بستن پورت های usb در شبکه
سلام و خسته نباشید
چطور می تونم پورت های usb کلاینت ها رو تو شبکه ببندم و فقط به اونا اجازه بدم از فلش های خاصی استفاده کنند ؟
12 پاسخ
سلام
مسیر پالیسی برای بستن انواع USB (درایور CD، بستن نوشتن روی فلش، هارد دیسک اکسترنال، نوار و...)
Computer Configuration / Administrative Templates / System / Removable Storage Access
موفق باشید
یه برنامه GFI هم بود که کنترل های خوبی داشت.
دوست عزیز nightsecret لطفا و درصورت امکان بفرمائید اصلا چرا نیاز به این دارید که فلشهای خاصی در شبکه معتبر باشن؟
شاید این نیاز شما با راهکارهای جایگزین دیگهای قابل حل باشه
آبتین جعفری عزیز خیلی ممنون بابت وقتی که گذاشتی
من خودم خیلی دنبال این راه حل بودم و هستم .
این کار رو هم خود ماکروسافت میگه میشه انجام داد که لینکش رو گذاشتم .
جلوگیری از نصب فلش : ماکروسافت
اما مشکلی که هست اینه که تو این مقاله میگه شما کلیه فلش هایی که نصب شدند پاک کن ، بعد اون فلشی که می خوای وصل بشه Hardware ID یا compatible id رو تو اون قسمتی پالیسی که شما اشاره کردید وارد کنید بعدش فقط اون فلش شناسایی میشه ، که ما هر کاری کردیم نشد ؛ و تنها راهش همونی بود که شما فرمودید که فلش رو یکبار قبل اعمال پالیسی متصل کنیم به دستگاه ، که اونم با توجه به زیاد بودن تعداد سیستم ها کار زمان بری هست .
راهکارهای کلی که من تحقیق کردم ایناست
1. group plicy
2. انتی ویروس
که پالیسی جواب نمیده ، اما اتفاق نظرها روی انتی ویروس بود.
و من هم نمی خوام از آنتی ویروس استفاده کنم
همانطور که شما فرمودید و من هم اشاره کردم این تنها راهکار کاربردی با گروپ پالیسی هست. و متاسفانه بخاطر ساختار و معماری سیستم عامل ماکروسافت، اصولا چنین کاری که شما میخواین انجام بدید بطور کامل و 100 درصد کار نخواهد کرد
نمی خواستم از برنامه استفاده کنم ، می خواستم از پالیسی استفاده کنم ، که اونم ظاهرا نمیشه
با گروپ پالیسی new device رو ببند
یکم سرچ کنی پالیسیشو پیدا میکنی
با پالیسی امتحان کردم ولی جواب نمیده
اینم اون قسمتی که رفتم
با توجه به معماری سیستم عامل ها، امکان انتخاب فلش و متمایز کردنشون وجود ندارد
تنها کاری که میتونید بکنید این هست که همه فلش های نصب شده در سیستم عامل را uninstall کنید و بعدش فلشهایی که میخواین کار کنند رو به سیستم متصل کنید. سپس اجازه نصب فلش روی سیستم را مسدود کنید.
ولی این راهکار بگیر نگیر دارد. در ادامه بیشتر توضیح میدهم
لینک : https://superuser.com/questions/1226252
برای نصب فلش های دلخواه و سپس بستن امکان نصب فلش ها
- برید به device manager و از منوی view گزینه show hidden را انتخاب کنید
- در device manager به بخش disks برید و تمامی فلش ها را uninstall کنید. سپس فلش هایی که میخواین نصب شوند را install کنید.
- در گروپ پالیسی به دنبال پالیسی به نام Prevent installation of removable devices باشید تا از نصب فلش درایورها جلوگیری کند.
Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
همانطور که گفتم این راهکار بگیر نگیر دارد. در نظر داشته باشید گروپ پالیسی توانایی بستن برخی فلش درایورهایی که serial ID مشخصی ندارند را ندارد. برای مثال شما ممکن است فلش درایوری با مارک مثلا HP نصب کرده باشید سپس فلش HP دیگری با همان مدل یا مدل مشابه به سیستم متصل میکنید.
در این لحظه ممکن است گروپ پالیسی جلوی نصب فلش درایور جدید را نگیرد !!!
همچنین Hardware ID فلش درایورها اکثرا معین و مشخص نیست. اگر یک فلش درایور بگه من یک فلش درایور با فلان سریال هستم و معتبر هستم، هیچ راهی برای سیستم عامل وجود ندارد که آن را اعتبارسنجی کند و در صورتی که مدل مشابه مدل نصب شده باشد اجازه دسترسی خواهد داد. اگر در حوزه امنیت اطلاعات و امنیت شبکه کمی دانش و تجربه داشته باشید، این میتواند یک حفره امنیتی برای سیستم های تحت مدیریت شما باشد. یک فرد (مثلا یکی از کارمندان) میتواند با یک فلش مشابه و آلوده به بدافزار، سیستم و در نهایت شبکه شما را آلوده کند. یا در ساده ترین حالت با فلش مشابه، میتواند پالیسی شما را نقض کند
همچنین مطلع باشید در این راهکار، امکان نصب هارددیسک های اکسترنال نیز مسدود خواهد شد
شخصا این راهکار را بخاطر اینکه بگیر نگیر دارد و البته مسائل امنیتی پیشنهاد نمیکنم. میتونید با قبول ریسکش این کار را انجام دهید. و اینکه این تنها راهکار کاربردی برای این موضوع هست چون بخاطر ساختار و معماری سیستم عامل های ماکروسافت عملا توانایی متمایز کردن فلش درایورها وجود ندارد
یه پیشنهاد دارم
کلا فلش ها رو ببندید
به جز یکی دو نفر ، یک نفر مدیر آی تی یا مسئول آی تی و یکی دو تا از مدیرا
هروقت نیاز شد کسی فایلی رو خارج کنه از مدیرش بخواد که انجام بده تا فایل ها قبل از خارج شدن از شرکت یک بار توسط مدیرا بررسی بشن
در مورد سی دی هم همین کارو انجام بده
ما تو شرکت این کارو کردیم ، من خودم وقتی میخوام فایلی رو برای کسی رایت کنم یا بریزم تو فلش از مدیر اون فرد میخوام فایل ها رو بررسی کنند تا فایلی که نباید رو خارج نکنه
یه سری فایل قرار داخل این فلش ها به بیرون از شرکت رفته بشه و ضمن اینکه ما نمی خوایم کسی بتونه فلش وصل کنه به سیستمش ، فقط بتونه این این فلش های خاص استفاده کنه