Como bloquear dispositivos de armazenamento USB em um domínio 2016/2012 com política de grupo.

Como bloquear dispositivos de armazenamento USB em um domínio 2016/2012 com política de grupo.

Este guia contém instruções passo a passo sobre como bloquear dispositivos de armazenamento USB em todo o Domínio ou em usuários de domínio específicos usando a Diretiva de Grupo em um Domínio AD 2016 ou 2012. Mais especificamente, depois de ler as instruções neste guia, você aprenderá como para impedir o acesso a qualquer dispositivo de armazenamento USB (pendrives, discos rígidos externos, smartphones, tablets, etc.),que pode se conectar a qualquer computador no domínio ou negar o acesso ao armazenamento USB apenas a usuários específicos do domínio.

Hoje, muitos de nós usam um dispositivo de armazenamento USB para transferir dados. No entanto, para uma organização, a capacidade de seus funcionários de usar dispositivos de armazenamento externos pode conter riscos de segurança, como disseminação de malware ou interceptação de dados confidenciais. Para evitar esses riscos, você pode ler as instruções a seguir para bloquear o acesso a dispositivos de armazenamento USB para todos os usuários e computadores em seu domínio ou apenas para determinados usuários do domínio, usando a Diretiva de Grupo.*

* Notas:
1. Neste post, para bloquear unidades USB por meio da política de grupo,usamos um controlador de domínio do Active Directory 2016 para criar a nova política de grupo e estações de trabalho Windows 10 Pro e Windows 7 Pro para aplicá-la.
dois.A política 'Bloquear acesso USB' não afetará os Administradores de Domínio ou qualquer outro dispositivo USB conectado, como teclados, mouse, impressoras, etc.

3. Após aplicar a Diretiva de Grupo, os usuários não terão acesso a nenhum tipo de dispositivo de armazenamento USB e receberão uma das seguintes mensagens de erro ao tentar acessar um dispositivo de armazenamento USB em seu PC.



imagem

Como usar a política de grupo para impedir o acesso a dispositivos de armazenamento USB (servidor 2012/2012R2/2016)

Parte 1. Como bloquear o acesso a dispositivos de armazenamento USB em todo o domínio 2016.

Para desabilitar o acesso a qualquer dispositivo de armazenamento USB conectado a qualquer computador (usuário) no domínio:

1. No controlador de domínio do Server 2016 AD, abra o Gerenciador do Servidor e depois de Ferramentas menu, abra o Gerenciamento de políticas de grupo. *

* Além disso, navegue até Painel de controle -> Ferramentas administrativas -> Gerenciamento de políticas de grupo.

Gerenciamento de Diretiva de Grupo - Servidor 2016

dois. Debaixo Domínios , selecione seu domínio e, em seguida, clique direito no Política de domínio padrão e escolha Editar .

Editar política de domínio padrão

3. Em 'Editor de gerenciamento de política de grupo', navegue até:

    Configuração do usuário > Políticas > Modelos administrativos > Sistema > Acesso de armazenamento removível

Quatro. No painel direito, clique duas vezes em: Discos removíveis: Negar acesso de leitura. *

* Notas:
1.Muitos tutoriais neste momento sugerem Habilitar a ' Todas as classes de armazenamento removível: Negar todos os acessos' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
dois.Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: Negar acesso de gravação.

Como bloquear dispositivos de armazenamento USB em um domínio com política de grupo

5. Verificar Habilitado e clique OK.

Como bloquear usb por meio da política de grupo no Windows Server 2016

6. Fechar o Editor de Diretiva de Grupo.
7. Reinicie o servidor e as máquinas cliente, ou execute o gpupdate /force comando para aplicar as novas configurações de política de grupo (sem reinicialização) ao servidor e aos clientes.

Parte 2. Como impedir o acesso a dispositivos de armazenamento USB em usuários de domínio específicos.

Para desabilitar o acesso a dispositivos de armazenamento USB apenas para usuários específicos usando uma política de grupo, você deve criar um grupo com usuários que não desejam acessar dispositivos de armazenamento USB e, em seguida, aplicar a nova política a esse grupo. Fazer isso:

Etapa 1. Crie um grupo com os usuários USB desabilitados. *

* Observação:Se você já criou um grupo com usuários USB desabilitados, continue passo 2 .

1. Aberto Usuários e computadores do Active Directory.
dois.
Clique com o botão direito do mouse em ' Comercial ' objeto no painel esquerdo e escolha Novo > Grupo

Active Directory - Criar grupo

3. Digite um nome para o novo grupo (por exemplo, 'USB Disabled Users') e clique em OK . *

* Observação:Deixe as opções 'Global' e 'Segurança' marcadas.

imagem

Quatro. Abra o grupo recém-criado, selecione o Membros aba e clique Adicionar

imagem

5. Agora selecione em qual usuário do domínio você deseja bloquear os dispositivos de armazenamento USB e clique em OK.

imagem

6. Clique OK para fechar as propriedades do grupo.

imagem

Etapa 2. Crie um novo objeto de política de grupo para desabilitar os dispositivos de armazenamento USB.

1. Abra o Gerenciamento de políticas de grupo.
dois.
No objeto 'Domínios', clique com o botão direito do mouse em seu domínio e selecione Crie um GPO neste domínio e vincule-o aqui.

imagem

3. Digite um nome para o novo GPO (por exemplo, 'USB desativado') e clique em OK.

imagem

Quatro. Clique com o botão direito do mouse no novo GPO e clique em Editar.

Desabilitar o acesso USB para determinados usuários por meio da política de grupo

5. Em 'Editor de gerenciamento de política de grupo', navegue até:

    Configuração do usuário > Políticas > Modelos administrativos > Sistema > Acesso de armazenamento removível

Quatro. No painel direito, clique duas vezes em: Discos removíveis: Negar acesso de leitura. *

* Observação:
1.Muitos tutoriais neste momento sugerem Habilitar a ' Todas as classes de armazenamento removível: Negar todos os acessos' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
dois.Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: Negar acesso de gravação.

Bloquear o acesso ao armazenamento USB para determinados usuários

5. Verificar Habilitado e clique OK.

Discos removíveis - Negar acesso

6. Fechar a Editor de Gerenciamento de Diretiva de Grupo janela.

7. De volta ao 'Group Policy Management', selecione o GPO 'USB Disabled' e na guia 'Scope' clique no Adicionar botão (nas configurações de 'Filtragem de segurança').

Bloquear USB para determinados usuários no AD Server 2016

8. Digite o nome do grupo 'usuários desabilitados por USB' (por exemplo, 'usuários desabilitados por USB' nesta postagem) e clique em OK .

imagem

9. Quando terminar, selecione o Delegação aba.

imagem

10. Na aba 'Delegação', selecionar a Usuários autenticados e clique Avançado.

imagem

onze . Nas opções de segurança, selecionar a Usuários autenticados e desmarque a Aplicar política de grupo caixa de seleção. Quando terminar, clique OK.

imagem

6. Fechar o Editor de Diretiva de Grupo.
7. Reinicie o servidor e as máquinas cliente, ou execute o ' gpupdate /force ' comando (como administrador), para aplicar as novas configurações de política de grupo (sem reinicialização) ao servidor e aos clientes.

É isso!

Estamos contratando