คู่มือนี้มีคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการบล็อกอุปกรณ์เก็บข้อมูล USB บนทั้งโดเมนหรือผู้ใช้โดเมนเฉพาะโดยใช้นโยบายกลุ่มในโดเมน AD 2016 หรือ 2012 โดยเฉพาะอย่างยิ่ง หลังจากอ่านคำแนะนำในคู่มือนี้ คุณจะได้เรียนรู้วิธี เพื่อป้องกันการเข้าถึงอุปกรณ์เก็บข้อมูล USB (แฟลชไดรฟ์ ฮาร์ดไดรฟ์ภายนอก สมาร์ทโฟน แท็บเล็ต ฯลฯ) ที่สามารถเชื่อมต่อกับคอมพิวเตอร์เครื่องใดก็ได้ในโดเมน หรือปฏิเสธการเข้าถึงที่เก็บข้อมูล USB เฉพาะผู้ใช้โดเมนที่ระบุเท่านั้น
ทุกวันนี้ พวกเราหลายคนใช้อุปกรณ์เก็บข้อมูล USB เพื่อถ่ายโอนข้อมูล อย่างไรก็ตาม สำหรับองค์กร ความสามารถของพนักงานในการใช้อุปกรณ์จัดเก็บข้อมูลภายนอกอาจมีความเสี่ยงด้านความปลอดภัย เช่น การแพร่กระจายมัลแวร์หรือการสกัดกั้นข้อมูลที่ละเอียดอ่อน เพื่อหลีกเลี่ยงความเสี่ยงเหล่านี้ คุณสามารถอ่านคำแนะนำต่อไปนี้เพื่อบล็อกการเข้าถึงอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้และคอมพิวเตอร์ทุกเครื่องในโดเมนของคุณ หรือเฉพาะผู้ใช้โดเมนบางรายเท่านั้น โดยใช้นโยบายกลุ่ม *
* หมายเหตุ:
1. ในโพสต์นี้ เพื่อบล็อกไดรฟ์ USB ผ่านนโยบายกลุ่ม เราใช้ตัวควบคุมโดเมน Active Directory 2016 เพื่อสร้างนโยบายกลุ่มใหม่และเวิร์กสเตชัน Windows 10 Pro และ Windows 7 Pro เพื่อนำไปใช้
2. นโยบาย "บล็อกการเข้าถึง USB" จะไม่ส่งผลต่อผู้ดูแลระบบโดเมนหรืออุปกรณ์ USB ที่เชื่อมต่ออื่นๆ เช่น แป้นพิมพ์ USB เมาส์ เครื่องพิมพ์ ฯลฯ
3. หลังจากใช้นโยบายกลุ่มแล้ว ผู้ใช้จะไม่สามารถเข้าถึงอุปกรณ์จัดเก็บข้อมูล USB ชนิดใดๆ ได้ และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อพยายามเข้าถึงอุปกรณ์จัดเก็บข้อมูล USB บนพีซี
วิธีใช้นโยบายกลุ่มเพื่อป้องกันการเข้าถึงอุปกรณ์จัดเก็บข้อมูล USB (เซิร์ฟเวอร์ 2012/2012R2/2016)
- ส่วนที่ 1 บล็อกการเข้าถึงการอ่าน/เขียน USB สำหรับผู้ใช้โดเมนทั้งหมด
- ส่วนที่ 2 บล็อกการเข้าถึงการอ่าน/เขียน USB สำหรับผู้ใช้โดเมนบางราย
ส่วนที่ 1 วิธีบล็อกการเข้าถึงอุปกรณ์เก็บข้อมูล USB บนทั้งโดเมน 2016
วิธีปิดการเข้าถึงอุปกรณ์เก็บข้อมูล USB ที่เชื่อมต่อกับคอมพิวเตอร์ (ผู้ใช้) ในโดเมน:
1. ใน Server 2016 AD Domain Controller ให้เปิด ตัวจัดการเซิร์ฟเวอร์ และจาก เครื่องมือ เมนู เปิด การจัดการนโยบายกลุ่ม *
* นอกจากนี้ ให้ไปที่แผงควบคุม -> เครื่องมือการดูแลระบบ -> การจัดการนโยบายกลุ่ม
2. ภายใต้ โดเมน เลือกโดเมนของคุณแล้ว คลิกขวา ที่ นโยบายโดเมนเริ่มต้น แล้วเลือกแก้ไข .
3. ใน 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' ให้ไปที่:
- การกำหนดค่าผู้ใช้> นโยบาย> เทมเพลตการดูแลระบบ> ระบบ> การเข้าถึงพื้นที่เก็บข้อมูลแบบถอดได้
4. ที่บานหน้าต่างด้านขวา ดับเบิลคลิกที่:Removable Disks:Deny read access *
* หมายเหตุ:
1. บทช่วยสอนจำนวนมาก ณ จุดนี้แนะนำให้ เปิดใช้งาน 'คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด' นโยบาย แต่ในระหว่างการทดสอบ เราพบว่านโยบายนี้ใช้ไม่ได้ (ที่ทำงาน) สำหรับสมาร์ทโฟนหรือแท็บเล็ต
2. หากคุณต้องการบล็อกการเข้าถึงการเขียนด้วย USB ให้เลือก ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน
5. ทำเครื่องหมายที่เปิดใช้งาน แล้วคลิก ตกลง
6. ปิด ตัวแก้ไขนโยบายกลุ่ม
7. รีสตาร์ท เซิร์ฟเวอร์และเครื่องไคลเอนต์ หรือเรียกใช้ gpupdate /force คำสั่งเพื่อใช้การตั้งค่านโยบายกลุ่มใหม่ (โดยไม่ต้องรีสตาร์ท) กับทั้งเซิร์ฟเวอร์และไคลเอนต์
ส่วนที่ 2 วิธีป้องกันการเข้าถึงอุปกรณ์เก็บข้อมูล USB ของผู้ใช้โดเมนเฉพาะ
ในการปิดใช้งานการเข้าถึงอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้เฉพาะโดยใช้นโยบายกลุ่ม คุณต้องสร้างกลุ่มที่มีผู้ใช้ที่ไม่ต้องการเข้าถึงอุปกรณ์เก็บข้อมูล USB จากนั้นจึงนำนโยบายใหม่ไปใช้กับกลุ่มนี้ ในการทำเช่นนั้น:
ขั้นตอนที่ 1 สร้างกลุ่มที่มีผู้ใช้ USB ที่ปิดใช้งาน *
* หมายเหตุ:หากคุณสร้างกลุ่มโดยผู้ใช้ USB ที่ปิดใช้งานแล้ว ให้ดำเนินการต่อไปยังขั้นตอนที่ 2
1. เปิด ผู้ใช้ Active Directory และคอมพิวเตอร์
2. คลิกขวาที่ส่วน "ผู้ใช้ " บนบานหน้าต่างด้านซ้าย และเลือก ใหม่> กลุ่ม
3. พิมพ์ชื่อสำหรับกลุ่มใหม่ (เช่น "USB Disabled Users") และคลิก ตกลง . *
* หมายเหตุ:ปล่อยให้ตัวเลือก 'สากล' และ 'ความปลอดภัย' ถูกทำเครื่องหมายไว้
4. เปิดกลุ่มที่สร้างขึ้นใหม่ เลือก สมาชิก แท็บแล้วคลิก เพิ่ม
5. ตอนนี้เลือกผู้ใช้โดเมนที่คุณต้องการบล็อกอุปกรณ์เก็บข้อมูล USB จากนั้นคลิก ตกลง
6. คลิก ตกลง เพื่อปิดคุณสมบัติของกลุ่ม
ขั้นตอนที่ 2 สร้าง Group Policy Object ใหม่เพื่อปิดใช้งานอุปกรณ์จัดเก็บข้อมูล USB
1. เปิดการจัดการนโยบายกลุ่ม
2. ภายใต้วัตถุ 'โดเมน' ให้คลิกขวาที่โดเมนของคุณและเลือก สร้าง GPO ในโดเมนนี้และเชื่อมโยงที่นี่
3. พิมพ์ชื่อสำหรับ GPO ใหม่ (เช่น "USB Disabled") แล้วคลิก ตกลง
4. คลิกขวาที่ GPO ใหม่และคลิก แก้ไข
5. ใน 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' ให้ไปที่:
- การกำหนดค่าผู้ใช้> นโยบาย> เทมเพลตการดูแลระบบ> ระบบ> การเข้าถึงพื้นที่เก็บข้อมูลแบบถอดได้
4. ที่บานหน้าต่างด้านขวา ดับเบิลคลิกที่:Removable Disks:Deny read access *
* หมายเหตุ:
1. บทช่วยสอนจำนวนมาก ณ จุดนี้แนะนำให้ เปิดใช้งาน 'คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด' นโยบาย แต่ในระหว่างการทดสอบ เราพบว่านโยบายนี้ใช้ไม่ได้ (ที่ทำงาน) สำหรับสมาร์ทโฟนหรือแท็บเล็ต
2. หากคุณต้องการบล็อกการเข้าถึงการเขียนด้วย USB ให้เลือก ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน
5. ทำเครื่องหมายที่เปิดใช้งาน แล้วคลิก ตกลง
6. ปิด ตัวแก้ไขการจัดการนโยบายกลุ่ม หน้าต่าง
7. กลับไปที่ 'การจัดการนโยบายกลุ่ม' เลือก GPO "ปิดใช้งาน USB" และที่แท็บ 'ขอบเขต' ให้คลิก เพิ่ม ปุ่ม (ภายใต้การตั้งค่า 'การกรองความปลอดภัย')
8. พิมพ์ชื่อกลุ่ม "ผู้ใช้ที่ปิดใช้งาน USB" (เช่น "ผู้ใช้ที่ปิดใช้งาน USB" ในโพสต์นี้) แล้วคลิก ตกลง .
9. เมื่อเสร็จแล้ว เลือก การมอบหมาย แท็บ
10. ที่แท็บ 'การมอบหมาย' เลือก ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ และคลิกขั้นสูง
11 . ที่ตัวเลือกความปลอดภัย เลือก ผู้ใช้ที่ตรวจสอบสิทธิ์ และ ยกเลิกการเลือก ใช้นโยบายกลุ่ม ช่องทำเครื่องหมาย เมื่อเสร็จแล้ว คลิก ตกลง
6. ปิด ตัวแก้ไขนโยบายกลุ่ม
7. รีสตาร์ท เซิร์ฟเวอร์และเครื่องไคลเอนต์ หรือเรียกใช้ "gpupdate /force " คำสั่ง (ในฐานะผู้ดูแลระบบ) เพื่อใช้การตั้งค่านโยบายกลุ่มใหม่ (โดยไม่ต้องรีสตาร์ท) กับทั้งเซิร์ฟเวอร์และไคลเอนต์
แค่นี้แหละ! แจ้งให้เราทราบหากคู่มือนี้ช่วยคุณโดยแสดงความคิดเห็นเกี่ยวกับประสบการณ์ของคุณ โปรดกดไลค์และแชร์คู่มือนี้เพื่อช่วยเหลือผู้อื่น
