De când lansarea USB 1.0 a fost făcută în anii 90, am observat mari schimbări până astăzi, nu numai în versiunea USB, suntem în 3.0, ci și în noile caracteristici de stocare, dimensiune, securitate, viteză, printre altele. Când suntem într-un domeniu, este important să gestionăm diferitele componente ale acestuia, precum și elementele care pot fi încorporate extern acestuia. Există dispozitive precum USB unde este important să controlați dispozitivele amovibile și astfel să puteți bloca USB GPO-uri pentru a le împiedica să intre în rețeaua noastră. Pentru a putea face acest tip de gestionare, vom avea o unitate organizațională de unde putem crea o politică de blocare a portului USB pentru a realiza această sarcină în Windows Server 2021-2022, Server 2022 sau Server 2016.
Astăzi 95% dintre oameni au o memorie USB fie în scop personal, organizațional, de asistență etc. și este foarte important, deoarece noi, care suntem în mijlocul sistemelor, putem folosi o memorie USB pentru a porni un sistem de operare de acolo (ceva care nu a fost probabil în anii 90), putem stoca o cantitate mare de informații, până la 256 GB, în timp ce prima generație de USB a ajuns doar la 16 MB. Nu numai backupul este important pentru buna gestionare a serverelor și companiilor noastre Windows Server. Diverse setări ale politicii de securitate sunt mai mult decât vitale.
Motive pentru blocarea USBDe ce să blocăm accesul la USB în domeniile noastre cu Windows Server? Motivele sunt multiple:
- Pentru securitate, pentru a evita furtul de informații.
- Datorită politicilor companiei, deoarece există date sau înregistrări delicate care pot fi stocate într-o memorie USB și de acolo au o destinație proastă.
- Pentru a preveni răspândirea virușilor, deoarece de multe ori stick-urile USB sunt conectate la computerele din domeniu fără a trece printr-o scanare antivirus și conțin diferite tipuri de viruși care se pot răspândi în întreaga rețea și pot afecta diverse computere.
- Pentru a îmbunătăți performanța computerului, deoarece mulți oameni instalează programe sau aplicații direct de pe stick-uri de memorie USB.
După cum putem vedea, există multe motive pentru care este recomandabil să blocați porturile USB din domeniul nostru și este, de asemenea, important să subliniem că nu toate companiile blochează accesul la porturile USB ale angajaților lor. Prin blocarea dispozitivelor USB din computerele de domeniu prin GPO în Windows Server, asigurăm inserții nedorite. De data aceasta vom analiza cum putem bloca porturile USB folosind o politică de grup. De exemplu, vom lucra pe Windows Server 2016 sau Windows Server2021-2022.
În următorul tutorial video, puteți afla, de asemenea, cum să blocați un dispozitiv USB prin politici de grup sau GPO-uri în așa fel încât să împiedicați computerele pe care le specificați să acceseze porturile USB. Este important să controlați acest lucru pentru a păstra securitatea companiei.
1. Deschideți Editorul de politici de domeniu Windows Server 2016,2021-2022
Pasul 1
Pentru a deschide editorul și a configura astfel GPO-ul respectiv, vom merge la meniul Start și vom selecta opțiunea „Toate aplicațiile”.
Pasul 2
În fereastra Toate aplicațiile vom localiza câmpul Instrumente administrative și acolo vom selecta opțiunea de gestionare a politicilor de grup.
Pasul 3
Va fi afișată următoarea fereastră:
2. Blocați USB prin GPO Windows Server 2016,2021-2022
Pasul 1
Pentru această analiză am creat o unitate organizațională numită Solvetic_USB. În editorul de politici de grup vom afișa domeniul nostru pentru a vedea unitatea organizațională menționată.
Pasul 2
Acolo vom face clic dreapta pe unitatea organizațională "Solvetic_USB" și vom selecta opțiunea "Creați un GPO" în acest domeniu și o vom lega aici.
Pasul 3
La apăsarea opțiunii indicate, se afișează următoarea fereastră unde trebuie să atribuim un nume, în acest caz alegem „Solvetic_Restriccion”.
Pasul 4
Facem clic pe OK și putem vedea politica noastră creată corect. Acum vom face clic dreapta pe politică și vom selecta opțiunea Editare.
MARI
Pasul 5
Se deschide următoarea fereastră:
Pasul 6
Trebuie să mergem pe următorul traseu:
- Directiva Solvetic_Restriction
- Configurarea echipamentului
- Directivele
- Șabloane administrative
- Sistem
- Acces de stocare detașabil
MARI
Pasul 7
În partea dreaptă putem vedea că avem mai multe opțiuni de editare a politicilor, cea mai importantă fiind:
Refuză accesul la executareDacă activăm această politică, vom împiedica accesul la orice suport amovibil care se conectează la un computer din domeniu.
Refuzați accesul la citirePrin această opțiune putem permite utilizatorului să scrie sau să copieze informații pe USB, dar să nu citească conținutul acestuia.
Refuzați accesul la scriereAceastă opțiune permite utilizatorului să citească informațiile de pe USB, dar să nu le modifice.
Toate tipurile de stocare detașabilă: refuzați accesul la orice: dacă activăm această opțiune, vom împiedica utilizatorul să utilizeze orice tip de suport amovibil, cum ar fi USB, DVD, telefon mobil, MP4, MP5 etc.
În același mod putem configura restricții pentru unitățile CD, casete, sesiuni la distanță etc.
Pasul 8
În acest exemplu vom restricționa accesul la unitățile USB numai pentru care selectăm opțiunea „Discuri amovibile: refuzați accesul la execuție” și vom vedea următoarea fereastră.
Acolo trebuie să selectăm opțiunea Activată pentru a aplica această politică unității organizaționale selectate. Faceți clic pe Aplicare și apoi pe OK pentru a valida politica.
Pasul 9
Confirmăm că politica este activată în Unitatea Solvetic_Restriccion.
MARI
Pasul 10
Odată ce am efectuat procesul anterior și am definit la ce tip de unități vom aplica restricția, vom aștepta ca politica să fie aplicată computerelor din domeniu sau putem folosi următoarea comandă pentru a forța politica.
gpupdate / forțăÎn acest fel, oferim securitate în domeniile noastre, împiedicând adăugarea dispozitivelor USB detașabile la computerele organizației, ceea ce ne poate cauza diferite probleme, în calitate de manageri ai zonei IT. Blocând USB prin GPO putem preveni conectarea dispozitivelor externe la domeniul nostru, deoarece putem controla dispozitivele amovibile. Pentru a termina de acordat atenție acestor tutoriale care vă vor interesa, putând controla ce utilizatori se conectează la Windows Server, pe lângă învățarea modului de configurare a politicilor avansate de audit GPO.
