Jak za pomocą GPO zablokować dostęp do dysków lokalnych lub ukryć je przed użytkownikiem?


 

Od czasu do czasu staram sie pokazać, że GPO to idealny sposób na centralne zarządzanie ustawieniami komputerów i użytkowników w domenie Windows. Niedawno pokazałem jak zablokować nośniki USB – dzisiaj zablokujemy dostęp do dysków lokalnych oraz ukryjemy je przed użytkownikiem.

 
Dlaczego blokować i ukrywać dyski?

Odpowiedź jest bardzo prosta: po to, by zwiększyć bezpieczeństwo. Im mniej widzi i może wykonać użytkownik, tym mniej jest w stanie „popsuć” :) O ile na PC blokowanie dysków może być kłopotliwe zarówno dla użytkownika jak i Administartora, to na serwerze terminali ma dużo sensu i zapewne właśnie tam skorzystamy z niniejszej porady.

Blokowanie dysków lokalnych przez GPO

Uruchamiamy przystawkę GPMC (oto skąd ją wziąć jeśli jej nie mamy). Ustawienia dotyczą użytkownika, zatem polityka musi być podpięta do kontenera, w którym znajdują się konta użytkowników.

Jak zawsze, w tym miejscu przypomnę, że polityka GPO może spłynąć na:

  • wszystkie obiekty w domenie (edytujemy domyśloną politykę o nazwie „Default Domain Policy”),
  • wszystkie obiekty w konkretnym OU (tworzymy lub edytujemy politykę podlinkowaną do odpowiedniego kontenera),

W GPMC w edytujemy wybraną politykę nawigując do:

Konfiguracja użytkownika\Szablony administracyjne\Składniki systemu Windows\Eksplorator Windows

W wersji angielskiej:

User Configuration\Administrative Templates\Windows Components\Windows Explorer

Za zablokowanie dostępu do dysków lokalny odpowiada wpis „Prevent access to drives from My Computer (Zapobiegaj dostępowi do dysków z okna Mój komputer)”, który ma domyślną wartość “not configured”. Zmieniamy na “enabled” i z menu wybieramy, które dyski mają zostać zablokowane (np „Restrict All Drives”):
gpo_prevent_access_local_drives

Warto dodać, że ustawienie to zablokuje zarówno dostęp do dysków z poziomu „My Computer / Mój komputer” jak i konsoli CMD, ale te ciągle będą widoczne.

Jak ukryć dyski w My Computer/Mój komputer?

W tej samej gałęzi co powyżej, znajdziemy opcję „Hide these specified drives in My Computer (Ukryj te określone dyski w oknie Mój komputer)

gpo_hide_local_drives

Warto przypomnieć, że w trybie awaryjnym GPO nie działa i dyski będą dostępne. Jeśli macie jakiś sprawdzony sposób na ominięcie tego problemu podzielcie się nim w komentarzach.


Podobne Tematy:

Tags:
  • Skum4j

    Witam,
    chcialbym zapytac o 2 rzeczy:

    1) U mnie na windwosie 7 64b prof to nie dziala, uruchamiam gpedit.msc wybieram „ukryj okreslone tutaj dyski w moj komputer” wybieram np, dysk D klikam zastosuj. Nie dostaje komuniakatu o bledzie niby wszystko jest ok, ale nie wchodzi to w zycie. Moge normlanie dostac sie do dysku. Co ciekawe jak wybiore „Zapobieraj dostepowi do dyskow z okna Moj komputer” i wybiore dysk D to juz jest wszystko ok i nie mam dostepu ze swojego konta.

    2) Czy mozna zrobic jakos skrot do tej konkretnej funkcji np. z pulpitu ? Aby od razu edytwoac „ukryj okreslone tutaj dyski w moj komputer” ?

    Pozdrawiam
    Skum4j

    • 1) ” Moge normlanie dostac sie do dysku” – w jaki sposób? Z poziomu „Mój Komputer”? Ustawienie „Ukryj” nie blokuje dostępu, tylko chowa ikonę dysku w oknie „Mój komputer”.

      2) Nie można tworzyć skrótów do funkcji GPO :( . Jeśli szukasz sposobu na szybkie blokowanie i odblokowanie dysków, spróbuj to robić przez rejestr. Klucz, któego szukasz znajduje się w gałezi : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, nazywa się NoViewOnDrive
      i przyjmuje wartości: A – 1, B – 2, C – 4, D – 8, E – 16, F – 32, G – 64, H – 128, I –
      256, J – 512, K – 1024, L – 2048, M – 4096, N – 8192, O – 16384, P –
      32768, Q – 65536, R – 131072, S – 262144, T – 524288, U – 1048576, V –
      2097152, W – 4194304, X – 8388608, Y – 16777216, Z – 33554432, ALL –
      67108863

      Uwaga, zablokowanie dysków A i B daje wartość „3” bo 1 + 2 = 3. Zablokowanie dysku D i F daje wartość 40, bo 8+32=40.

      • Skum4j

        1) Jezeli funkcja ma ukrywac dostep z poziomu „Mój komputer” a napisałem że nie działa – to mam na myśli że w zakładce „Mój komputer” w dalszym ciągu znajduję widoczny dysk D i nie jest on ukryty.

        „Ustawienie „Ukryj” nie blokuje dostępu, tylko chowa ikonę dysku w oknie „Mój komputer”.” – Zgadza się napisałem że użyłem w drugiej kolejności „Zablokuj …” i faktycznie dostęp został zablokowany. Opcja „ukryj” ma za zadanie ukrywać, a „Zablokuj” ma blokować – całkiem logiczne i nie neguje tego. Sęk w tym że opcja „ukryj” nie ukrywa.

        2) Skrót przez rejestr to całkiem ciekawe rozwiązanie.

        Klucz o nazwie „NoViewOnDrive” jest widoczny w rejestrze tylko wtedy, gdy jest włączona także inna funkcja GPO o nazwie „Zapobieraj dostepowi do dyskow z okna Moj komputer” ( nawet gdy jest ustawione że do żadnego dysku ma nie być blokowany dostęp ). Gdy wyłączam ww. funkcje to od razu znika klucz o którym piszesz.

        Gdy już jest on widoczny, to klucz ten przyjmuje dokladnie takie wartosci jak napisales np. „8” dla „Ukryj dysk D”. Jednak tak jak napisalem w pkt.1 na moim komputerze dyski nie sa ukrywane ( probowalem tez kombinacje z innymi dyskami).

        Może komuś się przyda, https://support.microsoft.com/pl-pl/kb/231289/pl

        • Skum4j

          Mogę liczyć na pomoć w tej kwestii ?

        • Hejka. Zacznijmy od punktu 1, czyli „funkcja UKRYJ nie ukrywa”. Muszę wykorzystać standardową odpowiedź wrednego admina „u mnie działa” :)

          Spróbujmy więc to zdebugować. Zaaplikuj to samo ustawienie przez Local Group Policy, czyli konsolę „gpedit”. LGP ma pierwszeństwo nad GPO. Powiedz czy działa. Efekt powinien byc natychmiastowy – wystarczy odświeżyć zawartość MY COMPUTER i odpowiedni dysk zniknie z listy.

          W miarę możliwości przetestuj to na maszynie na której wcześniej nie testowałeś.

          Jeśli w LGP działa, to w konsoli GPO (gpmc) użyj „Group Policy Results” aby upewnić się, czy nie ma jakiejś polityki na wyższym posiomie, która nadpisuje ustawienia.

        • Skum4j

          Czesc, wiec tak – przetestowalem cala procedure na komputerze z praktycznie z taka sama konfiguracja i wszystko dziala. Na moim komputerze ta sama procedura i nie ma efektow. Uruchamiam poprzez gpedit.msc dalej „Konfiguracja użytkownikaSzablony administracyjneSkładniki systemu WindowsEksplorator Windows” i „ukryj dysk …”. I dysk dalej jest widoczny w moj komputer. Masz moze jeszcze jakis pomysl co moze byc tego powodem, ew. co jeszcze moge zrobic w tym temacie ?

        • To super, że na innym kompie działa.

          Może wcześniej u siebie próbowałeś jakichś innych metod do blokowania / chowania dysku? Może masz ciągle poinstalowane jakieś narzędzia firm 3cich?

          Zaloguj się na innym profilu. Może inny profil nie ma tego problemu (ustawienia o których rozmawiają działają w gałęzi HKCU i Twój rejestr może mieć coś pomieszane).

        • Kwestia nr 2. Skrypt który powinien ukryć dysk C:

          reg add „HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer” /v NoViewOnDrive /t REG_DWORD /d 4

          Skrypt do blokowania dostępu do dysku C:

          reg add „HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer” /v NoDrives /t REG_DWORD /d 4

          JEDNA UWAGA: WYMAGANY RESTART.