Наши новости могут транслироваться, используя rss.
FAQ
FAQ #67
Запрет USB flash и DVD для компьютеров в домене server 2008
Политика блокировки USB устройств будет работать, если инфраструктура соответствует требованиям:
Версия схемы Active Directory — Windows Server 2008 и выше Примечание. Набор политик, позволяющий управлять установкой и использованием съемных носителей, появился только в этой версии AD Клиентские ОС – Windows Vista, Windows 7 и выше
Итак, мы планируем ограничить использование USB накопителей для всех компьютеров в определенном контейнере (OU). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откроем консоль управления GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создадим новую политику (Create a GPO in this domain and Link it here). Совет. В случае использования отдельно стоящего компьютера, политика ограничения использования USB портов может быть отредактирована с помощью локального редактора групповых политик – gpedit.msc.
Создать новую групповую политикуНазовем политику Disable USB Access.
Политика Disable USB Access Затем отредактируем ее параметры (Edit).
Отредактировать GPO
Настройки блокировки внешних носителей присутствуют в пользовательском и компьютерных разделах GPO:
User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам) Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
В нашем случае, мы хотим заблокировать USB накопители на уровне компьютера, поэтому нас интересует второй раздел. Разверните его.
В разделе Removable Storage Access есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD диски, флоппи диски (FDD), USB устройства, ленты и т.д.
Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ)– позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.
All Removable Storage Classes: Deny All Access После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства определяются системой, но при попытке их открыть появляется ошибка:
Location is not available
Drive is not accessible. Access is denied
USB Location is not available Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001
В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.
К примеру, чтобы запретить запись данных на USB флешки и диски, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).
Removable Disk: Deny write access
В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку:
Destination Folder Access Denied
You need permission to perform this action
Destination Folder Access DeniedС помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файл
