iT邦幫忙

0

使用AD政策封鎖USB成效一問

我的老闆交代我指示工程師透過AD下政策封鎖USB儲存裝置,但工程師回答 AD無法完全封鎖USB儲存裝置必須該裝置被微軟認定為USB隨身碟才行,像記憶卡、行動硬碟都無法被封鎖,封鎖完後我實際測試了一下,手機還是可以讀取,隨身碟竟然也可以讀取,隨便去問幾個同仁也說USB還能用,但我老闆不接受工程師的說法,要我給他合理的解釋,可是我在網路上收尋不到AD政策封鎖USB的漏洞相關文章,有沒有大大可以講得更清楚更深入一點

10
窮嘶發發發
iT邦高手 1 級 ‧ 2015-10-02 09:29:39
最佳解答

請參考這裡
https://technet.microsoft.com/zh-tw/magazine/2007.06.grouppolicy.aspx

沒這回事,因為這個從 2003 就可以封鎖了
要從兩個地方去封鎖,第一個就是 卸除式裝置 第二個不得新增硬體
卸除式裝置 一樓S大已經說了
第二個不得新增硬體才是重點,這個設下去,不管他接什麼
系統都會拒絕新增新的硬體,任何的新硬體都不行
這才是終極管制,這兩個都要設定才行

2
michaelwan
iT邦高手 1 級 ‧ 2015-10-02 11:23:26

GPO鎖USB STOR一定可以, 因為已經鎖很多年了(但我們只鎖唯讀不可寫).
鎖特定的USB就比較麻煩(認證過的裝置才允許), 用其他資安軟體比較快.

4
darkslayer
iT邦好手 1 級 ‧ 2015-10-02 17:29:24

直接用熱溶膠把接頭封死偷笑

我要發表回答

立即登入回答