Bagaimana cara mencegah pengguna menggunakan USB removable disk (USB flash drive) dengan menggunakan Kebijakan Grup (GPO)?

Saya telah melihat pertanyaan ini beberapa kali di papan pesan yang berbeda, jadi saya telah memutuskan untuk menulis artikel tentang itu.

USB removable disk (juga dikenal sebagai flash drive atau "Disk di kunci" dan variasi lainnya) dengan cepat menjadi bagian integral dari kehidupan kita elektronik, dan sekarang hampir setiap orang memiliki satu atau perangkat lain, dalam bentuk kecil disk, external hard drive yang datang ditutupi dalam kasus, pembaca kartu, kamera, ponsel, portable media player dan banyak lagi.

Portabel USB flash drive yang memang sangat berguna, tetapi juga dapat digunakan untuk meng-upload kode berbahaya ke komputer Anda (secara sengaja atau kecelakaan), atau untuk menyalin informasi rahasia dari komputer Anda dan bawa pergi.

Sebagai variasi untuk Nonaktifkan Disks USB, Anda dapat mencegah pengguna menggunakan portabel removable disk atau USB flash drive dengan menggunakan kustom. ADM file yang dapat diimpor ke Local Group Policy (effecting sehingga hanya komputer lokal) atau dengan menggunakan aktif direktori berbasis Objek Kebijakan Grup (juga dikenal sebagai GPOs).

Ikuti langkah-langkah yang dijelaskan pada Menambah Template Baru Administrasi ke GPO artikel umum pada petunjuk tentang cara untuk menambahkan atau menghapus. ADM berkas dari bagian Administrasi Template di GPO.

Catatan: tip ini akan memungkinkan Anda untuk memblokir penggunaan USB removable disk, tetapi akan terus untuk membolehkan penggunaan USB mouse, keyboard atau USB berbasis perangkat yang portabel TIDAK sebuah disk.

It's worth menyebutkan bahwa pada Windows Vista Microsoft telah menerapkan jauh lebih canggih dari metode pengontrolan disk USB melalui GPO. Jika Anda memiliki komputer klien Windows Vista dalam organisasi anda dapat menggunakan GPO edited pengaturan dari salah satu mesin untuk mengendalikan Vista jika pengguna akan dapat menginstal dan menggunakan USB disk, serta kemampuan untuk mengendalikan perangkat apa yang dapat atau tidak dapat digunakan pada komputer mereka.

Perlu dikatakan, karena dengan pengaturan GPO, pilihan ini hanya akan bekerja pada sistem operasi Windows 2000 atau yang lebih tinggi.

Dalam KB 555324 MVP sesama ditulis oleh Simon Geary ia telah memberikan contoh yang baik. ADM file yang hanya bisa melakukan itu, dan juga ditambahkan lainnya dipindahkan ke media penyimpanan. Anda dapat secara efektif blok penggunaan apapun yang mengandung drive removable media, seperti port USB, CD-ROM drive, Floppy disk drive dan kapasitas tinggi LS-120 floppy drive.

Namun, yang asli. ADM was pretty sederhana, jadi saya menambahkan harus ada penjelasan-berubah dan beberapa kalimat di dalamnya. Dengan menggunakan file yang disediakan di bawah ini anda juga akan dapat memahami pengaturan yang tepat dan skenario yang akan memblokir atau tidak akan berhasil.

Copy tulisan dibawah ini dengan notepad lalu simpan dengan extention .adm

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB Removable Drives"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the USB Removable Drives capability by disabling the usbstor.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the usbstore.sys driver status in the drop-down list. \n\nNote that this will only prevent usage of newly plugged-in USB Removable Drives or Flash Drives, devices that were plugged-in while this option was not configured will continue to function normally. Also, devices that use the same device or hardware ID (for example - 2 identical Flash Disks made by the same manufacturer) will still function if one of them was plugged-in prior to the configuration of this setting. In order to successfully block them you will need to make sure no USB Removable Drive is plugged-in while you set this option. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the usbstore.sys driver status in the drop-down list."
explaintextcd="Disables the CD-ROM Drive by disabling the cdrom.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the cdrom.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the cdrom.sys driver status in the drop-down list."
explaintextflpy="Disables the Floppy Drive by disabling the flpydisk.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the flpydisk.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the flpydisk.sys driver status in the drop-down list."
explaintextls120="Disables the High Capacity Floppy Drive by disabling the sfloppy.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the sfloppy.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the sfloppy.sys driver status in the drop-down list."
labeltextusb="usbstore.sys driver status"
labeltextcd="cdrom.sys driver status"
labeltextflpy="flpydisk.sys driver status"
labeltextls120="sfloppy.sys driver status"
Enabled="Stopped"
Disabled="Started"

Catatan: Agar dapat berhasil melihat dan mengkonfigurasi baru. ADM pengaturan file Anda perlu untuk mengubah standar penyaringan untuk melihat GPO Editor (atau GPedit.msc). Kecuali jika Anda mengubah pengaturan ini, hak pane akan kosong, walaupun ia memiliki pengaturan di dalamnya.

Ikuti langkah berikut:

1. In GPEdit.msc (or any other GPO Editor window you're using) click on View > Filtering.

1. Click to un-select the "Only show policy settings that can be fully managed" check-box. Click Ok.

1. Now you will be able to see the new settings in the right pane:

1. You can now configure any of the above settings:

An additional step that needs to be performed before the above tip will work has to do with modifying the file access permissions for 2 files. You need to remove the SYSTEM access permissions from the usbstor.sys and usbstor.inf files.

You can do so by right clicking these files > Properties, then going to the Security tab. There you need to remove the line for the SYSTEM account.

Langkah tambahan yang perlu dilakukan sebelum tip di atas akan memiliki pekerjaan yang harus dilakukan dengan memodifikasi file akses untuk 2 file. Anda harus menghapus SISTEM akses dari usbstor.sys dan usbstor.inf file.

Anda dapat melakukannya dengan mengklik kanan file-file ini> Properties, lalu pergi ke tab Security. Disini Anda butuh untuk menghapus baris untuk SISTEM rekening.

Catatan: Pada beberapa keadaan, yang harus menulis SISTEM akses ke file-file ini selama instalasi Service Pack. Misalnya, bila SP dipasang melalui GPO atau SMS, instalasi berjalan dengan SISTEM Account.

Service Pack perlu mengganti file ke versi baru dan tepat tanpa akses tulis ke file, instalasi akan gagal ... Oleh karena itu, sebelum masing-masing SP deployment kita perlu untuk memungkinkan akses ke account SISTEM untuk file-file ini.