MoreMeng.in.th

ปิดการใช้ USB Flash Drive ด้วย GPO

ปิดการใช้ USB Flash Drive ด้วย GPO

Thanikul Sriuthis Life of Dev 2,484 views

Updated: 18 January 2023

วิธีีปิดไม่ให้เครื่องคอมพิวเตอร์ในเครือข่ายใช้งาน USB Removable Storage ได้ ในที่นี้ก็คือทุกอย่างที่เอามาเสียบ port USB มันก็จะ คัดลอกไฟล์ไม่ได้นั่นเอง มีประโยชน์ในแง่ของการป้องกันไวรัส และปกป้องข้อมูลสำคัญ

ขั้นตอนต่อไปนี้จะข้ามไปสร้าง GPO เลย ดังนั้นผู้อ่านควรมีความเข้าใจเรื่องการใช้ Active Directory / Organization Unit / Group Policy Object อยู่แล้ว

Create GPO

การตั้งค่านี้จะสามารถ lock ได้ทั้งแบบ Computer และ User จะเลือกแบบไหนก็ตามแต่ Policy เช่น ถ้าต้องป้องกันเครื่อง ก็ lock ที่เครื่อง หรือถ้าไม่อนุญาตให้ user บางคนใช้ ก็เลือกแบบ User โดยเข้าไปตั้งค่าตามขั้นตอนต่อไปนี้ (ในที่นี่จะเน้น Computer เป็นหลัก)

💻 Computer Configuration
  📁 Policies
    📁 Administrative Templates
      📁 System
        📁 Removable Storage Access.
👤 User Configuration
  📁 Policies
    📁 Administrative Templates
      📁 System
        📁 Removable Storage Access.

ใน section ของ Removable Storage Access ก็มีรูปแบบให้เลือกปิดตามประเภทด้วย เช่น CD/DVDs, FDD, USB-devices, tapes โดยเลือกได้ว่า ห้ามเข้าถึง ห้ามอ่าน หรือ ห้ามเขียน

  • CD and DVD: Deny execute access.
  • CD and DVD: Deny read access.
  • CD and DVD: Deny write access.
  • Custom Classes: Deny read access.
  • Custom Classes: Deny write access.
  • Floppy Drives: Deny execute access.
  • Floppy Drives: Deny read access.
  • Floppy Drives: Deny write access.
  • Removable Disks: Deny execute access.
  • Removable Disks: Deny read access.
  • Removable Disks: Deny write access.
  • All Removable Storage classes: Deny all access.
  • All Removable Storage: Allow direct access in remote sessions.
  • Tape Drives: Deny execute access.
  • Tape Drives: Deny read access.
  • Tape Drives: Deny write access.
  • Windows Portable Device – this class includes smartphones, tablets, players, etc.
  • WPD Devices: Deny write access.

ปิดทั้งหมด เลือก All Removable Storage classes: Deny all access

เลือก Enabled และ คลิก OK

หลังจากตั้งค่าแล้วให้ update policy ใหม่ (gpupdate /force) เพื่อทดสอบดูผลลัพท์ด้วยว่าเป็นไปตามที่ตั้งไว้หรือไม่ ซึ่งถ้ามีผู้ใช้เอา USB Flash Drive มาเสียบ มันจะขึ้นว่า

Result

Location is not available
Drive is not accessible. Access is denied.

Image may contain: text that says 'Location is not available GA is not accessible. x Access is denied. OK เนาวรัตน์ (G:) FAT32'

Infographic vector created by fullvector – www.freepik.com

Full-Stack Developer, Health Informatician