Доступ к USB-устройствам Active Directory не подчиняется GPO

tag-icon tag-icon active-directory windows-server-2012-r2 usb
Доступ к USB-устройствам Active Directory не подчиняется GPO

Я администратор компании и недавно создал Active Directory с Windows Server 2012 R2 и компьютерами Windows 7 в качестве клиентов. У меня есть групповая политика для всех пользователей, чтобы отключить USB-накопитель (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR). Я сделал это, потому что мой босс попросил меня сделать это. Парень из офиса попросил меня разблокировать USB его ПК, чтобы он мог передавать файлы, но я сказал ему, что не могу ослушаться босса. Он сказал мне, что знает способ включить USB-порт, но не смог сказать мне, как это сделать. Кроме того, клиенты не могут получить доступ к моему компьютеру, потому что у меня есть другой GPO, который не позволяет клиентам получать доступ к своим дискам. Я в ярости и тревоге из-за этого (если этот парень может включить USB-накопитель). Есть ли другой способ, которым клиент может получить доступ к своему USB-накопителю и передавать файлы? Недавно мы перенесли их старые файлы на их новые ПК. Не знаю, удалось ли кому-нибудь перенести .exe или что-то в этом роде. Любой совет будет полезен. Спасибо

решение1

Ну не волнуйтесь, всегда найдутся «продвинутые пользователи», которые думают, что могут обойти то, что внедряет ИТ. Особенно по просьбе старших сотрудников.

Так что проявите должную осмотрительность, и тот факт, что вы беспокоитесь об этом, поставит вас в выгодное положение. Хорошо, кроме того, что он идет против политики компании (если таковая существует и обычно дисциплинарное взыскание), есть некоторые вещи, которые вы можете сделать, чтобы укрепить свою позицию. Одна из комбинаций ниже:

  1. Не позволяйте ему быть локальным администратором, если в этом нет необходимости.
  2. Не разрешать доступ к приложению Regmon - мониторинг изменений реестра
  3. Не разрешайте Regedit32 или Regedit на ваших машинах с Windows. Это должно использоваться только администраторами домена и т. д.
  4. Используйте что-то вроде sophos или что-то подобное, чтобы отключить определенные exe-файлы
  5. Попробуйте как-то ограничить их — отключите USB-порт машины в настройках BIOS.
  6. Используйте sophos или эквивалент, чтобы разрешить подключение только определенным типам оборудования.

Это должно покрыть физическую сторону в некоторой степени, но не забывайте, что у вас также есть угроза dropbox и эквивалента. Так что лучше также узнать у политика несколько вещей.

  1. Какова цель ограничения?
  2. Если кто-то пойдет против этого, каковы будут последствия (кто виноват или виноват)?

Вот ссылка, по которой вы можете попробовать и протестировать потенциальные уязвимости, которые он может использовать: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/

Надеюсь, это поможет.

Связанный контент