Active Directory-USB-Zugriff missachtet GPO

tag-icon tag-icon active-directory windows-server-2012-r2 usb
Active Directory-USB-Zugriff missachtet GPO

Ich bin der Administrator einer Firma und habe vor kurzem ein Active Directory mit Windows Server 2012 R2 und Windows 7-Computern als Clients erstellt. Ich habe eine Gruppenrichtlinie für alle Benutzer, um den USB-Speicher zu deaktivieren (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR). Ich habe das getan, weil mein Chef mich darum gebeten hat. Ein Typ aus dem Büro bat mich, den USB-Anschluss seines PCs zu entsperren, damit er Dateien übertragen könne, aber ich sagte ihm, dass ich dem Chef nicht ungehorsam sein könne. Er sagte mir, er wisse, wie man den USB-Anschluss aktiviert, aber er konnte mir nicht sagen, wie das sei. Außerdem können die Clients nicht auf meinen Computer zugreifen, weil ich ein anderes GPO verwendet habe, das es den Clients nicht erlaubt, auf ihre Laufwerke zuzugreifen. Das macht mich wütend und beunruhigt mich (wenn dieser Typ den USB-Speicher aktivieren kann). Gibt es eine andere Möglichkeit, wie ein Client auf seinen USB-Speicher zugreifen und Dateien übertragen kann? Vor kurzem haben wir ihre alten Dateien auf ihre neuen PCs übertragen. Ich weiß nicht, ob es jemandem gelungen ist, eine EXE-Datei oder so etwas zu übertragen. Jeder Rat wäre hilfreich. Danke

Antwort1

Aber keine Sorge, es wird immer „Poweruser“ geben, die meinen, sie könnten die IT-Implementierung umgehen. Vor allem auf Anfrage der leitenden Mitarbeiter.

Gehen Sie also mit der gebotenen Sorgfalt vor, und die Tatsache, dass Sie sich darüber Sorgen machen, ist eine gute Sache. OK, abgesehen davon, dass er gegen die Unternehmensrichtlinien verstößt (falls es welche gibt und normalerweise eine Disziplinarmaßnahme), gibt es einige Dinge, die Sie tun können, um Ihre Position zu sichern. Eine oder eine Kombination der folgenden Möglichkeiten:

  1. Erlauben Sie ihm nicht, lokaler Administrator zu sein, es sei denn, es ist unbedingt erforderlich.
  2. Keinen Zugriff auf die Regmon-Anwendung zulassen - Überwachung von Registrierungsänderungen
  3. Erlauben Sie Regedit32 oder Regedit nicht auf Ihren Windows-Rechnern. Dies sollte nur von Domänenadministratoren usw. verwendet werden.
  4. Verwenden Sie etwas wie Sophos oder ähnliches, um bestimmte EXEs zu deaktivieren
  5. Versuchen Sie, sie irgendwie einzuschränken - deaktivieren Sie den USB-Anschluss des Computers in den BIOS-Einstellungen
  6. Verwenden Sie Sophos oder ein gleichwertiges Programm, um nur bestimmte Hardwaretypen zuzulassen

Damit sollte die physische Seite einigermaßen abgedeckt sein, aber vergessen Sie nicht, dass auch die Bedrohung durch Dropbox und Ähnliches besteht. Informieren Sie sich am besten auch beim Entscheidungsträger über ein paar Dinge.

  1. Was ist der Zweck dieser Einschränkung?
  2. Wenn jemand dagegen verstößt, welche Konsequenzen hat das (wer trägt die Schuld oder ist schuld)?

Hier ist ein Link, über den Sie mögliche Exploits, die er möglicherweise verwendet, testen können: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/

Hoffentlich hilft das.

verwandte Informationen