เมื่อเชื่อมต่ออุปกรณ์ USB ใหม่เข้ากับคอมพิวเตอร์ Windows จะตรวจหาอุปกรณ์โดยอัตโนมัติและติดตั้งไดรเวอร์ที่เหมาะสม เป็นผลให้ผู้ใช้สามารถใช้ไดรฟ์ USB หรืออุปกรณ์ที่เชื่อมต่อเกือบจะในทันที ในบางองค์กร การใช้อุปกรณ์จัดเก็บข้อมูล USB (แฟลชไดรฟ์ USB HDD การ์ด SD และอื่นๆ) ถูกบล็อกเนื่องจากเหตุผลด้านความปลอดภัย เพื่อป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อนและทำให้คอมพิวเตอร์ติดไวรัส บทความนี้อธิบายวิธีการใช้ Group Policy (GPO) เพื่อปิดใช้งานไดรฟ์ USB แบบถอดได้ภายนอก
การกำหนดค่า GPO เพื่อปิดใช้งานอุปกรณ์เก็บข้อมูล USB บนคอมพิวเตอร์โดเมน
ใน Windows ทุกรุ่นตั้งแต่ Windows 7 คุณสามารถจัดการการเข้าถึงไดรฟ์ภายนอกได้อย่างยืดหยุ่น (USB, CD / DVD, ฟลอปปี, เทป ฯลฯ ) โดยใช้นโยบายกลุ่ม (เราไม่ได้พิจารณาวิธีที่รุนแรงในการปิดการใช้งานพอร์ต USB ผ่านการตั้งค่า BIOS ). เป็นไปได้ที่จะบล็อกการใช้เฉพาะไดรฟ์ USB โดยทางโปรแกรม โดยไม่กระทบต่ออุปกรณ์ USB เช่น เมาส์ แป้นพิมพ์ เครื่องพิมพ์ ฯลฯ (ซึ่งไม่รู้จักว่าเป็นดิสก์แบบถอดได้)
นโยบายการบล็อกอุปกรณ์ USB จะทำงานหากโครงสร้างพื้นฐานของโดเมน AD ของคุณตรงตามข้อกำหนดต่อไปนี้:
- เวอร์ชันสคีมา Active Directory — Windows Server 2008 หรือใหม่กว่า;หมายเหตุ . ชุดนโยบายกลุ่มช่วยให้ควบคุมการติดตั้งและการใช้สื่อแบบถอดได้บน Windows ที่ปรากฏเฉพาะใน AD เวอร์ชัน 44
- เดสก์ท็อประบบปฏิบัติการ –Windows 7 หรือใหม่กว่า
เราจะจำกัดการใช้ไดรฟ์ USB สำหรับคอมพิวเตอร์ทุกเครื่องในคอนเทนเนอร์ AD (OU) คุณสามารถใช้นโยบายบล็อก USB กับทั้งโดเมนได้ แต่จะมีผลกับเซิร์ฟเวอร์และอุปกรณ์เทคโนโลยีอื่นๆ สมมติว่าเราต้องการใช้นโยบายกับ OU ชื่อ เวิร์กสเตชัน . โดยเปิดคอนโซลการจัดการ GPO (gpmc.msc ) คลิกขวาที่เวิร์กสเตชัน OU และสร้างนโยบายใหม่ (สร้าง GPO ในโดเมนนี้และลิงก์ที่นี่ )
เคล็ดลับ . ในกรณีของคอมพิวเตอร์แบบสแตนด์อโลน นโยบายการจำกัดอุปกรณ์ USB สามารถแก้ไขได้โดยใช้ตัวแก้ไขนโยบายกลุ่มในเครื่อง – gpedit.msc . Local Group Policy Editor ไม่มีใน Windows Home รุ่นต่างๆ แต่คุณสามารถติดตั้งได้ดังนี้:วิธีเปิดใช้งาน gpedit.msc บน Windows 10 Home
ตั้งชื่อ GPO “ปิดการใช้งานการเข้าถึง USB” .
แก้ไขการตั้งค่า GPO (แก้ไข )
การตั้งค่าสำหรับการบล็อกอุปกรณ์จัดเก็บข้อมูลภายนอกมีอยู่ในส่วนผู้ใช้และคอมพิวเตอร์ของ GPO:
- การกำหนดค่าผู้ใช้ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ระบบ -> การเข้าถึงที่เก็บข้อมูลแบบถอดได้
- การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ระบบ -> การเข้าถึงที่เก็บข้อมูลแบบถอดได้
ใน การเข้าถึงที่เก็บข้อมูลแบบถอดได้ มีหลายนโยบายที่อนุญาตให้คุณปิดการใช้งานคลาสพื้นที่เก็บข้อมูลประเภทต่างๆ — CD/DVD, FDD, อุปกรณ์ USB, เทป ฯลฯ
- ซีดีและดีวีดี:ปฏิเสธการดำเนินการเข้าถึง
- ซีดีและดีวีดี:ปฏิเสธการเข้าถึงแบบอ่าน
- ซีดีและดีวีดี:ปฏิเสธการเข้าถึงการเขียน
- คลาสที่กำหนดเอง:ปฏิเสธการเข้าถึงการอ่าน
- คลาสที่กำหนดเอง:ปฏิเสธการเข้าถึงเพื่อเขียน
- ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงการดำเนินการ
- ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงแบบอ่าน
- ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงการเขียน
- ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการดำเนินการ
- ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงแบบอ่าน
- ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน
- คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด
- ที่เก็บข้อมูลแบบถอดได้ทั้งหมด:อนุญาตการเข้าถึงโดยตรงในเซสชันระยะไกล
- เทปไดรฟ์:ปฏิเสธการเข้าถึงการดำเนินการ
- เทปไดรฟ์:ปฏิเสธการเข้าถึงแบบอ่าน
- เทปไดรฟ์:ปฏิเสธการเข้าถึงการเขียน
- Windows Portable Device – คลาสนี้รวมถึงสมาร์ทโฟน แท็บเล็ต เครื่องเล่น ฯลฯ
- อุปกรณ์ WPD:ปฏิเสธการเข้าถึงการเขียน
อย่างที่คุณเห็น คุณสามารถปฏิเสธการเปิดไฟล์ปฏิบัติการสำหรับอุปกรณ์แต่ละคลาสได้ (ปกป้องคอมพิวเตอร์จากไวรัส) ห้ามอ่านข้อมูล และเขียน/แก้ไขไฟล์บนสื่อภายนอก
นโยบายการจำกัดที่ "เข้มงวดที่สุด" — คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด – อนุญาตให้ปิดการใช้งานการเข้าถึงอุปกรณ์จัดเก็บข้อมูลภายนอกทุกประเภทอย่างสมบูรณ์ หากต้องการเปิดใช้นโยบาย ให้เปิดและทำเครื่องหมายที่เปิดใช้ .
หลังจากเปิดใช้งานและอัปเดตนโยบายบนคอมพิวเตอร์ไคลเอนต์ (gpupdate /force ) OS ตรวจพบอุปกรณ์ภายนอกที่เชื่อมต่อ (ไม่เพียงแต่อุปกรณ์ USB แต่ยังรวมถึงไดรฟ์ภายนอกด้วย) แต่เมื่อพยายามเปิด อุปกรณ์ดังกล่าวจะเกิดข้อผิดพลาด:
Location is not available Drive is not accessible. Access is denied.
ในส่วนนโยบายเดียวกัน คุณสามารถกำหนดค่าข้อจำกัดที่ยืดหยุ่นมากขึ้นเกี่ยวกับการใช้ไดรฟ์ USB ภายนอก
ตัวอย่างเช่น เพื่อป้องกันการเขียนข้อมูลลงในแฟลชไดรฟ์ USB และไดรฟ์ USB ประเภทอื่นๆ คุณควรเปิดใช้นโยบายดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน .
ในกรณีนี้ ผู้ใช้จะสามารถอ่านข้อมูลจากแฟลชไดรฟ์ USB ได้ แต่เมื่อพยายามเขียนข้อมูลลงไป พวกเขาจะได้รับข้อผิดพลาดในการปฏิเสธการเข้าถึง:
Destination Folder Access Denied You need permission to perform this action
คุณสามารถป้องกันไม่ให้ไฟล์เรียกทำงานและไฟล์สคริปต์ทำงานจากไดรฟ์ USB ได้โดยใช้ ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการดำเนินการ นโยบาย
การปิดใช้งานไดรฟ์ USB ผ่าน GPO สำหรับผู้ใช้เฉพาะ
บ่อยครั้งที่จำเป็นต้องบล็อกไดรฟ์ USB สำหรับผู้ใช้ทุกคนในโดเมน ยกเว้นผู้ดูแลระบบ
วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการใช้ การกรองความปลอดภัย ในองค์การเภสัชกรรม ตัวอย่างเช่น เพื่อป้องกันไม่ให้ใช้นโยบายบล็อก USB กับกลุ่ม Domain Admins:
- เลือก ปิดใช้งานการเข้าถึง USB . ของคุณ นโยบายในคอนโซลการจัดการนโยบายกลุ่ม
- ใน การกรองความปลอดภัย ส่วน เพิ่ม ผู้ดูแลระบบโดเมน กลุ่ม;
- ไปที่ การมอบหมาย แท็บแล้วคลิก ขั้นสูง . ในตัวแก้ไขการตั้งค่าความปลอดภัย ระบุว่ากลุ่ม Domain Admins ไม่ได้รับอนุญาตให้ใช้ GPO นี้ (ใช้นโยบายกลุ่ม – ปฏิเสธ )
อาจมีงานอื่น คุณต้องอนุญาตให้ใช้ไดรฟ์ USB ภายนอกสำหรับทุกคน ยกเว้นผู้ใช้บางกลุ่ม สร้างกลุ่มความปลอดภัย "ปฏิเสธ USB" และเพิ่มกลุ่มนี้ในการตั้งค่าความปลอดภัยของ GPO สำหรับกลุ่มนี้ ตั้งค่าสิทธิ์ในการอ่านและใช้ GPO และปล่อยให้สิทธิ์อ่านเฉพาะสำหรับ ผู้ใช้ที่ตรวจสอบสิทธิ์ หรือ คอมพิวเตอร์โดเมน กลุ่ม (โดยยกเลิกการเลือก ใช้นโยบายกลุ่ม ช่องทำเครื่องหมาย)
การบล็อก USB และอุปกรณ์ที่ถอดออกได้ผ่านการตั้งค่ารีจิสทรีและนโยบายกลุ่ม
คุณสามารถควบคุมการเข้าถึงอุปกรณ์ภายนอกได้อย่างยืดหยุ่นมากขึ้นโดยกำหนดการตั้งค่ารีจิสทรีที่กำหนดโดยนโยบายที่กล่าวถึงข้างต้นผ่าน Group Policy Preferences (GPP) นโยบายข้างต้นทั้งหมดสอดคล้องกับรีจิสตรีคีย์บางตัวใน HKLM (หรือ HKCU ) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices คีย์ (โดยค่าเริ่มต้นคีย์รีจิสทรีนี้หายไป)
ในการเปิดใช้งานหนึ่งในนโยบายเหล่านี้ คุณต้องสร้างคีย์ย่อยใหม่ในคีย์ที่ระบุด้วยชื่อของคลาสอุปกรณ์ที่คุณต้องการบล็อกการเข้าถึง (คอลัมน์ 2) และพารามิเตอร์ REG_DWORD ด้วยประเภทข้อจำกัด (Deny_Read , Deny_Write หรือ Deny_Execute ). หากค่าของพารามิเตอร์นี้เท่ากับ 1 , การจำกัด USB จะทำงาน ถ้า 0 – ไม่มีการจำกัดซ้ำในคลาสอุปกรณ์นี้
| ชื่อนโยบาย | Guid คลาสอุปกรณ์ | ชื่อพารามิเตอร์รีจิสตรี |
| ฟลอปปีไดรฟ์: ปฏิเสธสิทธิ์การอ่าน | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | ปฏิเสธ_Read |
| ฟลอปปีไดรฟ์: ปฏิเสธการเข้าถึงการเขียน | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| ซีดีและดีวีดี: ปฏิเสธการเข้าถึงแบบอ่าน | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | ปฏิเสธ_Read |
| ซีดีและดีวีดี: ปฏิเสธการเข้าถึงการเขียน | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| ดิสก์แบบถอดได้: ปฏิเสธสิทธิ์การอ่าน | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | ปฏิเสธ_Read |
| ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงการเขียน | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| เทปไดรฟ์: ปฏิเสธการเข้าถึงแบบอ่าน | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | ปฏิเสธ_Read |
| เทปไดรฟ์: ปฏิเสธการเข้าถึงการเขียน | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| อุปกรณ์ WPD: ปฏิเสธการเข้าถึงการอ่าน | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | ปฏิเสธ_Read |
| อุปกรณ์ WPD: ปฏิเสธการเข้าถึงการเขียน | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | Deny_Write |
คุณสามารถสร้างคีย์รีจิสทรีและพารามิเตอร์ที่ระบุได้ด้วยตนเอง ในภาพหน้าจอด้านล่าง ฉันได้สร้าง RemovableStorageDevices คีย์ และคีย์ย่อยชื่อ {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} ด้วยความช่วยเหลือของพารามิเตอร์ REG_DWORD ฉันห้ามเขียนและเรียกใช้ไฟล์สั่งการจากไดรฟ์ USB
คุณสามารถใช้รีจิสตรีคีย์เหล่านี้และการกำหนดเป้าหมายระดับรายการของ GPP เพื่อปรับใช้นโยบายที่จำกัดการใช้อุปกรณ์จัดเก็บข้อมูล USB ภายนอกได้อย่างยืดหยุ่น คุณสามารถใช้นโยบายกับกลุ่มความปลอดภัย AD, ไซต์, เวอร์ชันของระบบปฏิบัติการ, OU (คุณสามารถใช้ตัวกรอง WMI ได้) ตัวอย่างเช่น คุณสามารถสร้าง Storage-Devices-Restrict กลุ่มโดเมนและเพิ่มบัญชีคอมพิวเตอร์ที่คุณต้องการจำกัดการใช้ไดรฟ์ USB กลุ่มนี้ระบุไว้ในนโยบาย GPP ของคุณใน การกำหนดเป้าหมายระดับรายการ -> กลุ่มรักษาความปลอดภัย ส่วนที่มีคอมพิวเตอร์ ในตัวเลือกกลุ่ม การดำเนินการนี้จะใช้นโยบายการบล็อก USB กับคอมพิวเตอร์ที่เพิ่มในกลุ่มโฆษณานี้
ปิดใช้งานไดรเวอร์ที่เก็บข้อมูล USB ผ่านรีจิสทรี
คุณสามารถปิดการใช้งาน USBSTOR (USB Mass Storage Driver) . ได้อย่างสมบูรณ์ ซึ่งจำเป็นสำหรับการตรวจจับและติดตั้งอุปกรณ์จัดเก็บข้อมูล USB อย่างถูกต้อง
บนคอมพิวเตอร์แบบสแตนด์อโลน คุณสามารถปิดใช้งานไดรเวอร์นี้โดยเปลี่ยนค่าของ เริ่ม พารามิเตอร์รีจิสตรีจาก 3 ถึง 4 . คุณสามารถทำได้ผ่าน PowerShell:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4
รีสตาร์ทคอมพิวเตอร์และลองเชื่อมต่ออุปกรณ์เก็บข้อมูล USB ของคุณ ตอนนี้ไม่ควรปรากฏใน File Explorer หรือคอนโซลการจัดการดิสก์ และใน Device Manager คุณจะเห็นข้อผิดพลาดในการติดตั้งไดรเวอร์อุปกรณ์
หมายเหตุ . นี่เป็นวิธีเดียวที่จะปิดการใช้งานไดรฟ์ USB ใน Windows XP/Windows Server 2003 ที่ล้าสมัย เนื่องจากในเวอร์ชันเหล่านี้ไม่มีการตั้งค่า Group Policy แยกต่างหากเพื่อจำกัดการเข้าถึงอุปกรณ์ USB ภายนอกคุณสามารถปิดใช้งานไดรเวอร์ USBSTOR ไม่ให้ทำงานบนคอมพิวเตอร์โดเมนได้โดยใช้การตั้งค่านโยบายกลุ่ม ในการดำเนินการนี้ คุณต้องทำการเปลี่ยนแปลงรีจิสทรีผ่าน GPO
การตั้งค่าเหล่านี้สามารถปรับใช้กับคอมพิวเตอร์โดเมนทั้งหมดได้ สร้างนโยบายกลุ่มใหม่ เชื่อมโยงกับ OU กับคอมพิวเตอร์ และใน การกำหนดค่าคอมพิวเตอร์ -> ค่ากำหนด -> การตั้งค่า Windows -> รีจิสทรี ส่วน สร้างพารามิเตอร์ใหม่ด้วยค่า:
- การกระทำ :อัปเดต
- รัง :HKEY_LOCAK_MACHINE
- เส้นทางหลัก :SYSTEM\CurrentControlSet\Services\USBSTOR
- ชื่อค่า :เริ่ม
- ประเภทค่า :REG_DWORD
- ข้อมูลค่า :00000004
อนุญาตให้เชื่อมต่อเฉพาะอุปกรณ์จัดเก็บข้อมูล USB เท่านั้น
คุณสามารถใช้การตั้งค่ารีจิสทรีบางอย่างเพื่ออนุญาตให้ไดรฟ์จัดเก็บ USB เฉพาะ (ที่ได้รับอนุมัติ) เชื่อมต่อกับคอมพิวเตอร์ของคุณได้ มาดูวิธีกำหนดค่านี้กัน
เมื่อคุณเชื่อมต่ออุปกรณ์เก็บข้อมูล USB ใดๆ เข้ากับคอมพิวเตอร์ USBSTOR ไดรเวอร์ติดตั้งอุปกรณ์และสร้างคีย์รีจิสทรีแยกต่างหากภายใต้ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR . คีย์รีจิสทรีนี้มีข้อมูลเกี่ยวกับไดรฟ์ USB (เช่น Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00)
Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName
คุณลบรีจิสทรีคีย์ทั้งหมดสำหรับแฟลชไดรฟ์ USB ที่เชื่อมต่อก่อนหน้านี้ได้ ยกเว้นสิ่งที่คุณต้องการ
จากนั้น คุณต้องเปลี่ยนการอนุญาตบนรีจิสตรีคีย์ USBSTOR เพื่อให้ทุกคน (รวมถึงระบบและผู้ดูแลระบบ) มีสิทธิ์ในการอ่านเท่านั้น ด้วยเหตุนี้ เมื่อคุณเชื่อมต่อไดรฟ์ USB ใดๆ ยกเว้นไดรฟ์ที่ได้รับอนุญาต Windows จะไม่สามารถติดตั้งอุปกรณ์ได้
