Acesso USB do Active Directory desobedecendo ao GPO

tag-icon tag-icon active-directory windows-server-2012-r2 usb
Acesso USB do Active Directory desobedecendo ao GPO

Sou administrador de uma empresa e recentemente criei um Active Directory com computadores Windows Server 2012 R2 e Windows 7 como clientes. Eu tenho uma Política de Grupo para todos os usuários para desabilitar o armazenamento USB (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR ). Eu fiz isso porque meu chefe me pediu para fazer isso. Um cara do escritório me pediu para desbloquear o USB do pc dele para ele poder transferir arquivos, mas eu disse a ele que não poderia desobedecer ao chefe. Ele me disse que conhece uma maneira de ativar a porta USB, mas não sabia me dizer o que era. Além disso, os clientes não podem acessar meu computador porque tenho outro GPO de usuário que não permite que os clientes acessem suas unidades. Estou furioso e ansioso com isso (se esse cara puder ativar o armazenamento USB). Existe alguma outra maneira de um cliente acessar seu armazenamento USB e transferir arquivos? Recentemente, transferimos seus arquivos antigos para seus novos computadores. Não sei se alguém conseguiu transferir um .exe ou algo assim. Qualquer conselho seria útil. Obrigado

Responder1

Bem, não se preocupe, sempre haverá 'usuários avançados' que pensam que podem ignorar o que a TI implementa. Especialmente a pedido dos funcionários seniores.

Portanto, faça a devida diligência e o fato de estar preocupado com isso o colocará em uma boa posição. OK, além do fato de ele estar indo contra a política da empresa (caso exista e geralmente uma ação disciplinar), há algumas coisas que você pode fazer para garantir sua posição. Uma das combinações abaixo:

  1. Não permita que ele seja um administrador local, a menos que seja necessário.
  2. Não permitir acesso ao aplicativo Regmon - monitoramento de alterações no registro
  3. Não permita Regedit32 ou Regedit em suas máquinas Windows. Isso só deve ser usado por administradores de domínio, etc.
  4. Use algo como sophos ou algo semelhante para desativar determinados exe
  5. Veja como restringi-los de alguma forma - desative o USB da máquina nas configurações do BIOS
  6. Use sophos ou equivalente para permitir a conexão apenas de determinados tipos de hardware

Isso deve cobrir um pouco o lado físico, mas não esqueça que você também tem a ameaça do dropbox e equivalente. Portanto, é melhor também descobrir algumas coisas com o decisor político.

  1. Qual é o propósito da restrição?
  2. Se alguém for contra isso, quais são as implicações (quem é o culpado ou o culpado)

Aqui está um link para você tentar testar possíveis explorações que ele possa estar usando: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/

Espero que ajude.

informação relacionada