Hướng dẫn này bao gồm hướng dẫn từng bước về cách chặn thiết bị lưu trữ USB trên toàn bộ Miền hoặc trên người dùng miền cụ thể bằng cách sử dụng Chính sách Nhóm trong Miền AD 2016 hoặc 2012. Cụ thể hơn, sau khi đọc hướng dẫn trong hướng dẫn này, bạn sẽ tìm hiểu cách thực hiện để ngăn quyền truy cập vào bất kỳ thiết bị lưu trữ USB nào (ổ đĩa flash, ổ cứng ngoài, điện thoại thông minh, máy tính bảng, v.v.) có thể kết nối với bất kỳ máy tính nào trong miền hoặc từ chối quyền truy cập bộ nhớ USB chỉ dành cho người dùng miền cụ thể.
Ngày nay, nhiều người trong chúng ta sử dụng thiết bị lưu trữ USB để truyền dữ liệu. Tuy nhiên, đối với một tổ chức, việc nhân viên của tổ chức đó có thể sử dụng các thiết bị lưu trữ bên ngoài có thể chứa các rủi ro bảo mật, chẳng hạn như phát tán phần mềm độc hại hoặc chặn dữ liệu nhạy cảm. Để tránh những rủi ro này, bạn có thể đọc hướng dẫn sau để chặn quyền truy cập vào thiết bị lưu trữ USB đối với tất cả người dùng và máy tính trong miền của bạn hoặc chỉ những người dùng miền nhất định bằng cách sử dụng Chính sách nhóm. *
* Lưu ý:
1. Trong bài đăng này, để chặn ổ USB thông qua chính sách nhóm, chúng tôi đã sử dụng bộ điều khiển miền Active Directory 2016 để tạo chính sách nhóm mới và các máy trạm Windows 10 Pro &Windows 7 Pro để áp dụng chính sách này.
2. Chính sách "Chặn quyền truy cập USB" sẽ không ảnh hưởng đến Quản trị viên miền hoặc bất kỳ thiết bị USB nào được kết nối khác, chẳng hạn như Bàn phím USB, Chuột, Máy in, v.v.
3. Sau khi áp dụng Chính sách nhóm, người dùng sẽ không có quyền truy cập vào bất kỳ loại thiết bị lưu trữ USB nào và sẽ nhận được một trong các thông báo lỗi sau khi cố gắng truy cập thiết bị lưu trữ USB trên PC của họ.
Cách sử dụng Chính sách Nhóm để Ngăn Truy cập Thiết bị Lưu trữ USB (Máy chủ 2012 / 2012R2 / 2016)
- Phần 1. Chặn quyền truy cập đọc / ghi USB trên tất cả người dùng miền.
- Phần 2. Chặn quyền truy cập đọc / ghi USB đối với một số người dùng miền nhất định.
Phần 1. Cách chặn quyền truy cập vào thiết bị lưu trữ USB trên toàn bộ miền 2016.
Để vô hiệu hóa quyền truy cập vào bất kỳ thiết bị lưu trữ USB nào được kết nối với bất kỳ máy tính (người dùng) nào trên miền:
1. Trong Bộ điều khiển miền AD Server 2016, mở Trình quản lý máy chủ và sau đó từ Công cụ , mở Quản lý chính sách nhóm. *
* Ngoài ra, điều hướng đến Bảng điều khiển -> Công cụ quản trị -> Quản lý chính sách nhóm.
2. Trong Miền , chọn miền của bạn rồi nhấp chuột phải tại Chính sách miền mặc định và chọn Chỉnh sửa .
3. Trong 'Trình chỉnh sửa Quản lý Chính sách Nhóm', điều hướng đến:
- Cấu hình người dùng> Chính sách> Mẫu quản trị> Hệ thống> Quyền truy cập bộ nhớ di động
4. Ở ngăn bên phải, nhấp đúp vào: Đĩa có thể tháo rời:Từ chối quyền đọc. *
* Ghi chú:
1. Nhiều hướng dẫn tại thời điểm này đề xuất Bật ' Tất cả các lớp Bộ nhớ Di động:Từ chối mọi quyền truy cập' nhưng trong quá trình thử nghiệm, chúng tôi phát hiện ra rằng chính sách này không được áp dụng (hoạt động) cho điện thoại thông minh hoặc máy tính bảng.
2. Nếu bạn muốn chặn quyền truy cập Ghi vào USB, hãy chọn Đĩa có thể tháo rời:Từ chối quyền ghi.
5. Chọn Đã bật và nhấp vào OK.
6. Đóng Trình chỉnh sửa Chính sách Nhóm.
7. Khởi động lại máy chủ và máy khách hoặc chạy gpupdate / force lệnh áp dụng cài đặt chính sách nhóm mới (không cần khởi động lại) cho cả máy chủ và máy khách.
Phần 2. Cách Ngăn Truy cập Thiết bị Lưu trữ USB trên Người dùng Miền Cụ thể.
Để vô hiệu hóa quyền truy cập thiết bị lưu trữ USB cho những người dùng cụ thể chỉ bằng cách sử dụng chính sách nhóm, bạn phải tạo một nhóm với những người dùng không muốn truy cập thiết bị lưu trữ USB và sau đó áp dụng chính sách mới cho nhóm này. Để làm điều đó:
Bước 1. Tạo Nhóm với Người dùng USB bị Vô hiệu hóa. *
* Lưu ý:Nếu bạn đã tạo một nhóm với những người dùng USB bị vô hiệu hóa, hãy tiếp tục bước 2.
1. Mở Máy tính và người dùng Active Directory.
2. Nhấp chuột phải vào " Người dùng "trên ngăn bên trái và chọn Mới > Nhóm
3. Nhập tên cho nhóm mới (ví dụ:"Người dùng bị vô hiệu hóa USB") và nhấp vào OK . *
* Lưu ý:Chọn các tùy chọn 'Chung' và 'Bảo mật'.
4. Mở nhóm mới tạo, chọn Thành viên và nhấp vào Thêm
5. Bây giờ, hãy chọn (những) người dùng miền mà bạn muốn chặn thiết bị Bộ nhớ USB và sau đó nhấp vào OK.
6. Nhấp vào OK để đóng các thuộc tính của nhóm.
Bước 2. Tạo đối tượng chính sách nhóm mới để tắt thiết bị lưu trữ USB.
1. Mở Quản lý chính sách nhóm.
2. Trong đối tượng 'Tên miền', nhấp chuột phải vào tên miền của bạn và chọn Tạo GPO trong tên miền này và Liên kết nó ở đây.
3. Nhập tên cho GPO mới (ví dụ:"Đã tắt USB") và nhấp vào OK.
4. Nhấp chuột phải vào GPO mới và nhấp vào Chỉnh sửa.
5. Trong 'Trình chỉnh sửa Quản lý Chính sách Nhóm', điều hướng đến:
- Cấu hình người dùng> Chính sách> Mẫu quản trị> Hệ thống> Quyền truy cập bộ nhớ di động
4. Ở ngăn bên phải, nhấp đúp vào: Đĩa có thể tháo rời:Từ chối quyền đọc. *
* Lưu ý:
1. Nhiều hướng dẫn tại thời điểm này đề xuất Bật ' Tất cả các lớp Bộ nhớ Di động:Từ chối mọi quyền truy cập' nhưng trong quá trình thử nghiệm, chúng tôi phát hiện ra rằng chính sách này không được áp dụng (hoạt động) cho điện thoại thông minh hoặc máy tính bảng.
2. Nếu bạn muốn chặn quyền truy cập Ghi vào USB, hãy chọn Đĩa có thể tháo rời:Từ chối quyền ghi.
5. Chọn Đã bật và nhấp vào OK.
6. Đóng Trình chỉnh sửa quản lý chính sách nhóm cửa sổ.
7. Quay lại 'Quản lý chính sách nhóm', chọn GPO "Đã tắt USB" và tại tab 'Phạm vi', nhấp vào Thêm (trong cài đặt 'Lọc bảo mật').
8. Nhập tên của nhóm "Người dùng bị vô hiệu hóa USB" (ví dụ:"Người dùng USB bị Vô hiệu hóa" trong bài đăng này) và nhấp vào OK .
9. Khi hoàn tất, hãy chọn Ủy quyền tab.
10. Tại tab 'Ủy quyền', chọn Người dùng được xác thực và nhấp vào Nâng cao.
11 . Tại Tùy chọn bảo mật, chọn Người dùng được xác thực và bỏ chọn Áp dụng chính sách nhóm hộp kiểm. Khi hoàn tất, hãy nhấp vào OK.
6. Đóng Trình chỉnh sửa Chính sách Nhóm.
7. Khởi động lại máy chủ và máy khách hoặc chạy " gpupdate / force "lệnh (với tư cách là quản trị viên), để áp dụng cài đặt chính sách nhóm mới (không cần khởi động lại) cho cả máy chủ và máy khách.
Vậy là xong! Hãy cho tôi biết nếu hướng dẫn này đã giúp bạn bằng cách để lại nhận xét của bạn về trải nghiệm của bạn. Hãy thích và chia sẻ hướng dẫn này để giúp đỡ những người khác.