn vị tổ chức bảo mật AD cụ thể (bạn có thể sử dụng cả bộ lọc WMI). Ví dụ:bạn có thể tạo Lưu trữ-Thiết bị-Hạn chế nhóm miền và thêm tài khoản máy tính mà bạn muốn hạn chế sử dụng ổ USB. Nhóm này được chỉ định trong chính sách GPP của bạn trong Nhắm mục tiêu theo cấp độ mặt hàng -> Nhóm bảo mật với Máy tính trong tùy chọn Nhóm. Điều này sẽ áp dụng chính sách chặn USB cho các máy tính được thêm vào nhóm QUẢNG CÁO này.
Lưu ý . Tương tự, bạn có thể tạo các chính sách của riêng mình cho các lớp thiết bị không được liệt kê trong danh sách này. Bạn có thể tìm ra ID lớp thiết bị trong thuộc tính trình điều khiển trong giá trị của HƯỚNG DẪN Lớp Thiết Bị thuộc tính.
Tắt Trình điều khiển Bộ nhớ USB qua Sổ đăng ký
Bạn có thể tắt hoàn toàn USBSTOR (Trình điều khiển bộ nhớ chung USB) trình điều khiển, được yêu cầu để phát hiện và lắp các thiết bị lưu trữ USB một cách chính xác.
Trên máy tính độc lập, bạn có thể tắt trình điều khiển này bằng cách thay đổi giá trị của Bắt đầu tham số đăng ký từ 3 đến 4 . Bạn có thể thực hiện việc này thông qua PowerShell:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4
Khởi động lại máy tính của bạn và cố gắng kết nối thiết bị lưu trữ USB của bạn. Bây giờ nó sẽ không xuất hiện trong File Explorer hoặc bảng điều khiển Disk Management và trong Device Manager, bạn sẽ thấy lỗi cài đặt trình điều khiển thiết bị.
Lưu ý . Đây là cách duy nhất để tắt ổ USB trong Windows XP / Windows Server 2003 đã lỗi thời, vì trong các phiên bản này không có cài đặt Chính sách Nhóm riêng để hạn chế quyền truy cập vào các thiết bị USB bên ngoài.Bạn có thể tắt trình điều khiển USBSTOR chạy trên máy tính miền bằng Tùy chọn Chính sách Nhóm. Để thực hiện việc này, bạn cần thực hiện các thay đổi đối với sổ đăng ký thông qua GPO.
Các cài đặt này có thể được triển khai cho tất cả các máy tính trong miền. Tạo chính sách nhóm mới, liên kết nó với đơn vị tổ chức với máy tính và trong Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Đăng ký , tạo một tham số mới với các giá trị:
- Hành động :Cập nhật
- Hive :HKEY_LOCAK_MACHINE
- Đường dẫn chính :SYSTEM \ CurrentControlSet \ Services \ USBSTOR
- Tên giá trị :Bắt đầu
- Loại giá trị :REG_DWORD
- Dữ liệu giá trị :00000004
Chỉ cho phép kết nối một thiết bị lưu trữ USB cụ thể
Bạn có thể sử dụng một cài đặt đăng ký nhất định để cho phép một ổ lưu trữ USB cụ thể (đã được phê duyệt) kết nối với máy tính của bạn. Hãy xem nhanh cách có thể định cấu hình phần mềm này.
Khi bạn kết nối bất kỳ thiết bị lưu trữ USB nào với máy tính, USBSTOR trình điều khiển cài đặt thiết bị và tạo khóa đăng ký riêng trong HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR . Khóa đăng ký này chứa thông tin về ổ USB (ví dụ:Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00).
Bạn có thể liệt kê các ổ USB đã từng được kết nối với máy tính của mình bằng lệnh PowerShell sau:
Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName
Bạn có thể xóa tất cả các khóa đăng ký cho các ổ đĩa flash USB đã kết nối trước đó, ngoại trừ những khóa bạn cần.
Sau đó, bạn cần thay đổi quyền trên khóa đăng ký USBSTOR để mọi người (bao gồm HỆ THỐNG và quản trị viên) chỉ có quyền đọc. Do đó, khi bạn kết nối bất kỳ ổ USB nào, ngoại trừ ổ được cho phép, Windows sẽ không thể cài đặt thiết bị.