Назад | Перейти на главную страницу

Доступ к Active Directory USB, не подчиняющийся GPO

Я являюсь администратором компании и недавно создал Active Directory с компьютерами с Windows Server 2012 R2 и Windows 7 в качестве клиентов. У меня есть групповая политика для всех пользователей, чтобы отключить USB-хранилище (HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR). Я сделал это, потому что мой босс попросил меня сделать это. Парень из офиса попросил меня разблокировать USB-порт его компьютера, чтобы он мог передавать файлы, но я сказал ему, что не могу ослушаться босса. Он сказал мне, что знает способ включить порт USB, но не может сказать мне, что это было. Кроме того, клиенты не могут получить доступ к моему компьютеру, потому что у меня есть пользователь другой GPO, который не позволяет клиентам получать доступ к своим дискам ... Я в ярости и тревожусь по этому поводу (если этот парень может включить хранилище USB). Есть ли другой способ, которым клиент может получить доступ к своему USB-накопителю и передать файлы? Недавно мы перенесли их старые файлы на новые ПК. Я не знаю, удалось ли кому-нибудь передать .exe или что-то в этом роде. Любой совет был бы полезен. Спасибо

Что ж, не волнуйтесь, всегда найдутся «опытные пользователи», которые думают, что могут обойти то, что внедряют ИТ. Особенно по просьбе старших сотрудников.

Так что проявите должную осмотрительность, и тот факт, что вы беспокоитесь об этом, сослужит вам хорошую службу. Хорошо, так что, помимо того факта, что он идет против политики компании (если она существует и обычно это дисциплинарные меры), есть некоторые вещи, которые вы можете сделать, чтобы укрепить свою позицию. Одно из сочетаний нижеперечисленного:

  1. Не позволяйте ему быть локальным администратором, если ему это не нужно.
  2. Запретить доступ к приложению Regmon - мониторинг изменений реестра
  3. Не разрешайте Regedit32 или Regedit на ваших машинах с Windows. Это должно использоваться только администраторами домена и т. Д.
  4. Используйте что-то вроде sophos или тому подобное, чтобы отключить определенные exe-файлы
  5. Посмотрите, как их ограничить - отключите USB машины в настройках BIOS
  6. Используйте sophos или эквивалент, чтобы разрешить подключение только определенных типов оборудования

Это должно в некоторой степени покрыть физическую сторону, но не забывайте, что у вас также есть угроза Dropbox и аналогичных. Так что лучше также узнать кое-что у политика.

  1. Какова цель ограничения?
  2. Если кто-то пойдет против этого, каковы последствия (кто виноват или виноват)

Вот ссылка, по которой вы можете попробовать и проверить потенциальные эксплойты, которые он может использовать: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/

Надеюсь, это поможет.