Sinds de lancering van USB 1.0 in de jaren 90, hebben we tot op de dag van vandaag grote veranderingen opgemerkt, niet alleen in de USB-versie, we zijn in 3.0, maar ook in de nieuwe functies van opslag, grootte, beveiliging, snelheid , onder andere. Wanneer we ons binnen een domein bevinden, is het belangrijk om de verschillende componenten ervan te beheren, evenals de elementen die er extern aan kunnen worden opgenomen. Er zijn apparaten zoals USB waarbij het belangrijk is om verwisselbare apparaten te bedienen en zo USB GPO's te kunnen blokkeren om te voorkomen dat ze ons netwerk binnenkomen. Om dit soort beheer te kunnen doen, zullen we een organisatie-eenheid hebben van waaruit we een USB-poortblokkeringsbeleid kunnen maken om deze taak uit te voeren in Windows Server 2021-2022, Server 2022 of Server 2016.
Vandaag de dag heeft 95% van de mensen een USB-geheugen, hetzij voor persoonlijke, organisatorische, ondersteunende doeleinden, enz., en het is erg belangrijk omdat wij, die ons midden in systemen bevinden, een USB-geheugen kunnen gebruiken om van daaruit een besturingssysteem op te starten (iets dat was niet waarschijnlijk in de jaren 90), kunnen we een grote hoeveelheid informatie opslaan, tot 256 GB terwijl de eerste generatie USB maar tot 16 MB ging. Niet alleen de back-up is belangrijk voor het goede beheer van onze Windows Server servers en bedrijven. Verschillende instellingen voor het beveiligingsbeleid zijn meer dan essentieel.
Redenen om USB te blokkerenWaarom de toegang tot USB blokkeren in onze domeinen met Windows Server?De redenen zijn meerdere:
- Voor de veiligheid, om diefstal van informatie te voorkomen.
- Vanwege het bedrijfsbeleid, omdat er delicate gegevens of records zijn die op een USB-geheugen kunnen worden opgeslagen en van daaruit een slechte bestemming hebben.
- Om de verspreiding van virussen te voorkomen, aangezien USB-sticks vaak zijn aangesloten op domeincomputers zonder een antivirusscan te ondergaan en ze verschillende soorten virussen bevatten die zich door het netwerk kunnen verspreiden en verschillende computers kunnen aantasten.
- Om de prestaties van de computer te verbeteren, aangezien veel mensen programma's of applicaties rechtstreeks vanaf USB-geheugensticks installeren.
Zoals we kunnen zien, zijn er veel redenen waarom het raadzaam is om USB-poorten in ons domein te blokkeren en het is ook belangrijk om te benadrukken dat niet alle bedrijven de toegang tot de USB-poorten van hun werknemers blokkeren. Door USB-apparaten in domeincomputers te blokkeren door GPO in de Windows-server, zorgen we voor ongewenste invoegingen. Deze keer gaan we analyseren hoe we de USB-poorten kunnen blokkeren met behulp van een groepsbeleid. Als voorbeeld werken we op Windows Server 2016 of Windows Server2021-2022.
In de volgende video-tutorial kunt u ook leren hoe u een USB-apparaat blokkeert via groepsbeleid of GPO's op zo'n manier dat u voorkomt dat de computers die u opgeeft toegang krijgen tot de USB-poorten. Het is belangrijk om dit te beheersen om de veiligheid van het bedrijf te behouden.
1. Open Domain Policy Editor Windows Server 2016, 2021-2022
Stap 1
Om de editor te openen en zo het respectievelijke GPO te configureren, gaan we naar het menu Start en selecteren we de optie "Alle toepassingen".
Stap 2
In het venster Alle toepassingen vinden we het veld Systeembeheer en daar selecteren we de optie Groepsbeleidsbeheer.
Stap 3
Het volgende venster wordt weergegeven:
2. Blokkeer USB door GPO Windows Server 2016, 2021-2022
Stap 1
Voor deze analyse hebben we een organisatie-eenheid gecreëerd met de naam Solvetic_USB. In de groepsbeleid-editor gaan we ons domein weergeven om de genoemde organisatie-eenheid te zien.
Stap 2
Daar zullen we met de rechtermuisknop op de organisatie-eenheid "Solvetic_USB" klikken en de optie "Create a GPO" in dit domein selecteren en hier koppelen.
Stap 3
Wanneer u op de aangegeven optie drukt, wordt het volgende venster weergegeven waar we een naam moeten toekennen, in dit geval kiezen we voor "Solvetic_Restriccion".
Stap 4
We klikken op OK en we kunnen zien dat ons beleid correct is gemaakt. Nu zullen we met de rechtermuisknop op het beleid klikken en de optie Bewerken selecteren.
VERGROTEN
Stap 5
Het volgende venster wordt geopend:
Stap 6
We moeten de volgende route volgen:
- Solvetic_Restriction-richtlijn
- Apparatuur instellen
- richtlijnen
- administratieve sjablonen
- Systeem
- Verwijderbare toegang tot opslag
VERGROTEN
Stap 7
Aan de rechterkant kunnen we zien dat we verschillende opties voor het bewerken van beleid hebben, waarvan de belangrijkste zijn:
Toegang tot uitvoeren weigerenAls we dit beleid inschakelen, voorkomen we toegang tot verwisselbare media die verbinding maken met een computer in het domein.
Leestoegang weigerenVia deze optie kunnen we de gebruiker toestaan informatie op de USB te schrijven of te kopiëren, maar de inhoud niet te lezen.
Schrijftoegang weigerenMet deze optie kan de gebruiker de informatie van de USB lezen, maar er geen wijzigingen in aanbrengen.
Alle soorten verwijderbare opslag: toegang tot alles weigeren: als we deze optie inschakelen, voorkomen we dat de gebruiker enige vorm van verwijderbare media gebruikt, zoals USB, dvd, mobiele telefoon, MP4, MP5, enz.
Op dezelfde manier kunnen we beperkingen configureren voor cd-stations, tapes, externe sessies, enz.
Stap 8
In dit voorbeeld gaan we de toegang beperken tot alleen USB-drives waarvoor we de optie "Verwisselbare schijven: toegang tot uitvoering weigeren" selecteren en we zullen het volgende venster zien.
Daar moeten we de optie Ingeschakeld selecteren om dit beleid toe te passen op de geselecteerde organisatie-eenheid. Klik op Toepassen en vervolgens op OK om het beleid te valideren.
Stap 9
We valideren dat het beleid is ingeschakeld in de Solvetic_Restriccion OU.
VERGROTEN
Stap 10
Nadat we het vorige proces hebben uitgevoerd en we hebben gedefinieerd op welk type eenheden we de beperking toepassen, wachten we tot het beleid wordt toegepast op de computers in het domein of we kunnen het volgende commando gebruiken om het beleid af te dwingen.
gpupdate / forcerenOp deze manier bieden we beveiliging in onze domeinen en voorkomen we dat er verwisselbare USB-apparaten worden toegevoegd aan de computers van de organisatie, wat voor ons als beheerders van de IT-afdeling verschillende problemen kan veroorzaken. Door USB via GPO te blokkeren, kunnen we voorkomen dat externe apparaten verbinding maken met ons domein, omdat we verwijderbare apparaten kunnen bedienen. Om af te ronden met aandacht voor deze tutorials die voor u van belang zullen zijn, kunt u bepalen welke gebruikers inloggen op Windows Server, en leert u hoe u geavanceerd GPO-auditbeleid configureert.