Jak za pomocą GPO zablokować dostęp do pamięci USB?

Zaglądając na naszego Bloga na pewno wiecie już, że GPO pozwala na scentralizowane zarządzanie komputerami w domenie Windows. Niedawno, ze strachu przed wirusami blokowaliśmy auto-uruchamianie programów z dysków i nośników – dzisiaj kolejna praktyczna porada:  zablokujemy dostęp do pamięci USB na systemach Windows Vista i nowszych.
Dlaczego blokować pendrive’y?

Blokowanie ich to temat bardzo delikatny i kontrowersyjny. Możliwość szybkiego przenoszenia dużych danych pomiędzy komputerami (na przykład w niezbyt wydajnej sieci lub w wydzielonych sieciach) albo noszenie pracy do domu jest tak samo przydatne jak niebezpieczne. Pendrive’y to zmora wielu firm dbających o poufność danych. Są też niestety idealnym sposobem rozpowszechniania się wirusów. Dlatego też wiele firm wprowadza politykę blokowania pamięci USB.

Konfiguracja przez GPO

Uruchamiamy przystawkę GPMC (oto skąd ją wziąć jeśli jej nie mamy).  Ustawienia dotyczą użytkownika, zatem polityka musi być podpięta do kontenera, w którym znajdują się konta użytkowników.

Jak zawsze, w tym miejscu przypomnę, że polityka GPO może spłynąć na:

  • wszystkie obiekty w domenie (edytujemy domyśloną politykę o nazwie „Default Domain Policy”),
  • wszystkie obiekty w konkretnym OU (tworzymy lub edytujemy politykę podlinkowaną do odpowiedniego kontenera),

W GPMC edytujemy wybraną politykę nawigując do:

user configuration\administrative templates\removable storage access

Możemy zablokować dostęp do odczytu, zapisu lub oba.  Odpowiadają za to wpisy:  removable disk deny read access oraz removable disk deny write access, w których domyślną wartość “not configured” należy zmienić na “enabled”:

Należy jednak przypomnieć, ze w trybie awaryjnym GPO nie działa i pamięci USB będą dostępne… Jeśli znacie jakiś fajny sprawdzony sposób na ominięcie tego problemu podzielcie się nim w komentarzach.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

9 komentarzy

  1. Pasikonik napisał(a):

    Witam Ja znam jeszcze taki sposób. Dodajemy do rejestru:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
    „StorageDevicePolicies”=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
    „WriteProtect”=dword:00000000

  2. zbyszegit napisał(a):

    Witam,

    Jak się nazywa template w którym można uzyskać to ustawienie?
    Ska można go pobrać?

  3. Mirosław Storoniak napisał(a):

    jak mogę dopuścić niektóre pendrivy do użytku poprzez GPO??

    • Łukasz Skalikow napisał(a):

      Można odfiltrować ustawienia GPO dla wybranych użytkowników – będą mogli używac dowolnych pendrivów. Za pomocą GPO nie da się dopuścić wybranych pendrivów.

    • Mirosław Storoniak napisał(a):

      Mam jeszcze pytanko odnośnie WSUS’a…
      Server 2008 R2 WSUS 3.0 SP2 Widzi kompy, jednak na klientach występuje błąd 800B0001.
      Jak Sprawdzam przeglądarką to widzi server WSUS’a.
      W GPO mam ustawione przypisywanie do grup i czas sprawdzania Updatów i to działa.samo jednak pobieranie nie za bardzo…
      Juz nie mam pomysłu co to może być…

    • Łukasz Skalikow napisał(a):

      Sto lat temu miałem chyba podobny problem.
      Zainstaluj ten patch na serwerze WSUS: https://www.microsoft.com/en-us/download/details.aspx?id=29999

  4. sattom napisał(a):

    W opisie ścieżki GPO jest błąd – prawidłowa ścieżka to:

    user configurationadministrative templatesSYSTEMremovable storage access

  5. PluszowyMis napisał(a):

    jak blokować montowanie usb-dysków dla usera. mozliwość montowania tylko dla roota w linuxie?

  6. rfegetetg napisał(a):

    Jak ustawić dla określonych użytkowników GPO blokadę pendrive USB a dla niektórych bez blokady?

Dodaj komentarz