بستن پورت USB به وسیله Group Policy - خدمات کامپیوتر در محل-پشتیبانی شبکه-راه اندازی شبکه

914 11 11  - 0933
شمال تهران   62 58 31 22 - 021
شرق تهران   31 32 58 77 - 021
تمامی نقاط تهران   01 77 45 88 - 021

همانطور که میدانید یکی از شایعترین روشهای انتقال ویروس به کامپیوترها در زمان حال حافظه های قابل حمل میباشد عزیزانی که سالهای پیش ، قبل از در دسترس آمدن حافظه های قابل حمل در زمینه کامپیوتر فعالیت داشتند حتما از بالا رفتن آمار انتقال ویروسها در زمان حال نسبت به چندین سال پیش پی برده اند. با توجه به این مسئله ، به عنوان مدیر شبکه بایستی تا حد توان از ورود ویروس به کلاینتها در شبکه خود جلوگیری کنید یکی از بهترین و پرکاربرد ترین روشها استفاده از یک آنتی ویروس متناسب با نیاز خود و نصب بر روی سیستمها و دریافت جدیدترین بروز رسانیها است که متناسب با سلیقه و نیاز میتوانید نصب کنید اما باز هم امکان دارد که برخی ویروسهایی وارد شبکه شما شود که هنوز توسط آنتی ویروسها شناسایی نشده اند ، از طرفی در شبکه هایی که به امنیت اطلاعات خود اهمیت بسیار میدهند ممکن است بستن پورت USB و مدیریت آن بصورت متمرکز راهی مطمئن تر به نظر آید لذا در این مقاله تصمیم دارم روشهای مختلف بستن پورتهای USB را بصورت متمرکز از طریق Group Policy توضیح دادم تا با توجه به نیاز خود مناسب ترین روش را انتخاب و پیاده سازی کنید همچنین با استفاده از این روشها میتوانید این تنظیمات را در صورت نیاز برای کامپیوترهای خانگی و یا Workgroup هم پیاده سازی کنید .
 

استفاده از Group Policy ( درویندوزهای ویستا یا بالاتر ) :


یکی از این روشها استفاده از Policy های موجود در ویندوز است. در ویندوز ویستا به بعد یک سری پالیسی در مسیر زیر وجود دارد که میتوانید با استفاده از این پالیسی ها بصورت متمرکز از نصب شدن Device های جدید که شامل حافظه های قابل حمل میشوند بر روی کامپیوتر جلوگیری کنید :

1
Computer Configuration=>Administrative Templates=>System=>Device Installation=>Device Installation Restrictions

همچنین با بدست آوردن Hardware IDs دیوایس های مورد نظر ، آنها را در شناسایی مستثنی کرده و یا تنها از Install شدن یک یا چند Device جلوگیری کنید همچنین میتوانید برای آن پیام خطای دلخواه خود را تعیین کنید گرچه این روش از طریق گروپ پالیسی اعمال میشود و پیاده سازی آن راحت بنظر میرسد اما در سازمانهایی که از ویندوزهای ماقبل ویستا ( مثلا WinXP ) استفاده میکنند این پالیسی اعمال نمیشود همچنین با توجه به اینکه ممکن است در کلاینتها ، از قبل دیوایسهایی شناسایی و نصب شده باشد این پالیسی ها در نصب Deviceها محدودیت ایجاد میکنند نه اینکه در استفاده Deviceهای نصب شده محدودیت ایجاد کنند و با دردسرهای خاص خود میتوانید تا حدی آن را برطرف کنید یکی دیگر از مواردی که ما را تا حدی ازهدف خود دور میکنید این است که این پالیسی بر روی تمام دیوایسهایی که به سیستم متصل میشوند موثر خواهد بود یعنی به جز حافظه های قابل حمل ، شامل پرینترها و اسکنرها و یا دیوایسهای دیگر هم که از طریق پورت USB به کامپیوتر متصل میشوند هم شده و بر روی آنان هم تاثیر خواهد گذاشت جدا از همه اینها من خودم مدتی با این پالیسی کار کرده ام و یک سری بد قلقی ها رو در آن دیده ام خلاصه درکل به شما پیشنهاد میکنم که اگر در شبکه های Enterprise تصمیم به محدود کردن فلش مموری ها و کنترل آنها را دارید و همچنین تصمیم بر مستثنی کردن یک سری حافظه های قابل حمل را دارید از ابزارهایی مانند GFI EndpointSecurity که در همین زمینه کاربرد دارند استفاده کنید که بی شک بسیاری از نیازهای شما را در این زمینه برطرف خواهد کرد. برای آموزش استفاده از این ابزار میتوانید به لینک زیر مراجعه کنید :

  • بستن پورت های USB در شبکه با استفاده از GFI Endpoint Security

یک سری پالیسی دیگر هم در مسیر زیر وجود دارد که میتوانید با استفاده از این آنها دسترسی به دستگاههای فابل حمل را از جمله CD-ROM , Floppy Drives , Removable Disks را سلب کنید از جمله اینکه میتوانید آنها را فعال و یا غیر فعال کنید حتی میتوانید اجازه خواندن و یا نوشتن Removable Disks را سلب کنید

1
Computer Configuration => Administrative Templates => System => Removable Storage Access

پالیسیها در اینجا معرفی شدند و شما میتوانید آنها را در شبکه خود بصورت متمرکز و از طریق کنسول مدیریتی Group Policy در ویندوز سرور به کلاینتها اعمال کنید اما همانطور که گفته شد این پالیسی را ویندوزهای قبل از ویستا پشتیبانی نمیکنند لذا بایستی برای اعمال کردن آنها از ویندوز سرور 2008 به بالا استفاده کنید .
روشی که توضیح داده شد برای ویندوزهای ویستا به بالا هست و در ویندوزهای قبل از ویستا ( مثل Win XP ) این پالیسی وجود ندارد ، بنابراین اگر بخواهیم این روش را بصورت متمرکز به کلاینتها اعمال کنیم ، اگر در شبکه ما از ویندوزها ی مختلف استفاده میشد مثل ویندوز 7 و XP و ویستا آنوقت این پالیسی تنها به کلاینتهای دارای ویندوز ویستا یا بالاتر اعمال میشود

تغییر در رجیستری ( در ویندوز های قبل از ویستا ) :


برای اینکه در ویندوزهای قدیمی تر این هدف را پیاده سازی کنید میتوانیم از طریق رجیستری این کار را انجام دهیم شما از این روش در ویندوزهای قدیمی و جدید میتوانید استفاده کنید برای این کار در Run تایپ کنید regedit و در پنجره باز شده بنا به نیاز تغییرات زیر را انجام دهید :



برای جلوگیری از دسترسی و یا اجازه دسترسی به حافظه های قابل حمل متغیر Start را در مسیر زیر تغییر دهید

1
HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Services\UsbStor

در اینجا متغیری به نام Start وجود دارد که با قرار دادن مقدار 4 در آن مانع دسترسی کاربر و با قرار دادن مقدار 3 در آن اجازه دسترسی کاربر را به حافظه های قبل حمل میدهید



اگر بخواهید که حافظه قابل حمل شما شناخته شده و محتوای آن خوانده شود همچنین کاربر بتواند از حافظه خود اطلاعات را بر روی سیستمش کپی کند اما نتواند اطلاعاتی به فلش خود منتقل کند ، در واقع مانع از کپی اطلاعات از شبکه خود به حافظه های قابل حمل شوید به مسیر زیر بروید :

1
HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

یک متغیر از نوع DWORD ساخته و نام آن را WriteProtect بگذارید و با قرار دادن مقدار 1 به آن مانع از نوشتن اطلاعات به حافظه های قابل حمل کاربران شوید همچنین با قرار دادن 0 و یا حذف متغیرWriteProtect اجازه نوشتن اطلاعات را به کاربران بدهید




روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوز سرور 2008 و بالاتر


حالا شما از طریق Group Policy در ویندوز سرور میتوانید این تغییرات را بصورت متمرکز از مسیر زیر اعمال کنید

1
Computer Configuration => Preferences => Windows settings => Registry


روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوزهای سرور قبل از 2008


در ویندوزهای سرور قدیمی تر در تنظیمات گروپ پالیسی قسمتی با نام Preferences وجود نداشت و شما برای اعمال این تغییرات میتوانید اسکریپت نویسی کرده و آن را به صورت متمرکز به کلاینتها اعمال کنید برای این کار معادل دستوری خط فرمان آنها را که در پایین نوشته شده بنا به نیاز در یک فایل با پسوند Bat کپی و ذخیره کنید آن فایل را در پوشه Share شده با سطح دسترسی مناسب قرار داده و آدرس UNC آن فایل را در مسیر زیر در گروپ پالیسی قرار داده و به کلاینت ها اعمال کنید

1
Computer Configuration => Policy => Windows Settings =>Scripts  Startup


برای جلوگیری از دسترسی کاربران به حافظه های قابل حمل

1
Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 4 /f

برای مجاز کردن کاربران به دسترسی به حافظه های قابل حمل

1
Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 3 /f


برای عدم اجازه نوشتن در حافظه های قابل حمل:

1
Reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /t REG_DWORD /d 1 /f

برای اجازه به نوشتن در حافظه های قابل حمل :

1
Reg delete HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /f


 

استفاده از فایلهای ADM


اما باز هم روش دیگر و راحت تری وجود دارد و آن هم استفاده از فایلهای Adm است
شما با ساختن فایل Adm و Add کردن آن در GPO میتوانید تعدادی پالیسی را که برای همین تغییرات در رجیستری از پیش ساخته شده اند و برای غیر فعال کردن USB , CD-ROM , Floppy , High Capacity Floppy کاربرد دارند را استفاده کنید این پالیسی ها ، ویندوزهای قبل از Vista را هم پوشش میدهند برای این کار متن زیر را در یک فایل با پسوند ADM ذخیره کنید :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

سپس در GPOای که قرار است به کلاینتهای شما اعمال شود وارد شده و در مسیر Computer Configuration بر روی Administrative Templates راست کلیک کرده و Add Remove Templates را بزنید و در پنجره باز شده آدرس فایل ADM ساخته شده را بدهید ( نیاز نیست در پوشه Share شده قرار بگیرد ) بدین شکل تعدادی پالیسی در مسیر زیر خواهند آمد :

1
Computer Configuration=>Policies=>Administrative Templates=>Classic Administrative Templates (ADM)=>Restrict Drives

و از این پالیسی ها میتوانید برای بستن پورتهای USB و برخی دیوایس های دیگر استفاده کنید
نکته بسیار مهم: به جز اولین روش که از طریق Policy های خود ویندوز بود مابقی روشها با تغییرات در رجیستری این هدف را پیاده سازی میکنند و شما با استفاده از Group Policy کاری میکنید که متغیرها در رجیستری کلاینت ها تغییر پیدا کنند . به این نکته توجه داشته باشید که برگرداندن این تنظیمات به حالت اولیه تنها با Disabled کردن GPO انجام نمیشود و شما بایستی با استفاده از روشهای فوق متغیرهای رجیستری کلاینتها را خودتان مقدار دهی کرده و به حالت اول برگردانید در غیر این صورت با Disabled کردن GPO تنظیمات در کلاینت شما همچنان باقی خواهد ماند و به حالت اول بر نخواهد گشت.

نتیجه :


در این مقاله روشهایی گفته شد که بوسیله آنها بتوان نصب Deviceها را کنترل کرد همچنین روشهایی گفته شد که با استفاده از آنان بتوان کاربران را در استفاده از حافظه های قابل حمل محدود کرد با استفاده از این روشها شما میتوانید بدون در نظر گرفتن ویندوز کلاینت و یا قدیم یا جدید بودن آن و با استفاده از ویندوزهای سرور قدیمی و یا جدید هدف خود را پیاده سازی کنید . ولی همانطور که در ابتدای مقاله گفته شد اگر تصمیم به مدیریت و یا کنترل بهتر نصب و یا استفاده از دیوایسها یا حافظه های قابل حمل در سطح Enterprise دارید پیشنهاد میکنم که از ابزارهایی که برای این کار ساخته شده اند استفاده کنید ، با استفاده از این ابزارها میتوانید بطور کامل تر و مطمئن تر هدف خود را پیاده سازی کنید .

نویسنده : سعید شمس آبادی
منبع : انجمن تخصصی فناوری اطلاعات ایران ITPro.ir

اضافه کردن نظر

کد امنیتی
تغییر کد امنیتی

جهت مشاوره رایگان برای عقد قرارداد پشتیبانی کامپیوتر و شبکه با شماره  22315862 ، 77583231، 88457701  تماس حاصل نمایید .

درباره سرویس رایانه

سرویس رایانه از سال 1387 فعالیت خود را آغاز نموده و آماده ارایه خدمات ذیل (عقد قرارداد پشتیبانی کامپیوتر و شبکه با شرکت ها و موسسات) حتی در روز های تعطیل می باشد :

خدمات ما :

  • راه اندازی و پشتیبانی شبکه های Domain & Workgroup
  • عیب یابی سخت افزاری و نرم افزاری کامپیوتر و لپ تاپ
  • فروش کامپیوتر و قطعات و دوربین مدار بسته
  • فروش و نصب دوربین مداربسته (شبکه یا غیر شبکه) مشاهده از طریق اینترنت و تبلت و موبایل

تماس با سرویس رایانه

راه های ارتباطی جهت مشاوره رایگان و یا عقد قرارداد پشتیبانی شبکه و کامپیوتر :

  • 77583231
  • 88457701
  • 09376320561
  • این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
  • این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
جوملا فارسی