Jak za pomocą GPO wyłączyć „autouruchamianie” ( „Autorun” ) z nośników danych i dysków?
Funkcja Autorun w systemach Windows służy kilku celom . Po pierwsze pozwala wykryć włożenie do napędu nośnika danych (płyta CD/DVD, pamięć USB) i zapytać użytkownika o wybór dalszych akcji. Pewnie zgodzicie się, że jest to przydatne głównie mało zaawansowanym użytkownikom – każdy spec IT wie, jak wykorzystać menu kontekstowe w celu wybrania odpowiedniej akcji („eksploruj”, „instaluj” itd.).
Po drugie, Autorun pozwala samemu nośnikowi wskazać jakie akcje mają zostać wykonane na komputerze. Podczas auto-uruchamiania jest wyszukiwany i rozpoznawany plik autorun.inf, który dokładnie wskazuje jakie polecenia mają zostać wykonane. Oto, przykładowa, treść pliku autorun.inf:
open=program.exe
icon=ikona.ico
Wielu twórców oprogramowania korzysta z tych funkcji w celu uruchamiania programów instalacyjnych – gdy wkładamy do napędu płytkę, od razu wita nas okno instalatora. Jest to bardzo wygodne, ale też niebezpieczne…
Jakie jest zagrożenie?
Niestety z tych samych właściwości korzystają złośliwe programy (malware, wirusy), które replikują się, lub wykonują szkodliwe akcje od razu po włożeniu nośnika, czy otworzenia dysku sieciowego. Z punktu widzenia Polityki Bezpieczeństwa w firmie funkcję Autorun najbezpieczniej jest wyłączyć.
Autorun, a GPO…
W GPO można takową blokadę skonfigurować w prosty sposób. Uruchamiamy konsolę do edycji GPO (jeśli jej nie macie , zapoznajcie się z tym artykułem) poleceniem:
gpedit.msc
Jak zawsze, w tym miejscu przypomnę, że polityka GPO może spłynąć na:
- wszystkie obiekty w domenie (edytujemy domyśloną politykę o nazwie „Default Domain Policy”),
- wszystkie obiekty w konkretnym OU (tworzymy lub edytujemy politykę podlinkowaną do odpowiedniego kontenera),
- wybrane obiekty za pomocą opisywanych wcześniej filtrów.
Wiedząc już którą politykę edytować, przechodzimy do konkretnych ustawień. Nawigujemy kolejno:
Wybieramy “Autoplay Policies “, a w oknie z detalami opcję „Turn off Autoplay”:
Domyślna wartość wartość to “Not configured” – należy ustawić „Enabled”. Aby wyłączyć auto-uruchamianie na wszystkich dyskach i rodzajach nośników wybieramy „All drives”:
To wszystko 🙂 Nowe ustawienia spłyną na komputery po ich restarcie. Jeśli Macie jakieś pytania lub sugestie – piszcie komentarze.
Czy mogę zasugerować, aby nazwy odpowiednich pozycji W GPO były również opisywane w języku POLSKIM…
Wiem, że większość administratorów pracuje z Windows Serwer w wersji ENG, ale zwłaszcza początkujący admini (a raczej do nich skierowany jest blog) pracują z systemami w wersji PL…
Czasami muszę się nieźle naszukać polskich odpowiedników stosownych pozycji…
Witam, a jak wygląda możliwość wyłączenia Autorun za pomocą GPO dla komputerów podpiętych do domeny z systemem Windows XP?
Cześć, opisane rozwiązanie zadziała również na systemach XP.