Nuo tada, kai USB 1.0 buvo paleistas 90 -aisiais, iki šiol pastebėjome didelių pokyčių ne tik USB versijoje, bet ir 3.0, bet ir naujose atminties, dydžio, saugumo, spartos savybėse. Kai esame domene, svarbu valdyti įvairius jo komponentus ir elementus, kurie gali būti įtraukti į išorę. Yra tokių įrenginių kaip USB, kuriuose svarbu valdyti keičiamus įrenginius ir tokiu būdu galėti blokuoti USB GPO, kad jie nepatektų į mūsų tinklą. Kad galėtume atlikti tokio tipo valdymą, turėsime organizacinį padalinį, iš kurio galime sukurti USB prievado blokavimo politiką, kad atliktume šią užduotį „Windows Server 2021-2022“, „Server 2022“ arba „Server 2016“.
Šiandien 95% žmonių turi USB atmintinę asmeniniais, organizaciniais, palaikymo tikslais ir pan., Ir tai labai svarbu, nes mes, esantys sistemų viduryje, galime naudoti USB atmintinę operacinei sistemai paleisti iš ten (tai 90 -aisiais nebuvo tikėtina), galime saugoti daug informacijos, iki 256 GB, o pirmosios kartos USB talpa buvo tik 16 MB. Ne tik atsarginė kopija yra svarbi geram mūsų „Windows Server“ serverių ir įmonių valdymui. Įvairūs saugumo politikos nustatymai yra daugiau nei gyvybiškai svarbūs.
Priežastys blokuoti USBKodėl blokuoti prieigą prie USB mūsų domenuose naudojant „Windows Server“? Priežastys yra kelios:
- Saugumo sumetimais, siekiant išvengti informacijos vagystės.
- Dėl įmonės politikos, nes yra subtilių duomenų ar įrašų, kuriuos galima išsaugoti USB atmintyje ir iš kur jie turi blogą paskirties vietą.
- Siekiant užkirsti kelią virusų plitimui, nes daug kartų USB atmintinės yra prijungtos prie domeno kompiuterių, neperžiūrint antivirusinės programos, ir juose yra įvairių tipų virusų, kurie gali plisti visame tinkle ir paveikti įvairius kompiuterius.
- Siekiant pagerinti kompiuterio našumą, nes daugelis žmonių diegia programas ar programas tiesiai iš USB atmintinių.
Kaip matome, yra daug priežasčių, kodėl patartina blokuoti mūsų srities USB prievadus, taip pat svarbu pabrėžti, kad ne visos įmonės blokuoja prieigą prie savo darbuotojų USB prievadų. Blokuodami USB įrenginius domeno kompiuteriuose GPO „Windows“ serveryje, užtikriname nepageidaujamus įterpimus. Šį kartą analizuosime, kaip galime užblokuoti USB prievadus naudodami grupės politiką. Pavyzdžiui, dirbsime su „Windows Server 2016“ arba „Windows Server2021-2022“.
Šioje vaizdo įrašo pamokoje taip pat galite sužinoti, kaip blokuoti USB įrenginį pagal grupės politiką arba GPO taip, kad neleistumėte nurodytiems kompiuteriams pasiekti USB prievadų. Svarbu tai kontroliuoti, kad būtų išsaugotas įmonės saugumas.
1. Atidarykite domeno politikos redaktorių „Windows Server 2016,2021-2022“
1 žingsnis
Norėdami atidaryti redaktorių ir taip sukonfigūruoti atitinkamą GPO, eisime į meniu Pradėti ir pasirinkite parinktį „Visos programos“.
2 žingsnis
Lange Visos programos surasime lauką Administravimo įrankiai ir ten pasirenkame grupės strategijos valdymo parinktį.
3 žingsnis
Bus parodytas toks langas:
2. Blokuoti USB GPO „Windows Server 2016“, 2021–2022
1 žingsnis
Šiai analizei sukūrėme organizacinį vienetą „Solvetic_USB“. Grupės politikos redaktoriuje parodysime savo domeną, kad pamatytume minėtą organizacinį vienetą.
2 žingsnis
Ten dešiniuoju pelės mygtuku spustelėkite organizacinį vienetą „Solvetic_USB“ ir šiame domene pasirinkite parinktį „Sukurti GPO“ ir susiesite ją čia.
3 žingsnis
Paspaudus nurodytą parinktį, parodomas šis langas, kuriame turime priskirti pavadinimą, šiuo atveju pasirenkame „Solvetic_Restriccion“.
4 žingsnis
Spustelėkite Gerai ir matome, kaip tinkamai sukurta mūsų politika. Dabar dešiniuoju pelės mygtuku spustelėkite politiką ir pasirinkite parinktį Redaguoti.
DIDELIS
5 žingsnis
Atsidaro toks langas:
6 žingsnis
Turime eiti šiuo maršrutu:
- Solvetic_Restriction direktyva
- Įrangos sąranka
- Direktyvos
- Administraciniai šablonai
- Sistema
- Prieiga prie nuimamos saugyklos
DIDELIS
7 žingsnis
Dešinėje pusėje matome, kad turime keletą politikos redagavimo parinkčių, iš kurių svarbiausia:
Uždrausti prieigąJei įgalinsime šią politiką, užkirsime prieigą prie bet kokios keičiamosios laikmenos, kuri jungiasi prie kompiuterio domene.
Atmesti skaitymo prieigąNaudodami šią parinktį galime leisti vartotojui rašyti ar kopijuoti informaciją į USB, bet neskaityti jo turinio.
Uždrausti rašymo prieigąŠi parinktis leidžia vartotojui skaityti informaciją iš USB, bet ne ją keisti.
Visų rūšių keičiama saugykla: uždrausti prieigą prie visko: jei įgalinsime šią parinktį, neleisime vartotojui naudoti bet kokios rūšies išimamos laikmenos, tokios kaip USB, DVD, mobilusis telefonas, MP4, MP5 ir kt.
Taip pat galime sukonfigūruoti apribojimus CD diskams, juostoms, nuotoliniams seansams ir kt.
8 žingsnis
Šiame pavyzdyje mes apribosime prieigą tik prie USB diskų, kuriems pasirenkame parinktį „Išimami diskai: uždrausti vykdyti prieigą“ ir pamatysime šį langą.
Ten turime pasirinkti parinktį Įgalinta, kad pritaikytume šią politiką pasirinktam organizaciniam vienetui. Spustelėkite Taikyti, tada Gerai, kad patvirtintumėte politiką.
9 veiksmas
Patvirtiname, kad politika įgalinta „Solvetic_Restriccion OU“.
DIDELIS
10 žingsnis
Kai atliksime ankstesnį procesą ir nustatysime, kokio tipo vienetams taikysime apribojimą, lauksime, kol politika bus pritaikyta domeno kompiuteriams, arba galime naudoti šią komandą, kad priverstume politiką.
gpupdate / forceTokiu būdu mes užtikriname savo domenų saugumą ir neleidžiame prie organizacijos kompiuterių pridėti išimamų USB įrenginių, o tai mums, kaip IT srities valdytojams, gali sukelti įvairių problemų. Užblokuodami USB GPO, galime užkirsti kelią išoriniams įrenginiams prisijungti prie mūsų domeno, nes galime valdyti išimamus įrenginius. Norėdami baigti atkreipti dėmesį į šias pamokas, kurios jums bus įdomios, galėsite valdyti, kurie vartotojai prisijungia prie „Windows Server“, ir išmokti konfigūruoti išplėstines GPO audito strategijas.
