Cómo utilizar la política de grupo para prohibir completamente el uso de dispositivos de almacenamiento USB

1. Prohibir dispositivos de almacenamiento USB, unidades ópticas, unidades de disquete y unidades de disquete ZIP.

En el entorno de red corporativa actual, el entorno se está volviendo cada vez más complejo a medida que la red corporativa. se vuelve cada vez más grande. La calidad de los empleados de la empresa varía para fortalecer la seguridad de la red y la confidencialidad de los datos, la empresa propuso bloquear los dispositivos de almacenamiento USB, unidades ópticas, unidades de disquete y unidades de disquete ZIP. En primer lugar, si queremos lograr los objetivos anteriores en el entorno de red empresarial, debemos tener un entorno de dominio. Debe haber amigos aquí que digan que se puede lograr sin un entorno de dominio. Sí, podemos hacer esto sin un entorno de dominio modificando el registro de cada cliente. Puede imaginar que incluso si nuestro entorno empresarial no es un grupo grande, es un entorno de red pequeño con más de 60 computadoras. cliente uno por uno. El registro de cada computadora cliente también se agotará. Por lo tanto, podemos establecer políticas en el DC en un entorno de dominio después de que el cliente aplica la política, es mucho más simple y sin problemas que acudir al cliente para modificar el registro uno por uno.

Bien, volvamos al punto. Primero descarguemos el archivo adjunto en la publicación de mi blog. El archivo adjunto es el núcleo del artículo. En segundo lugar, me gustaría recomendarle que instale la herramienta de administración de políticas de grupo GPMC en su propio DC para facilitar la solución de problemas de administración de políticas de grupo.

Paso 1: Hacemos clic en Inicio en el controlador de dominio → Ejecutar e ingresamos "GPMC.MSC" → Hacemos clic en Aceptar para iniciar la Administración de políticas de grupo.

Paso 2: Abra Administración de políticas de grupo, haga clic derecho en zhp.com → haga clic en "Crear y vincular (GPO)" → ingrese el nombre de la política de grupo "Prohibir USB". Debido a que esta vez nuestra política se aplicará a todas las computadoras de la empresa, creamos una política de grupo de GPO a nivel de dominio.

Paso 3: Haga clic con el botón derecho en la política "Bloquear USB" → haga clic en "Editar" → haga clic con el botón derecho en "Agregar o quitar plantillas" en "Plantillas de administración" en "Configuración del equipo".

Paso 4: Haga clic en el botón "Agregar" en el cuadro de diálogo emergente "Agregar o quitar plantilla" para agregar la plantilla de política de grupo "usb.adm" en el cuadro de diálogo emergente "Plantilla de política" caja. (Aquí podemos copiar la plantilla de política de grupo "usb.adm" al directorio c:\windows\inf por adelantado o seleccionar la ubicación donde se almacena la plantilla de política de grupo "usb.adm" a través de la ruta). Haga doble clic en Plantilla de política de grupo "usb.adm" Agregue la plantilla de política de grupo "usb.adm".

Después de agregar, regrese al cuadro de diálogo "Agregar o quitar plantilla". En este momento, vemos claramente que hay una plantilla de Política de grupo adicional llamada "USB" en el cuadro de diálogo "Agregar o quitar plantilla". caja.

Paso 5: Hacemos clic en el botón "Cerrar" en el cuadro de diálogo "Agregar o quitar plantilla" para volver al cuadro de diálogo "Editor de políticas de grupo". En este punto podemos ver que hay una "Configuración de política personalizada" adicional en "Plantillas administrativas" en "Configuración de la computadora".

Paso 6: Haga clic derecho en "Administrar plantillas" → "Ver" → "Filtro".

En el cuadro de diálogo emergente "Filtro", elimine la marca de verificación frente a "Mostrar solo la configuración de políticas que se pueda administrar por completo"

Luego haga clic en el botón "Aceptar". para volver a la imagen del "Editor de políticas de grupo".

Paso 7: Haga clic en "Configuración del equipo" → "Plantillas administrativas" → Haga clic en "Configuración de política personalizada" → Haga clic en "Restringir unidades"

Paso 8: Por ejemplo, queremos prohibir Interfaz USB (puede estar seguro de que, aunque prohibimos la interfaz USB, no afectará las impresoras, los dispositivos de teclado y mouse que usamos con la interfaz USB), haga clic con el botón derecho en "Desactivar USB" → haga clic en "Propiedades", luego "Desactivar USB" "Aparecerá el cuadro de diálogo de propiedades.

Primero hacemos clic en el botón "Habilitado" → seleccionamos "Habilitado" en "Desactivar puertos USB" para habilitar esta política.

Nota: Lo que quiero recordarles aquí es que muchos amigos pueden hacer clic en el botón "Habilitado" en la política aquí y luego usar "GPupdate /force" para forzar la actualización de la política en el cliente y DC. , y finalmente descubrí por qué la política estaba habilitada pero no entró en vigor. Aquí me gustaría recordarles a todos que deben hacer clic en "Activado" y seleccionar "Activado" de las opciones a continuación; de lo contrario, la estrategia que realice no tendrá efecto.

En este punto hacemos clic en "Aplicar" → hacemos clic en "Aceptar" para volver al cuadro de diálogo "Editor de políticas de grupo". Podemos ver que el estado "Desactivar USB" ha cambiado a "Activado". el cuadro de diálogo "Editor de políticas de grupo". El cuadro de diálogo Editor de políticas regresa a la pantalla del cuadro de diálogo Administración de políticas de grupo.

2. Deshabilite el acceso a la herramienta Editor del Registro

En este punto me gustaría recordarles a todos que debido a que el entorno empresarial es diferente, algunos clientes otorgan los mismos permisos, por lo que para evitar clientes de El usuario final de la computadora modifica la tabla de políticas de grupo sin autorización para abrir la interfaz USB (aunque algunos amigos dirán que el intervalo de actualización predeterminado de la política es de 5 minutos, podemos cambiarlo a 0, que se actualiza cada 7 segundos, pero el problema aumentará la carga del cliente y del dominio sobre el controlador ha causado congestión de la red), podemos compensar esto estableciendo una política de "denegar el acceso al registro del grupo".

Paso 1: Hacemos clic en Inicio en el controlador de dominio → Ejecutar e ingresamos "GPMC.MSC" → Hacemos clic en Aceptar para iniciar la Administración de políticas de grupo.

Paso 2: Abra Administración de políticas de grupo, haga clic derecho en zhp.com → haga clic en "Crear y vincular (GPO)" → ingrese el nombre de la política de grupo "Prohibir acceso al registro". Debido a que esta vez nuestra política se aplicará a todas las computadoras de la empresa, creamos una política de grupo de GPO a nivel de dominio.

Paso 3: Haga clic derecho en la política "Denegar acceso al registro" → haga clic en "Editar" → haga clic derecho en "Configuración del equipo" → "Plantillas administrativas" → haga clic en "Sistema".

Paso 3: haga clic con el botón derecho en "Herramienta de edición del registro de acceso a la organización" → "Propiedades" para abrir el cuadro de diálogo de propiedades de la "Herramienta de edición del registro de acceso a la organización" → haga clic en "Activado" → haga clic en "Aplicar" → haga clic "Seguro".

Bien, verifiquemos el efecto de nuestra política. Debido a que estamos haciendo una política de computadora, primero ejecutamos el comando "GPupdate /force" en el DC y luego reiniciamos la computadora cliente para aplicar la política. . En este punto, nuestra estrategia de "prohibición de registro" se ha completado.

3. Descifra la "Herramienta de edición del registro de prohibición"

En este momento, algunos amigos dirán que hay una manera de descifrar la política de prohibir el acceso al registro. Puedo decirle claramente aquí que algunos métodos de red con el sufijo .reg no deben ejecutarse en el sistema, pero puede descargar un archivo llamado "reg.inf" en este artículo para descifrar esta estrategia. Si tiene alguna manera mejor de evitar descifrar el método de "denegar acceso al registro", también puede dejar un mensaje nuevamente para discutir y aprender juntos.

Pero aquí me gustaría advertir a todos: cuando somos administradores de sistemas o administradores de red, no debemos pensar que la tecnología es omnipotente, necesitamos medios técnicos y administrativos para gestionar nuestra red de manera integral. En fin, nuestros cargos tienen la palabra administrador. No sólo somos ejecutores técnicos, sino también directivos. Esto nuevamente habla sobre cómo convertirse en un administrador de red o administrador de sistemas calificado. Hoy es muy tarde, así que no diré más aquí.