Spece.IT

Jak za pomocą GPO wyłączyć „autouruchamianie” ( „Autorun” ) z nośników danych i dysków?

przez ·

Funkcja Autorun w systemach Windows służy kilku celom . Po pierwsze pozwala wykryć włożenie do napędu nośnika danych (płyta CD/DVD, pamięć USB) i zapytać użytkownika o wybór dalszych akcji. Pewnie zgodzicie się, że jest to przydatne głównie mało zaawansowanym użytkownikom – każdy spec IT wie, jak wykorzystać menu kontekstowe w celu wybrania odpowiedniej akcji („eksploruj”, „instaluj” itd.).

Po drugie, Autorun pozwala samemu nośnikowi wskazać jakie akcje mają zostać wykonane na komputerze. Podczas auto-uruchamiania jest wyszukiwany i rozpoznawany plik autorun.inf, który dokładnie wskazuje jakie polecenia mają zostać wykonane. Oto, przykładowa, treść pliku autorun.inf:

[autorun]
open=program.exe
icon=ikona.ico

Wielu twórców oprogramowania korzysta z tych funkcji w celu uruchamiania programów instalacyjnych – gdy wkładamy do napędu płytkę, od razu wita nas okno instalatora. Jest to bardzo wygodne, ale też niebezpieczne…

Jakie jest zagrożenie?

Niestety z tych samych właściwości korzystają złośliwe programy (malware, wirusy), które replikują się, lub wykonują szkodliwe akcje od razu po włożeniu nośnika, czy otworzenia dysku sieciowego. Z punktu widzenia Polityki Bezpieczeństwa w firmie funkcję Autorun najbezpieczniej jest wyłączyć.

Autorun, a GPO…

W GPO można takową blokadę skonfigurować w prosty sposób. Uruchamiamy konsolę do edycji GPO (jeśli jej nie macie , zapoznajcie się z tym artykułem) poleceniem:

gpedit.msc

Jak zawsze, w tym miejscu przypomnę, że polityka GPO może spłynąć na:

  • wszystkie obiekty w domenie (edytujemy domyśloną politykę o nazwie „Default Domain Policy”),
  • wszystkie obiekty w konkretnym OU (tworzymy lub edytujemy politykę podlinkowaną do odpowiedniego kontenera),

Wiedząc już którą politykę edytować, przechodzimy do konkretnych ustawień. Nawigujemy kolejno:

Computer Configuration > Administrative Templates > Windows Components

Wybieramy “Autoplay Policies “, a w oknie z detalami opcję „Turn off Autoplay”:

Domyślna wartość wartość to “Not configured” – należy ustawić „Enabled”.  Aby wyłączyć auto-uruchamianie na wszystkich dyskach i rodzajach nośników wybieramy „All drives”:

To wszystko 🙂 Nowe ustawienia spłyną na komputery po ich restarcie. Jeśli Macie jakieś pytania lub sugestie – piszcie komentarze.

Tagi:

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

3 komentarze

  1. sattom pisze:
    20 grudnia 2015 o 11:54

    Czy mogę zasugerować, aby nazwy odpowiednich pozycji W GPO były również opisywane w języku POLSKIM…
    Wiem, że większość administratorów pracuje z Windows Serwer w wersji ENG, ale zwłaszcza początkujący admini (a raczej do nich skierowany jest blog) pracują z systemami w wersji PL…

    Czasami muszę się nieźle naszukać polskich odpowiedników stosownych pozycji…

    Odpowiedz
  2. Pytajnik pisze:
    8 marca 2017 o 18:21

    Witam, a jak wygląda możliwość wyłączenia Autorun za pomocą GPO dla komputerów podpiętych do domeny z systemem Windows XP?

    Odpowiedz

Dodaj komentarz