Zakaz używania napędów USB przy użyciu Zasad grupy systemu Windows (GPO)

Po podłączeniu nowego urządzenia USB do komputera system Windows automatycznie wykrywa urządzenie i instaluje odpowiedni sterownik, dzięki czemu użytkownik może niemal natychmiast korzystać z podłączonego urządzenia USB lub napędu. W niektórych organizacjach, aby zapobiec wyciekom poufnych danych i przenikaniu wirusów do sieci, możliwość korzystania z napędów USB (dyski flash, dyski twarde USB, karty SD itp.) Jest zablokowana ze względów bezpieczeństwa. W tym artykule pokażemy, jak korzystać z zasad grupy (GPO), aby zablokować możliwość korzystania z zewnętrznych dysków USB w systemie Windows, aby zapobiec zapisywaniu danych na podłączonych dyskach flash i uruchamianiu plików wykonywalnych.

Treść

  • Zasady kontroli dostępu do Windows Media
  • Konfigurowanie obiektu zasad grupy do blokowania nośników USB i innych napędów zewnętrznych
  • Jak uniemożliwić niektórym użytkownikom korzystanie z napędów USB
  • Blokowanie dostępu do dysków USB przez rejestr i GPP

Zasady kontroli dostępu do Windows Media

W systemie Windows, począwszy od Windows 7 / Vista, pojawiła się możliwość dość elastycznej kontroli dostępu do zewnętrznych napędów (USB, CD / DVD itp.) Za pomocą zasad grupy. Teraz możesz programowo zabronić używania napędów USB bez wpływu na urządzenia USB, takie jak mysz, klawiatura, drukarka itp..

Zasady blokowania urządzeń USB będą działać, jeśli infrastruktura domeny AD spełnia następujące wymagania:

  • Wersja schematu usługi Active Directory - Windows Server 2008 lub nowszy [ostrzeżenie]Uwaga. Zestaw zasad, które pozwalają w pełni kontrolować instalację i korzystanie z nośników wymiennych w systemie Windows, pojawił się tylko w tej wersji AD (wersja programu 44). [/ Alert]
  • System operacyjny klienta - Windows Vista, Windows 7 i nowszy
Uwaga. W zasadach grupowych systemu Windows XP nie ma możliwości ograniczenia dostępu do zewnętrznych urządzeń USB. Aby ograniczyć dostęp do mediów zewnętrznych w tym systemie operacyjnym, trzeba było używać produktów innych firm lub zabronić uruchamiania niektórych sterowników (UsbStor, Cdrom, Flpydisk, Sfloppy) w gałęzi HKLM \ SYSTEM \ CurrentControlSet \ Services \ przy użyciu parametru parametru kluczowego Start = 0. Jednak od 2014 r. Ten system operacyjny został wycofany i prawie nigdy nie jest używany w sieciach korporacyjnych..

Konfigurowanie obiektu zasad grupy do blokowania nośników USB i innych napędów zewnętrznych

Planujemy więc ograniczyć użycie napędów USB na wszystkich komputerach w określonym kontenerze (OU) domeny (możesz zastosować zasadę zakazu używania USB w całej domenie, ale wpłynie to również na serwery i inne urządzenia technologiczne). Załóżmy, że chcemy rozszerzyć polisę na jednostkę organizacyjną o nazwie Stacje robocze. Aby to zrobić, otwórz konsolę zarządzania GPO domeny (gpmc.msc) i klikając prawym przyciskiem myszy stacje robocze OU, utwórz nowe zasady (Utwórz a) GPO w to domena i Link to tutaj).

Wskazówka. Jeśli używasz komputera wolnostojącego, zasady ograniczeń korzystania z portów USB można edytować za pomocą lokalnego edytora zasad grupy - gpedit.msc. W domowej wersji systemu Windows brakuje lokalnego edytora grup, ale można go zainstalować w następujący sposób: w systemie Windows 10, w systemie Windows 7.

Nazwijmy polityką Wyłącz dostęp USB.

Następnie edytuj jego parametry (Edytuj).

Ustawienia blokowania zewnętrznych urządzeń pamięci masowej znajdują się w sekcjach użytkownika i komputera obiektu zasad grupy:

  • Konfiguracja użytkownika-> Zasady-> Szablony administracyjne-> System-> Dostęp do magazynu wymiennego (Konfiguracja użytkownika -> Szablony administracyjne -> System -> Dostęp do wymiennych urządzeń pamięci masowej)
  • Konfiguracja komputera-> Zasady-> Szablony administracyjne-> System-> Dostęp do magazynu wymiennego (Konfiguracja komputera -> Szablony administracyjne -> System -> Dostęp do wymiennych urządzeń pamięci masowej)

Jeśli chcesz zablokować dyski USB dla wszystkich użytkowników komputera w domenie, musisz edytować zasady w sekcji „Konfiguracja komputera”. Rozwiń to.

W sekcji „Dostęp do wymiennych urządzeń pamięci masowej” (Wymienny Przechowywanie Access) istnieje kilka zasad, które umożliwiają wyłączenie korzystania z różnych klas urządzeń pamięci: napędy CD / DVD, dyskietki (FDD), urządzenia USB, taśmy itp..

  • Płyty CD i DVD: odmowa wykonania (CD i DVD: odmowa dostępu).
  • Płyty CD i DVD: odmowa odczytu (CD i DVD: odmowa dostępu do odczytu).
  • Płyty CD i DVD: odmowa dostępu do zapisu (CD i DVD: odmowa dostępu do zapisu).
  • Klasy specjalne: odmowa odczytu (klasy niestandardowe: odmowa dostępu do odczytu).
  • Zajęcia specjalne: Odmawiaj dostępu do zapisu.
  • Napędy dyskietek: odmowa wykonania dostępu.
  • Napędy dyskietek: odmowa dostępu do odczytu.
  • Napędy dyskietek: odmowa dostępu do zapisu.
  • Dyski wymienne: Odmawiaj dostępu.
  • Dyski wymienne: Odmawiaj dostępu do odczytu.
  • Dyski wymienne: odmowa dostępu do zapisu.
  • Wymienne klasy pamięci: Odmawiaj dostępu.
  • All Removable Storage: Zezwalaj na bezpośredni dostęp w sesjach zdalnych.
  • Napędy taśmowe: Odmawiaj dostępu.
  • Napędy taśmowe: Odmawiaj dostępu do odczytu.
  • Napędy taśmowe: Odmawiaj dostępu do zapisu.
  • Urządzenia WPD: odmowa dostępu do odczytu to klasa urządzeń przenośnych (urządzenie przenośne z systemem Windows). Obejmuje smartfony, tablety, odtwarzacze itp..
  • Urządzenia WPD: odmowa dostępu do zapisu.

Jak widać, dla każdej klasy urządzeń można zabronić wykonywania plików wykonywalnych (ochrona przed wirusami), zabronić odczytu danych oraz zapisywania / edytowania informacji na zewnętrznych nośnikach.

Najbardziej „surowa” restrykcyjna polityka - Wszyscy Wymienny Przechowywanie Klasy: Odmów Wszyscy Access (Wymienne urządzenia pamięci wszystkich klas: Odmawiaj dostępu) - pozwala całkowicie wyłączyć dostęp do dowolnego rodzaju zewnętrznego urządzenia pamięci. Aby włączyć tę zasadę, otwórz ją i ustaw na Włącz.

Po aktywacji zasad i aktualizacji na klientach (gpupdate / force) zewnętrzne podłączone urządzenia (nie tylko urządzenia USB, ale także wszelkie dyski zewnętrzne) są wykrywane przez system, ale podczas próby ich otwarcia pojawia się błąd dostępu:

Lokalizacja jest niedostępna

Dysk nie jest dostępny. Odmowa dostępu

Wskazówka. Podobne ograniczenie można wprowadzić w rejestrze, tworząc klucz w gałęzi HKEY_CURRENT_USER (lub w gałęzi HKEY_LOCAL_MACHINE) \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices Odmów wszystkiego typu dword o wartości 00000001 .

W tej samej sekcji zasad możesz skonfigurować bardziej elastyczne ograniczenia dotyczące korzystania z zewnętrznych napędów USB.

Na przykład, aby zabronić zapisywania danych na dyskach flash USB i innych typach dysków USB, po prostu włącz zasady Wymienny Dysk: Odmów pisz dostęp (Dyski wymienne: odmowa nagrywania).

W takim przypadku użytkownicy będą mogli czytać dane z dysku flash, ale gdy spróbują zapisać na nim informacje, otrzymają błąd dostępu:

Odmowa dostępu do folderu docelowego

Potrzebujesz uprawnień do wykonania tej akcji

Korzystanie z zasad Wymienny Dyski: Odmów wykonać dostęp (Dyski wymienne: odmowa wykonania), możesz uniemożliwić uruchamianie plików wykonywalnych i skryptów z dysków USB.

Jak uniemożliwić niektórym użytkownikom korzystanie z napędów USB

Dość często konieczne jest zabronienie korzystania z dysków USB wszystkim użytkownikom w domenie, z wyjątkiem, na przykład, administratorów.

Najłatwiej to osiągnąć dzięki zastosowaniu filtrowania zabezpieczeń w obiekcie zasad grupy. Na przykład, aby zapobiec zastosowaniu zasady blokowania USB do grupy administratorów domeny.

  1. W konsoli zarządzania zasadami grupy wybierz zasadę Wyłącz dostęp USB..
  2. W sekcji Filtrowanie zabezpieczeń dodaj grupę Administratorzy domeny.
  3. Przejdź na kartę Delegowanie, kliknij przycisk Zaawansowane. W edytorze ustawień zabezpieczeń określ, że grupa Administratorzy domeny nie może stosować tego obiektu zasad grupy (Zastosuj zasady grupy - Odmów).

Jeśli zadanie jest inne: musisz zezwolić wszystkim użytkownikom z wyjątkiem określonej grupy użytkowników na korzystanie z dysków USB, musisz dodać swoją grupę użytkowników z uprawnieniami do odczytu i korzystania z obiektu zasad grupy w ustawieniach zabezpieczeń zasad, a także pozostawić uprawnienia tylko do odczytu grupie uwierzytelnionych użytkowników lub komputerów w domenie ( odznaczenie opcji Zastosuj zasady grupy).

Blokowanie dostępu do dysków USB przez rejestr i GPP

Możesz bardziej elastycznie kontrolować dostęp do urządzeń zewnętrznych, ustawiając parametry rejestru, które są określone przez zasady omówione powyżej za pomocą mechanizmu Preferencji zasad grupy (GPP). Wszystkie powyższe zasady odpowiadają określonym kluczom rejestru w gałęzi HKLM (lub HKCU) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices (domyślnie tej sekcji nie ma w rejestrze). Aby włączyć tę lub inną zasadę, musisz utworzyć nowe wyróżnienie w określonym kluczu z nazwą klasy urządzeń, do których chcesz zablokować dostęp (kolumna 2) i parametrem REG_DWORD z typem ograniczenia Zaprzecz_ Przeczytaj lub Zaprzecz_Napisz. Jeśli wartość klucza jest równa 1-  ograniczenie jest aktywne, jeśli 0  - zakaz używania tej klasy urządzeń nie ma zastosowania.

Nazwa zasadyPodświetlenie o nazwie GUID klasy urządzeniaNazwa ustawienia rejestru
Napędy dyskietek:
Odmów dostępu do odczytu
53f56311-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Napędy dyskietek:
Odmów dostępu do zapisu
53f56311-b6bf-11d0-94f2-00a0c91efb8bOdmów zapisywania
CD i DVD:
Odmów dostępu do odczytu
53f56308-b6bf-11d0-94f2-00a0c91efb8bDeny_read
CD i DVD:
Odmów dostępu do zapisu
53f56308-b6bf-11d0-94f2-00a0c91efb8bOdmów zapisywania
Dyski wymienne:
Odmów dostępu do odczytu
53f5630d-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Dyski wymienne:
Odmów dostępu do zapisu
53f5630d-b6bf-11d0-94f2-00a0c91efb8bOdmów zapisywania
Sterowniki do taśm:
Odmów dostępu do odczytu
53f5630b-b6bf-11d0-94f2-00a0c91efb8bDeny_read
Sterowniki do taśm:
Odmów dostępu do zapisu
53f5630b-b6bf-11d0-94f2-00a0c91efb8bOdmów zapisywania
Urządzenia WPD:
Odmów dostępu do odczytu
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Deny_read
Urządzenia WPD:
Odmów dostępu do zapisu
6AC27878-A6FA-4155-BA85-F98F491D4F33
F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE
Odmów zapisywania

Tak więc, korzystając z tych kluczy rejestru i możliwości targetowania zasad GPP za pomocą kierowania na poziomie elementu, można elastycznie stosować zasady ograniczające użycie zewnętrznych urządzeń pamięci masowej do określonych grup zabezpieczeń AD, witryn, wersji systemu operacyjnego, jednostki organizacyjnej i innych cech komputera, aż do WMI zapytania. W ten sposób można zablokować zasady blokady USB tylko na komputerach, które znajdują się (nie są) w określonej grupie AD..

Uwaga. Podobnie możesz utworzyć własne zasady dla klas urządzeń, które nie są wymienione na tej liście. Identyfikator klasy urządzenia można znaleźć we właściwościach sterownika w wartości atrybutu Urządzenie Klasa GUID.Jeśli podczas próby sformatowania dysku flash USB system wyświetli komunikat „System Windows nie może dokończyć formatowania”, skorzystaj z zaleceń z artykułu Dlaczego karta SD lub dysk flash nie jest sformatowany