我的老闆交代我指示工程師透過AD下政策封鎖USB儲存裝置,但工程師回答 AD無法完全封鎖USB儲存裝置必須該裝置被微軟認定為USB隨身碟才行,像記憶卡、行動硬碟都無法被封鎖,封鎖完後我實際測試了一下,手機還是可以讀取,隨身碟竟然也可以讀取,隨便去問幾個同仁也說USB還能用,但我老闆不接受工程師的說法,要我給他合理的解釋,可是我在網路上收尋不到AD政策封鎖USB的漏洞相關文章,有沒有大大可以講得更清楚更深入一點
已邀請的邦友 {{ invite_list.length }}/5
請參考這裡
https://technet.microsoft.com/zh-tw/magazine/2007.06.grouppolicy.aspx
沒這回事,因為這個從 2003 就可以封鎖了
要從兩個地方去封鎖,第一個就是 卸除式裝置 第二個不得新增硬體
卸除式裝置 一樓S大已經說了
第二個不得新增硬體才是重點,這個設下去,不管他接什麼
系統都會拒絕新增新的硬體,任何的新硬體都不行
這才是終極管制,這兩個都要設定才行
GPO鎖USB STOR一定可以, 因為已經鎖很多年了(但我們只鎖唯讀不可寫).
鎖特定的USB就比較麻煩(認證過的裝置才允許), 用其他資安軟體比較快.
iThome鐵人賽
看影片追技術