Po podłączeniu nowego urządzenia USB do komputera, system Windows automatycznie wykrywa urządzenie i instaluje odpowiedni sterownik, co oznacza, że użytkownik ma możliwość natychmiastowego korzystania z podłączonego urządzenia USB. W niektórych firmach, a już na pewno w elektrowniach i podobnych obiektach z systemami SCADA jest polityka blokowania urządzeń USB (takich jak pendrive, karty SD itp.) jest to blokowane ze względów bezpieczeństwa, aby zapobiec wyciekom poufnych danych i infekcji wirusami.
Poniżej pokazuje jak używać zasad grupy (GPO) do wyłączania zewnętrznych wymiennych napędów USB, a także do ograniczenia możliwości zapisywania danych lub uruchamiania plików wykonywalnych. Można systemowo zablokować korzystanie z napędu USB, nie wpływając na takie urządzenia jak klawiatura czy mysz na USB.
Planujemy korzystać z napędu USB dla wszystkich komputerów znajdujących się w jednostkach organizacyjnych (OU) w kontekście domeny AD. Możemy użyć zasad blokowania USB dla całej domeny, ale wpłynie to na serwery. Zakładając, że chcemy zastosować zasadę do jednostki organizacyjnej o nazwie PC, należy postępować w następujący sposób: otwórz konsolę zarządzania GPO (gpmc.msc), przejdź do jednostki organizacyjnej PC, kliknij prawym przyciskiem myszy i wybierz opcję (Utwórz GPO w tej domenie i połącz go tutaj).
Nazwij zasadę.
Ustawienia blokowania zewnętrznych urządzeń magazynujących znajdują się w sekcjach użytkowników i komputerów obiektu Zasad Grupy
Konfiguracja komputera -> Zasady -> Szablony administracyjne -> System -> Dostęp do zbiorów wymiennego
W sekcji Dostęp do listy wymienionej istnieje kilka zasad pozwalających na dostęp do danych z różnych nośników pamięci – CD / DVD, FDD, urządzenie USB, taśmy itp.
CD i DVD: Odmawiaj dostęp.
CD i DVD: odmowa dostępu do odczytu.
CD i DVD: odmowa dostępu do zapisu.
Klasy niestandardowe: Odmawiaj dostęp do odczytu.
Klasy niestandardowe: Odmawiaj dostęp do zapisu.
Napędy dyskietek: odmowa wykonania dostępu.
Napędy dyskietek: odmowa dostępu do odczytu.
Napędy dyskietek: odmowa dostępu do zapisu.
Dyski wymienne: Odmawiaj dostęp.
Dyski wymienne: Odmawiaj dostęp do odczytu.
Dyski wymienne: odmowa dostępu do zapisu.
Wszystkie klasy zbiorów wymiennego: Odmawiaj dostęp.
Wszystkie wymienne nośniki danych: Zezwalaj na bezpośredni dostęp w sesjach zdalnych.
Napędy taśmowe: Odmawiaj dostęp.
Napędy taśmowe: Odmawiaj dostęp do odczytu.
Napędy taśmowe: Odmawiaj dostęp do zapisu.
Windows Portable Device – ta klasa obejmuje smartfony, tablety, odtwarzacze itp.
Urządzenia WPD: odmowa dostępu do zapisu.
Najbardziej rygorystyczna polityka ograniczeń – Wszystkie wymienione rodzaje pamięci: Odmowa dostępu – umożliwia blokadę dostępu do wszystkich zewnętrznych urządzeń pamięci. Aby aktywować tę zasadę, należy ją włączyć i zaznaczyć opcję Włącz.
Teraz pozostaje nam wykonanie polecenia na kontrolerze domeny
gpupdate /force
Oraz uruchomienie ponowne komputerów.
Tę samą politykę możemy zastosować na grupę użytkowników.