Saat menghubungkan perangkat USB baru ke komputer, Windows secara otomatis mendeteksi perangkat dan menginstal driver yang sesuai, sehingga pengguna dapat segera menggunakan perangkat USB atau drive yang terhubung. Di beberapa organisasi, untuk mencegah kebocoran data rahasia dan penetrasi virus ke jaringan, kemungkinan menggunakan drive USB (flash drive, USB HDD, kartu SD, dll.) Diblokir untuk alasan keamanan. Pada artikel ini, kami akan menunjukkan cara menggunakan Kebijakan Grup (GPO) untuk memblokir kemampuan menggunakan drive USB eksternal di Windows, untuk mencegah penulisan data ke flash drive yang terhubung dan menjalankan file yang dapat dieksekusi.
Konten:
- Kebijakan Kontrol Akses Windows Media
- Mengkonfigurasi GPO untuk mengunci media USB dan drive eksternal lainnya
- Cara mencegah pengguna tertentu menggunakan drive USB
- Memblokir akses ke drive USB melalui registri dan GPP
Kebijakan Kontrol Akses Windows Media
Di Windows, dimulai dengan Windows 7 / Vista, kemungkinan kemampuan yang cukup fleksibel untuk mengontrol akses ke drive eksternal (USB, CD / DVD, dll.) Menggunakan kebijakan grup telah muncul. Sekarang Anda dapat secara terprogram melarang penggunaan drive USB tanpa memengaruhi perangkat USB seperti mouse, keyboard, printer, dll..
Kebijakan pemblokiran perangkat USB akan berfungsi jika infrastruktur domain AD Anda memenuhi persyaratan berikut:
- Versi Skema Direktori Aktif - Windows Server 2008 atau lebih baru [waspada]Catatan. Serangkaian kebijakan yang memungkinkan Anda untuk sepenuhnya mengontrol instalasi dan penggunaan media yang dapat dilepas di Windows hanya muncul di versi AD ini (skema versi 44). [/ Alert]
- OS Klien - Windows Vista, Windows 7 dan lebih tinggi
Mengkonfigurasi GPO untuk mengunci media USB dan drive eksternal lainnya
Jadi, kami berencana membatasi penggunaan drive USB di semua komputer di wadah tertentu (OU) domain (Anda dapat menerapkan kebijakan melarang penggunaan USB ke seluruh domain, tetapi ini juga akan memengaruhi server dan perangkat teknologi lainnya). Misalkan kita ingin memperluas kebijakan ke OU bernama Workstation. Untuk melakukan ini, buka konsol manajemen GPO domain (gpmc.msc) dan, mengklik kanan pada OU Workstation, buat kebijakan baru (Buat a GPO masuk ini domain dan Tautan itu disini).
Kiat. Jika Anda menggunakan komputer yang berdiri sendiri, kebijakan pembatasan penggunaan port USB dapat diedit menggunakan editor kebijakan grup lokal - gpedit.msc. Di Windows edisi rumah, editor grup lokal tidak ada, tetapi dapat diinstal seperti ini: di Windows 10, di Windows 7.Mari kita sebut politik Nonaktifkan Akses USB.
Kemudian edit parameternya (Edit).
Pengaturan untuk memblokir perangkat penyimpanan eksternal ada di bagian pengguna dan komputer GPO:
- Konfigurasi Pengguna-> Kebijakan-> Template Administratif-> Sistem-> Akses Penyimpanan yang Dapat Dilepas (Konfigurasi Pengguna -> Template Administratif -> Sistem -> Akses ke Perangkat Penyimpanan yang Dapat Dilepas)
- Konfigurasi Komputer-> Kebijakan-> Template Administratif-> Sistem-> Akses Penyimpanan yang Dapat Dilepas (Konfigurasi Komputer -> Template Administratif -> Sistem -> Akses ke Perangkat Penyimpanan yang Dapat Dilepas)
Jika Anda ingin memblokir drive USB untuk semua pengguna komputer domain, Anda perlu mengedit kebijakan di bagian "Konfigurasi Komputer". Perluas itu.
Di bagian “Akses ke perangkat penyimpanan yang dapat dilepas” (Dapat dilepas Penyimpanan Akses) ada beberapa kebijakan yang memungkinkan Anda menonaktifkan penggunaan berbagai kelas perangkat penyimpanan: drive CD / DVD, floppy disk (FDD), perangkat USB, kaset, dll..
- CD dan DVD: Tolak eksekusi (CD dan DVD: Tolak jalankan akses).
- CD dan DVD: Tolak baca (CD dan DVD: Tolak baca akses).
- CD dan DVD: Akses tulis kecil (CD dan DVD: Akses kecil tulis).
- Kelas Khusus: Deny read (Kelas Khusus: Deny read access).
- Kelas Khusus: Tolak akses tulis.
- Floppy Drives: Tolak eksekusi akses.
- Floppy Drives: Tolak akses baca.
- Floppy Drives: Tolak akses tulis.
- Removable Disk: Tolak eksekusi akses.
- Removable Disk: Tolak akses baca.
- Removable Disk: Tolak akses tulis.
- Kelas Penyimpanan yang Dapat Dilepas: Tolak semua akses.
- Semua Penyimpanan yang Dapat Dilepas: Izinkan akses langsung dalam sesi jarak jauh.
- Tape Drives: Tolak eksekusi akses.
- Tape Drives: Tolak akses baca.
- Tape Drives: Tolak akses tulis.
- Perangkat WPD: Akses baca kecil adalah kelas perangkat portabel (Perangkat Portabel Windows). Termasuk smartphone, tablet, pemain, dll..
- Perangkat WPD: Tolak akses tulis.
Seperti yang Anda lihat, untuk setiap kelas perangkat Anda dapat melarang eksekusi file yang dapat dieksekusi (perlindungan virus), melarang membaca data dan menulis / mengedit informasi pada media eksternal.
Kebijakan pembatasan paling "keras" - Semua Dapat dilepas Penyimpanan Kelas: Tolak Semua Akses (Perangkat penyimpanan yang dapat dilepas dari semua kelas: Tolak akses apa pun) - memungkinkan Anda untuk sepenuhnya menonaktifkan akses ke semua jenis perangkat penyimpanan eksternal. Untuk mengaktifkan kebijakan ini, buka dan setel ke Aktifkan.
Setelah mengaktifkan kebijakan dan memutakhirkannya pada klien (gpupdate / force), perangkat terhubung eksternal (tidak hanya perangkat USB, tetapi juga drive eksternal) terdeteksi oleh sistem, tetapi ketika Anda mencoba untuk membukanya, kesalahan akses muncul:
Lokasi tidak tersedia
Drive tidak dapat diakses. Akses ditolak
Di bagian kebijakan yang sama, Anda dapat mengonfigurasi pembatasan yang lebih fleksibel dalam penggunaan drive USB eksternal.
Misalnya, untuk melarang penulisan data ke drive flash USB, dan jenis drive USB lainnya, cukup aktifkan kebijakan tersebut Dapat dilepas Disk: Tolak tulis akses (Drive yang dapat dilepas: Tolak rekaman).
Dalam hal ini, pengguna akan dapat membaca data dari flash drive, tetapi ketika mereka mencoba untuk menulis informasi, mereka akan menerima kesalahan akses:
Akses Folder Tujuan Ditolak
Anda perlu izin untuk melakukan tindakan ini
Menggunakan kebijakan Dapat dilepas Disk: Tolak mengeksekusi akses (Drive yang dapat dilepas: Menonaktifkan eksekusi), Anda dapat mencegah file yang dapat dieksekusi dan file skrip dimulai dari drive USB.
Cara mencegah pengguna tertentu menggunakan drive USB
Cukup sering perlu untuk melarang penggunaan drive USB untuk semua pengguna dalam domain, kecuali, misalnya, administrator.
Ini paling mudah dicapai melalui penggunaan Filter Keamanan di GPO. Misalnya, untuk mencegah kebijakan penguncian USB diterapkan ke grup administrator domain.
- Di konsol Manajemen Kebijakan Grup, pilih Nonaktifkan kebijakan Akses USB Anda..
- Di bagian Penyaringan Keamanan, tambahkan grup Admin Domain.
- Buka tab Delegasi, klik tombol Advanced. Di editor pengaturan keamanan, tentukan bahwa grup Admin Domain dilarang menerapkan GPO ini (Terapkan kebijakan grup - Tolak).
Jika tugasnya berbeda: Anda harus mengizinkan semua orang kecuali kelompok pengguna tertentu untuk menggunakan disk USB, Anda perlu menambahkan grup pengguna Anda dengan membaca dan menggunakan izin GPO dalam pengaturan keamanan kebijakan, dan hanya menyisakan izin baca untuk grup Pengguna Otentikasi atau Komputer Domain ( hapus centang pada item Terapkan kebijakan grup).
Memblokir akses ke drive USB melalui registri dan GPP
Anda dapat lebih fleksibel mengontrol akses ke perangkat eksternal dengan menetapkan parameter registri, yang ditetapkan oleh kebijakan yang dibahas di atas melalui mekanisme Preferensi Kebijakan Grup (GPP). Semua kebijakan di atas sesuai dengan kunci registri tertentu di cabang HKLM (atau HKCU) \ SOFTWARE \ Kebijakan \ Microsoft \ Windows \ RemovableStorageDevices (secara default, bagian ini tidak ada dalam registri). Untuk mengaktifkan kebijakan ini atau itu, Anda perlu membuat backlight baru pada kunci yang ditentukan dengan nama kelas perangkat yang ingin Anda blokir aksesnya (kolom 2) dan parameter REG_DWORD dengan tipe pembatasan Tolak_Baca atau Tolak_Tulis. Jika nilai kuncinya sama 1- pembatasan aktif jika 0 - larangan penggunaan kelas perangkat ini tidak berlaku.
| Nama Kebijakan | Lampu latar bernama Device Class GUID | Nama Pengaturan Registri |
| Floppy Drives: Tolak akses baca | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Floppy Drives: Tolak akses tulis | 53f56311-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| CD dan DVD: Tolak akses baca | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| CD dan DVD: Tolak akses tulis | 53f56308-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Disk yang Dapat Dilepas: Tolak akses baca | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Disk yang Dapat Dilepas: Tolak akses tulis | 53f5630d-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Driver tape: Tolak akses baca | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_read |
| Driver tape: Tolak akses tulis | 53f5630b-b6bf-11d0-94f2-00a0c91efb8b | Deny_write |
| Perangkat WPD: Tolak akses baca | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_read |
| Perangkat WPD: Tolak akses tulis | 6AC27878-A6FA-4155-BA85-F98F491D4F33 F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE | Deny_write |
Dengan demikian, menggunakan kunci registri ini dan kemampuan untuk menargetkan kebijakan GPP menggunakan penargetan tingkat Item, Anda dapat secara fleksibel menerapkan kebijakan yang membatasi penggunaan perangkat penyimpanan eksternal untuk grup keamanan AD tertentu, situs, versi OS, OU, dan karakteristik komputer lainnya, hingga WMI pertanyaan. Dengan demikian, Anda dapat membuat kebijakan kunci USB hanya berlaku untuk komputer yang (tidak) dalam grup AD tertentu..
Catatan. Demikian pula, Anda dapat membuat kebijakan Anda sendiri untuk kelas perangkat yang tidak tercantum dalam daftar ini. Pengidentifikasi kelas perangkat dapat ditemukan di properti driver di nilai atribut Perangkat Kelas GUID.Jika, ketika Anda mencoba memformat USB flash drive, sistem mengatakan "Windows tidak dapat menyelesaikan pemformatan", gunakan rekomendasi dari artikel Mengapa kartu sd atau flash drive tidak diformat
