Este guia contém instruções passo a passo sobre como bloquear dispositivos de armazenamento USB em todo o Domínio ou em usuários de domínio específicos usando a Diretiva de Grupo em um Domínio AD 2016 ou 2012. Mais especificamente, depois de ler as instruções neste guia, você aprenderá como para impedir o acesso a qualquer dispositivo de armazenamento USB (pendrives, discos rígidos externos, smartphones, tablets, etc.),que pode se conectar a qualquer computador no domínio ou negar o acesso ao armazenamento USB apenas a usuários específicos do domínio.
Hoje, muitos de nós usam um dispositivo de armazenamento USB para transferir dados. No entanto, para uma organização, a capacidade de seus funcionários de usar dispositivos de armazenamento externos pode conter riscos de segurança, como disseminação de malware ou interceptação de dados confidenciais. Para evitar esses riscos, você pode ler as instruções a seguir para bloquear o acesso a dispositivos de armazenamento USB para todos os usuários e computadores em seu domínio ou apenas para determinados usuários do domínio, usando a Diretiva de Grupo.*
* Notas:
1. Neste post, para bloquear unidades USB por meio da política de grupo,usamos um controlador de domínio do Active Directory 2016 para criar a nova política de grupo e estações de trabalho Windows 10 Pro e Windows 7 Pro para aplicá-la.
dois.A política 'Bloquear acesso USB' não afetará os Administradores de Domínio ou qualquer outro dispositivo USB conectado, como teclados, mouse, impressoras, etc.
3. Após aplicar a Diretiva de Grupo, os usuários não terão acesso a nenhum tipo de dispositivo de armazenamento USB e receberão uma das seguintes mensagens de erro ao tentar acessar um dispositivo de armazenamento USB em seu PC.
Como usar a política de grupo para impedir o acesso a dispositivos de armazenamento USB (servidor 2012/2012R2/2016)
Parte 1. Como bloquear o acesso a dispositivos de armazenamento USB em todo o domínio 2016.
Para desabilitar o acesso a qualquer dispositivo de armazenamento USB conectado a qualquer computador (usuário) no domínio:
1. No controlador de domínio do Server 2016 AD, abra o Gerenciador do Servidor e depois de Ferramentas menu, abra o Gerenciamento de políticas de grupo. *
* Além disso, navegue até Painel de controle -> Ferramentas administrativas -> Gerenciamento de políticas de grupo.
dois. Debaixo Domínios , selecione seu domínio e, em seguida, clique direito no Política de domínio padrão e escolha Editar .
3. Em 'Editor de gerenciamento de política de grupo', navegue até:
Quatro. No painel direito, clique duas vezes em: Discos removíveis: Negar acesso de leitura. *
* Notas:
1.Muitos tutoriais neste momento sugerem Habilitar a ' Todas as classes de armazenamento removível: Negar todos os acessos' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
dois.Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: Negar acesso de gravação.
5. Verificar Habilitado e clique OK.
6. Fechar o Editor de Diretiva de Grupo.
7. Reinicie o servidor e as máquinas cliente, ou execute o gpupdate /force comando para aplicar as novas configurações de política de grupo (sem reinicialização) ao servidor e aos clientes.
Parte 2. Como impedir o acesso a dispositivos de armazenamento USB em usuários de domínio específicos.
Para desabilitar o acesso a dispositivos de armazenamento USB apenas para usuários específicos usando uma política de grupo, você deve criar um grupo com usuários que não desejam acessar dispositivos de armazenamento USB e, em seguida, aplicar a nova política a esse grupo. Fazer isso:
Etapa 1. Crie um grupo com os usuários USB desabilitados. *
* Observação:Se você já criou um grupo com usuários USB desabilitados, continue passo 2 .
1. Aberto Usuários e computadores do Active Directory.
dois. Clique com o botão direito do mouse em ' Comercial ' objeto no painel esquerdo e escolha Novo > Grupo
3. Digite um nome para o novo grupo (por exemplo, 'USB Disabled Users') e clique em OK . *
* Observação:Deixe as opções 'Global' e 'Segurança' marcadas.
Quatro. Abra o grupo recém-criado, selecione o Membros aba e clique Adicionar
5. Agora selecione em qual usuário do domínio você deseja bloquear os dispositivos de armazenamento USB e clique em OK.
6. Clique OK para fechar as propriedades do grupo.
Etapa 2. Crie um novo objeto de política de grupo para desabilitar os dispositivos de armazenamento USB.
1. Abra o Gerenciamento de políticas de grupo.
dois. No objeto 'Domínios', clique com o botão direito do mouse em seu domínio e selecione Crie um GPO neste domínio e vincule-o aqui.
3. Digite um nome para o novo GPO (por exemplo, 'USB desativado') e clique em OK.
Quatro. Clique com o botão direito do mouse no novo GPO e clique em Editar.
5. Em 'Editor de gerenciamento de política de grupo', navegue até:
Quatro. No painel direito, clique duas vezes em: Discos removíveis: Negar acesso de leitura. *
* Observação:
1.Muitos tutoriais neste momento sugerem Habilitar a ' Todas as classes de armazenamento removível: Negar todos os acessos' política, mas durante nossos testes descobrimos que esta política não se aplica (trabalho) para smartphones ou tablets.
dois.Se você deseja bloquear o acesso de gravação USB, selecione o Discos removíveis: Negar acesso de gravação.
5. Verificar Habilitado e clique OK.
6. Fechar a Editor de Gerenciamento de Diretiva de Grupo janela.
7. De volta ao 'Group Policy Management', selecione o GPO 'USB Disabled' e na guia 'Scope' clique no Adicionar botão (nas configurações de 'Filtragem de segurança').
8. Digite o nome do grupo 'usuários desabilitados por USB' (por exemplo, 'usuários desabilitados por USB' nesta postagem) e clique em OK .
9. Quando terminar, selecione o Delegação aba.
10. Na aba 'Delegação', selecionar a Usuários autenticados e clique Avançado.
onze . Nas opções de segurança, selecionar a Usuários autenticados e desmarque a Aplicar política de grupo caixa de seleção. Quando terminar, clique OK.
6. Fechar o Editor de Diretiva de Grupo.
7. Reinicie o servidor e as máquinas cliente, ou execute o ' gpupdate /force ' comando (como administrador), para aplicar as novas configurações de política de grupo (sem reinicialização) ao servidor e aos clientes.
É isso!
