Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»Porady dla firmy»Blokowanie urządzeń USB za pomocą polis GPO w Active Directory.
    Porady dla firmy

    Blokowanie urządzeń USB za pomocą polis GPO w Active Directory.

    Brak komentarzyPrzeczytasz w 5 minut

    Sprawdź jak zablokować porty za pomocą polis GPO w Active DirectoryNie ulega wątpliwości, iż urządzenia oparte o interfejs USB należą do najczyściej spotykanej i wykorzystywanej obecnie grupy. Popularne pendrive’y, klasyczne twarde dyski w obudowach, aparaty fotograficzne, myszy, klawiatury a nawet urządzenia zarezerwowane do tej pory dla drogich interfejsów jak FireWire czy SCSI (streamery czy kamery video) – to wszystko możemy napotkać obecnie w naszych komputerach.

    Niestety wraz ze wzrostem dostępności i pojemności tychże urządzeń pojawiają się kolejne wątpliwości co do ich niekontrolowanego wykorzystywania. Warto zatem wiedzieć co zrobić, by uniknąć niekontrolowanego rozprzestrzeniania danych i jak można się przed takim działaniem zabezpieczyć.

    Jakie są największe zagrożenia?

    • problem z wymianą danych za pomocą pendrive powoduje także podejrzenie co do ułatwionego sposobu w jaki złośliwe oprogramowanie może przedostać się na nasz komputer
    • możliwość kradzieży danych – nic nie stoi na przeszkodzie aby w parę minut skopiować np. bazę kontrahentów, kody źródłowe aplikacji czy też pliki instalacyjne lub klucze instalacyjne nie będące naszą własnością
    • możliwość utraty wrażliwych danych służbowych kopiowanych 'dla wygody’ na dyski przenośne

    Wystarczy więc nam powodów aby zastanowić się nad ograniczeniem nieco możliwości użytkowników w zakresie wykorzystywania urządzeń USB typu mass storage (urządzenia pamięci masowej).

    Tradycyjnie w systemach z rodziny Windows możemy zadanie takie zrealizować dwojako:

    • za pomocą lokalnych polis i ustawień rejestru systemu Windows
    • za pomocą GPO w domenie Active Directory

    Warto w tym miejscu przemyśleć jak daleko chcemy się posunąć w naszych działaniach – mamy do wyboru ścieżkę z coraz bardziej restrykcyjnymi politykami:

      1. Ograniczenie możliwości zapisu dla urządzeń pamięci masowej

    Plusy:

        • Nie ogranicza użytkownika przed skorzystaniem z urządzenia w postaci tylko do odczytu
        • Najmniej restrykcyjne

    Minusy:

        • Wciąż możliwe zainfekowanie komputera za pomocą wcześniej zapisanych danych

     

      1. Ograniczenie użytkowania urządzeń typu mass storage

    Plusy:

        • Całkowite odcięcie w systemie urządzeń przedstawiających się jako pamięć masowa
        • Ograniczenie zarówno możliwości infekcji komputera jak też możliwości wypływu danych
        • Średnio restrykcyjne

    Minusy:

        • Łatwe do ominięcia dla urządzeń wykorzystujących protokół MTP (Media Transfer Protocol) – jak chociażby smartfony czy tablety

     

    1. Całkowite odcięcie urządzeń wykorzystujących interfejs USB – zarówno wykorzystujących mass storage, HID (Human Interface Device – myszki, klawiatury, joypady) oraz MTP

    Plusy:

    • Całkowite odcięcie WSZYSTKICH urządzeń USB

    Minusy

    • Bardzo restrykcyjne – w praktyce pozbawia użytkownika skorzystania z jakiegokolwiek urządzenia USB

    Sposoby blokowania portów:

    Blokowanie portów można zarządzić z platformy Windows.
    Okno blokowania portów Active Directory.
      1. Aby zablokować zapis na urządzeniach USB mass storage za pomocą polis lokalnych należy:
        • usunąć wszystkie dyski USB/pendrive z komputera
        • uruchomić edytor rejestru systemu windows (regedit) za pomocą konta z uprawnieniami administratora
        • rejestrze przejść do gałęzi:
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
        • odszukać ciąg WriteProtect – jeżeli go nie ma: wybrać Nowa Wartość DWORD, jako nazwę podać: WriteProtect, jako wartość tegoż wpisu wybrać '1′
        • wykonać restart komputera

     

      1. Aby zablokować zapis na urządzeniach USB mass storage za pomocą GPO (dla komputerów od Windows XP SP2 w górę) należy:
        • usunąć wszystkie dyski USB/pendrive z komputera
        • z edytorze GPEdit.msc zmienić opcję 'Widok/Filtrowanie’ odznaaczając opcję Pokazuj tylko w pełni zarządzalne polisy (Windows 2000/2003)
        • za pomocą GPMC.msc (Group Policy Management Console) na kontrolerze domeny lub stacji roboczej z zainstalowanym Remote Server Administration Tool stworzyć nową polisę dla naszego OU lub całej domeny. Można także przeedytować już istniejąca polisę.
        • wybrać opcję edycji polisy
        • wybrać opcję Dodaj/usuń szablony w sekcji Zasady (nazwa naszej polisy)/Konfiguracja komputera/Zasady/Szablony administracyjne
        • zaimportować (po rozpakowaniu) szablon administracyjny z linku poniżej: //www.petri.co.il/software/usb_write_protect_adm.zip
        • nasz szablon znajdzie się w sekcji 'Klasyczne szablony administracyjne’ (ADM)/Custom POlicy Settings/Write Protection
        • w sekcji 'Filtrowanie zabezpieczeń’ naszej polisy wybrać odpowiedni obiekt zabezpieczeń (domyślnie są to obiekty typu komputer lub OU zawierające komputery)

     

    1. Aby zablokować wszystkie urządzenia mass storage za pomocą GPO należy:
      • usunąć wszystkie dyski USB/pendrive z komputera
      • z edytorze GPEdit.msc zmienić opcję 'Widok/Filtrowanie’ odznaczając opcję „Pokazuj tylko w pełni zarządzalne polisy” (Windows 2000/2003)
      • za pomocą GPMC.msc (Group Policy Management Console) na kontrolerze domeny lub stacji roboczej z zainstalowanym Remote Server Administration Tool stworzyć nową polisę dla naszego OU lub całej domeny. Można także przeedytować już istniejąca polisę.
      • wybrać opcję edycji polisy
      • wybrac opcję 'Dodaj/usuń szablony’ w sekcji 'Zasady (nazwa naszej polisy)/Konfiguracja komputera/Zasady/Szablony administracyjne’
      • zaimportować (po rozpakowaniu) szablon administracyjny z linku poniżej: //www.petri.co.il/software/usb_removable_drives_adm.zip
      • nasz szablon znajdzie się w sekcji 'Klasyczne szablony administracyjne (ADM)/Custom POlicy Settings/Restrict Drives’
      • w sekcji 'Filtrowanie zabezpieczeń’ naszej polisy wybrać odpowiedni obiekt zabezpieczeń (domyślnie są to obiekty typu komputer lub OU zawierające komputery)

     

    Dlaczego to rozwiązanie nie jest w pełni skuteczne?

    Aby wskazany sposób zadziałał tak jak planujemy, wskazane urządzenie USB musi zostać usunięte przed zadziałaniem polisy – co może dosyć skutecznie ograniczyć jej przydatność.

    Podobnie jest ze wspomnianym już wyżej sposobem na używanie urządzeń MTP (Media Transport Protocol) – można w ten sposób ominąć tak pieczołowicie nałożone przez nas zasady, gdyż te urządzenie nie przedstawiają się jako urządzenia pamięci masowej.

    W systemach Windows Vista i wyżej nie jest potrzebna nawet żadna dodatkowa aplikacja aby na urządzeniu z własnym fragmentem przestrzeni dyskowej (inteligentny zegarek czy też smartfon są tutaj doskonałym przykładem) zrealizować wszystkie wymienione wyżej punkty zagrożenia, których jako osoby odpowiedzialne za bezpieczeństwo, po prostu się obawiamy.

    Kolejnym argumentem do rozważenia stosowania wskazanych procedur może być fakt iż ww. ustawienia działać będą na komputerach z systemem Windows XP Service Pack 2.

    Bibliografia

    HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers – //support.microsoft.com/kb/555324
    How can I prevent users from using USB removable disks (USB flash drives) by using Group Policy (GPO)? – //www.petri.co.il/disable_usb_disks_with_gpo.htm
    How can I prevent users from writing to USB removable disks (USB flash drives) by using Group Policy (GPO)? – //www.petri.co.il/disable_writing_to_usb_disks_in_xp_sp2_with_gpo.htm
    MTP – //en.wikipedia.org/wiki/Media_Transfer_Protocol

    Oceń artykuł
    [Głosów: 2 Średnia: 1]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    blokowanie portów blokowanie portów active directory USB
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    trybawaryjny
    • Facebook

    Trybawaryjny.pl to strona zawierająca przydatne informacje, porady i ciekawostki dotyczące komputerów, pisane prostym i zrozumiałym językiem. Portal jest tworzony przy współpracy z ekspertami oprogramowania antywirusowego AVG.

    Subscribe
    Powiadom o
    guest
    guest
    0 komentarzy
    Inline Feedbacks
    View all comments
    Najnowsze komentarze
    • Arkadiusz Zakrzewski Cześć, Cieszę się, że nasz wpis się przydał :)Od czego zależy prędkość hostingu?
    • Lidia Noszę się z założeniem sklepu internetowego i szczerze mówiąc, szukałam tych informacji. A...Od czego zależy prędkość hostingu?
    • marx89 dzięki za te 2 stronki :) nie znałem, qpony też wydają się spoko, a to pozwoli zaoszczędzi...Aplikacja z promocjami – którą wybrać?
    • Marcin Problem jeśli aktualizacja systemu popsuje sprzęt. Kiedyś tablet miał aktualizację android...Aktualizacja oprogramowania: 3 powody, dla których nie warto tego odkładać
    • Arkadiusz Zakrzewski Cześć, Przykro nam to słyszeć, ale niestety nie jesteśmy tu w stanie nic pomóc. Na samym d...Przegląd Coin Market Solutions: analiza warunków, opinie na temat licencjonowanej giełdy kryptowalut
    Skuteczny Antywirus
    Encyklopedia Bezpieczeństwa
    Odbierz darmowe porady od AVG
    O nas

    TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

    Znajdź nas na FB
    Facebook YouTube
    • Polityka prywatności
    • Regulamin
    © 2023 Trybawaryjny.pl

    Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

    wpDiscuz