Od uvedení USB 1.0 na trh v 90. letech jsme až do dnešního dne zaznamenali velké změny, a to nejen ve verzi USB, jsme ve verzi 3.0, ale mimo jiné v nových funkcích úložiště, velikosti, zabezpečení, rychlosti. Když jsme v doméně, je důležité spravovat její různé komponenty a také prvky, které do ní mohou být začleněny externě. Existují zařízení, jako je USB, kde je důležité ovládat vyměnitelná zařízení, a tak být schopen blokovat USB GPO, aby se zabránilo jejich vstupu do naší sítě. Abychom mohli provádět tento typ správy, budeme mít organizační jednotku, ze které můžeme vytvořit zásadu blokování portů USB k provedení tohoto úkolu v systému Windows Server 2021-2022, Server 2022 nebo Server 2016.
Dnes má 95% lidí USB paměť buď pro osobní, organizační, podpůrné účely atd., A je to velmi důležité, protože my, kteří jsme uprostřed systémů, můžeme použít USB paměť ke spuštění operačního systému odtud (něco, co nebyl v 90. letech pravděpodobný), můžeme uložit velké množství informací, až 256 GB, zatímco první generace USB dosáhla pouze 16 MB. Pro správnou správu našich serverů a společností Windows Server je důležitá nejen záloha. Různá nastavení zásad zabezpečení jsou více než zásadní.
Důvody zablokování USBProč blokovat přístup k USB v našich doménách pomocí systému Windows Server? Důvodů je několik:
- Kvůli bezpečnosti, aby se zabránilo krádeži informací.
- Vzhledem k zásadám společnosti, protože existují citlivá data nebo záznamy, které lze uložit do paměti USB a odtud mají špatný cíl.
- Aby se zabránilo šíření virů, protože USB flash disky jsou mnohokrát připojeny k doménovým počítačům, aniž by prošly antivirovou kontrolou, a obsahují různé druhy virů, které se mohou šířit po síti a postihovat různé počítače.
- Aby se zlepšil výkon počítače, protože mnoho lidí instaluje programy nebo aplikace přímo z paměťových karet USB.
Jak vidíme, existuje mnoho důvodů, proč je vhodné blokovat porty USB v naší doméně, a je také důležité zdůraznit, že ne všechny společnosti blokují přístup k portům USB svých zaměstnanců. Blokováním zařízení USB v doménových počítačích pomocí GPO na serveru Windows zajistíme nechtěné vložení. Tentokrát budeme analyzovat, jak můžeme blokovat porty USB pomocí zásad skupiny. Jako příklad budeme pracovat na Windows Server 2016 nebo Windows Server2021-2022.
V následujícím video tutoriálu se také můžete naučit blokovat zařízení USB prostřednictvím zásad skupiny nebo objektů zásad skupiny takovým způsobem, že zamezíte počítačům, které zadáte, přístup k portům USB. Je důležité to kontrolovat, aby byla zachována bezpečnost společnosti.
1. Otevřete Editor zásad domény Windows Server 2016,2021-2022
Krok 1
Chcete -li otevřít editor a konfigurovat příslušný objekt GPO, přejděte do nabídky Start a vyberte možnost „Všechny aplikace“.
Krok 2
V okně Všechny aplikace vyhledáme pole Nástroje pro správu a tam vybereme možnost Správa zásad skupiny.
Krok 3
Zobrazí se následující okno:
2. Blokovat USB pomocí GPO Windows Server 2016,2021-2022
Krok 1
Pro tuto analýzu jsme vytvořili organizační jednotku s názvem Solvetic_USB. V editoru zásad skupiny zobrazíme naši doménu, abychom viděli uvedenou organizační jednotku.
Krok 2
Tam klikneme pravým tlačítkem na organizační jednotku „Solvetic_USB“ a vybereme možnost „Vytvořit GPO“ v této doméně a propojíme ji zde.
Krok 3
Po stisknutí uvedené možnosti se zobrazí následující okno, kde musíme přiřadit jméno, v tomto případě zvolíme „Solvetic_Restriccion“.
Krok 4
Klikneme na OK a naše politika se zobrazí správně. Nyní klikneme pravým tlačítkem na zásadu a vybereme možnost Upravit.
ZVĚTŠIT
Krok 5
Otevře se následující okno:
Krok 6
Musíme jít na následující trasu:
- Směrnice Solvetic_Restriction
- Nastavení vybavení
- Směrnice
- Šablony pro správu
- Systém
- Vyměnitelný přístup k úložišti
ZVĚTŠIT
Krok 7
Na pravé straně vidíme, že máme několik možností úpravy zásad, z nichž nejdůležitější je:
Deny Execute AccessPokud tuto zásadu povolíme, zabráníme přístupu k jakémukoli vyměnitelnému médiu, které se připojuje k počítači v doméně.
Odepřít přístup pro čteníProstřednictvím této možnosti můžeme uživateli umožnit zapisovat nebo kopírovat informace na USB, ale ne číst jeho obsah.
Odepřít přístup pro zápisTato možnost umožňuje uživateli číst informace z USB, ale nesmí je měnit.
Všechny druhy vyměnitelného úložiště: odepřít přístup ke všemu: Pokud tuto možnost povolíme, zabráníme uživateli v používání jakéhokoli vyměnitelného média, jako je USB, DVD, mobilní telefon, MP4, MP5 atd.
Stejným způsobem můžeme konfigurovat omezení pro jednotky CD, pásky, vzdálené relace atd.
Krok 8
V tomto příkladu se chystáme omezit přístup pouze na USB disky, u kterých vybereme možnost „Vyměnitelné disky: odepřít přístup při spuštění“ a uvidíme následující okno.
Tam musíme vybrat možnost Povoleno, aby se tato zásada použila na vybranou organizační jednotku. Kliknutím na Použít a poté na OK zásadu ověříte.
Krok 9
Ověřujeme, že jsou zásady povoleny v organizační jednotce Solvetic_Restriccion.
ZVĚTŠIT
Krok 10
Jakmile jsme provedli předchozí proces a definovali jsme, na jaký typ jednotek použijeme omezení, počkáme, až se zásada použije na počítače v doméně, nebo můžeme použít následující příkaz k vynucení zásady.
gpupdate / forceTímto způsobem zajišťujeme zabezpečení v našich doménách, čímž zabraňujeme přidávání vyměnitelných zařízení USB do počítačů organizace, což nám jako manažerům IT oblasti může způsobit různé problémy. Blokováním USB pomocí GPO můžeme zabránit připojení externích zařízení k naší doméně, protože můžeme ovládat vyměnitelná zařízení. Chcete -li dokončit věnování pozornosti těmto výukovým programům, které vás budou zajímat, mít možnost ovládat, kteří uživatelé se přihlašují k systému Windows Server, a kromě toho se naučit konfigurovat pokročilé zásady auditu GPO.