در شبکه های سطح Enterprise کنترل ابزارهای ورودی و خروجی سیستم ها بدلایل مختلف از جمله حفاظت از اطلاعات و یا مقابله با ورود ویروس ها و بدافزارها یکی از دغدغه های مدیران شبکه و سیستم هاست.

یک ادمین وظیفه داره که با استفاده از تمامی امکانات جلوی این موارد رو بگیره. یکی از بزرگترین تهدیدات -بدلیل دسترسی مستقیم کاربر بصورت فیزیکی به سیستم- استفاده کاربران از Usb Storageها ، CD و یا DVD هایی هست که همراه خودشون به سازمان میارن.

راهکاری که امروز قصد دارم مرور کنم در شبکه های Domain Base تا حد بسیار خوبی میتونه ضریب اطمینان سیستم های شما رو از این ناحیه بالا ببره. استفاده از Group Policy برای جلوگیری از دسترسی کاربران به USB/CD/DVD. اما مسلما در هر سازمانی افرادی هستند که نیاز مبرم به استفاده از این ابزارها دارند -برای مثال نیروهای Help Desk- پس باید کاری کنیم که این Policy به کاربران خاصی اعمال نشده و اونها به راحتی از این ابزارها استفاده کنند.

 این محدودیت دارای چند سطح هست:

Read Access

Write Access

Deny Access

پس بر اساس نیاز سازمانی به هر شکلی میتونید این Policy رو اعمال بکنید.

مراحل کاری که ما انجام میدیم اینه که ابتدا با ایجاد یک Group Policy Object از دسترسی همه کاربران به این ابزارها جلوگیری میکنیم و با ساختن یک گروه و قرار دادن افراد مجاز در اون لیست، این گروه رو از قاعده فوق مستثنی میکنیم.

نکته ای که در مورد این Policy وجود داره اینه که ما دسترسی به Removable Storages رو محدود میکنیم پس کاربرها به راحتی میتونند از سایر ابزارهایی که از طریق پورت USB به سیستم متصل هستند استفاده بکنند. ابزارهایی مثل Printer, Scanner,Keyboard, Mouse و غیره.

وارد سرور Domain Controller میشیم و از طریق Control Panel وارد پوشه Administrative Tools شده و Group Policy Management رو اجرا میکنیم. بر روی نام Domain راست کلیک کرده و گزینه Create a GPO in this domain, and link it here رو میزنیم.

به GPO خودمون یک نام اختصاص میدیم برای مثال Prevent USB Access و اینتر میزنیم.

بر روی GPO ایجاد شده راست کلیک میکنیم و گزینه Edit رو میزنیم.

حالا به این مسیر میریم و موارد گفته شده رو -بر حسب نیاز- تنظیم میکنیم.

User Configuration > Administrative Templates > System > Removable Storage Access

در اینجا با توجه به نیاز خودتون اقدام به Deny کردن ابزار مورد نظرتون بکنید. برای اینکه دسترسی به کلیه ابزارها رو بصورت یکجا ببندیم گزینه All Removable Storage classes: Deny all access رو بر روی Enabled قرار میدیم.

این از مرحله اول؛ حالا در مرحله دوم پس از باز کردن کنسول Active Directory Users and Computers در OU مربوط به کاربران و گروه ها، گروهی برای مثال با نام USB GPO Excluded میسازیم و کاربران مجاز خودمون رو به این گروه Add میکنیم.

دوباره به کنسول Group Policy Management وارد شده و بر روی GPO ساخته شده در مرحله اول کلیک میکنیم. در سمت راست صفحه در قسمت Delegation با کلیک روی دکمه Add و در کادر باز شده گروهی که در مرحله قبل ساختیم رو اضافه میکنیم و در قسمت دسترسی ها، دسترسی Apply Group Policy این گروه رو بر روی گزینه Deny تنظیم میکنیم.

مراحل کار ما بر روی سرور به پایان رسید حالا با ریست کردن سیستم کلاینت ها میتونیم صحت عملکرد این GPO رو بسنجیم.

اگر در اعمال شدن GPO به سیستم مشکلی مشاهده کردید، در این پست نحوه Troubleshoot کردن GPO رو توضیح دادم.

در صورت عملکرد صحیح با پیامی به شکل زیر مواجه میشیم:

-------------------------------------------------------------------------------------------------

شما چه روش هایی رو برای جلوگیری از دسترسی کاربرانتون استفاده میکنید؟!