Windows Group Policy Block Removable Media

0
2832
@mvpskill.com
@mvpskill.com
ติดตามถามตอบปัญหาเพิ่มเติมกับผู้เชี่ยวชาญ Microsoft Platform ได้ที่ http://www.mvpskill.com/forums

สามารถสมัครสมาชิกโดยใช้ Login ผ่าน Facebook Account ได้เลยครับ

Windows Group Policy Block Removable Media

Group Policy Object หรือ GPO เป็นเรื่องที่ไม่ยาก และไม่ง่ายเลยครับ ประโยชน์ของการบังคับใช้ GPO ในการจัดการ Desktop Environment นั้นมีมากมากเหลือเกิน ซึ่ง Platform Unix ยังไม่สามารถเอาชนะจุดเด่นนี้ได้หากต้องการควบคุม Client Environment ที่เป็น Windows

ใน KB นี้จะพามาแนะนำ GPO ที่มีประโยชน์ต่อการควบคุม Client Environment คือ GPO เกี่ยวกับ Removable Storage Access ซึ่งมีมาใหม่ในตั้งแต่ Windows 2008 จนถึง Windows Server 2012 และ Windows 8 ครับ

เนื่องจากต้นเหตุของปัญหาทั้งปวงของ Virus, Worm, Trojan มักจะระบาดได้อย่างรวดเร็วผ่านทาง USB Drive

สามารถปรับแต่ง Group Policy ให้ Block การเข้าถึง USB หรือ Removable Media ได้จาก

Administrative Templates\System\Removable Storage

เริ่มดูตัวอย่างกันเลยนะครับ

ผมสมมุติว่าผมจะป้องกันการใช้งาน USB Drive กับพนักงานฝ่าย HR เนื่องจากมีข้อมูลลับในองค์กรที่ต้องการป้องกัน ผมจึงสร้าง GPO โดยเครื่องมือ Group Policy Management โดยเลือก สร้าง Create a GPO in this domain, and Link it here โดยให้มีผลกระทบกับ OU = HR

ขอย้ำว่า Computer Object ต้องอยู่ใน OU นี้ด้วยนะครับ

Windows Group Policy Block Removable Media

ตั้งชื่อ GPO ให้สื่อความหมายเลยครับ (ตั้งเป็นชื่ออะไรก็ได้ครับ) หลังจากเลือกชื่อเสร็จแล้วให้เลือก Edit ครับ

Windows Group Policy Block Removable Media

GPO ของ Removable Storage Access สามารถเลือกปรับแต่งได้ทั้งระดับ Computer Configuration และ User Configuration ครับ \Administrative Templates\System\Removable Storage

Windows Group Policy Block Removable Media

ทั้งนี้ต้องมีความเข้าใจด้วยว่าอยากให้มีผลกับระดับเครื่อง Computer หรือ ระดับ User

ในตัวอย่างนี้จะบังคับระดับ Computer Configuration นะครับเนื่องจากดู Properties แล้วมีตัวเลือกได้เยอะกว่ามาก ๆ ครับ (เช่น Deny Execute Access)

GPO ของ Removable Storage Access ในระดับ Computer อยู่ใน Administrative Templates\System\Removable Storage

Windows Group Policy Block Removable Media

GPO ของ Removable Storage Access ในระดับ User อยู่ใน Administrative Templates\System\Removable Storage

Windows Group Policy Block Removable Media

ผมเลือกปรับแต่งค่าเป็น Enable ครับ ทำให้ USB Removable Media ไม่สามารถใช้งานได้ทั้ง Read, Execute, Write

Windows Group Policy Block Removable Media

ผลลัพธ์ที่ได้จะเป็นหน้าตาแบบนี้ครับ

สุดท้ายแล้วก็แค่ Reboot เครื่อง Client แล้วทำการ Login เข้ามาใหม่ เพียงเท่านี้ก็จะเป็นการ Block Removable Drive บนเครื่อง Client ได้อยู่หมัดโดยไม่ต้องใช้ 3rd Party Tools ช่วย

อ้างอิงจาก

http://technet.microsoft.com/en-us/library/cc730808(v=ws.10).aspx

ติดตาม Knowledge Base เกี่ยวกับ Active Directory & Group Policy ได้ที่นี่

http://www.mvpskill.com/kb/category/active-directory-group-policy