USB Sticks en Harddisks uitschakelen met een GPO

Door /

Met een GPO USB External Storage uitschakelen

In een bedrijfsnetwerk wil je voor veilig gaan.
En 1 van de manieren om veiligheid te waarborgen is het uitschakelen van USB Sticks en schijven.
Waarom ? Omdat veelal USB sticks worden gebruikt in allerlei computers al dan niet met een virus. Het is 1 van de populaire manieren om virussen en andere schadelijke troep te verspreiden. Met het uitschakelen van USB Storage beperk je het risico op virusinfecties via besmette USB Storage.

Aan de slag !

Op de Domain Controller openen we de Group Policy Manager.
Klik met de rechtermuisknop op Group Policy Objects en klik op New

local admin group policy 01

Geef de nieuwe policy een naam, bijvoorbeeld Disable USB Storage

Om de settings in deze policy samen te voegen met andere GPO’s, gaan we eerst naar :

Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy

Hier kiezen we de setting User Group Policy loopback processing mode

Deze zetten we op Enabled en de mode op Merge zodat deze settings worden samengevoegd met andere GPO’s

local admin group policy 02

Vervolgens gaan we naar de settings om USB Storage uit te schakelen.

Ga hiervoor naar :

Computer Configuration –> Policies –> Administrative Templates –> System –> Removable Storage Access

USB Storage uitschakelen via GPO 01

Hier kunnen we de settings aanpassen om de USB Storage uit te schakelen :

Je kunt hier nog aanpassen wat je wel of niet wilt :

Deny Execute Access –> Bestanden op de Removable Storage mogen niet geopend worden
Deny Read Access –> Inhoud van de Removable Storage mag niet gelezen worden
Deny Write Access –> Inhoud van de Removable Storage mag niet beschreven worden.

USB Storage uitschakelen via GPO 02

Wil je helemaal niet dat er iets met Removable Storage gedaan kan worden, dan zet je alle Deny settings op Enabled. Meer hoef je niet in te stellen.

USB Storage uitschakelen via GPO 03

Sluit nu de Group Policy Manager.
Link de GPO aan de OU waarop je de policy wilt los laten :
Klik met de rechtermuisknop op de OU en kies Link an Existing GPO…

Kies de GPO die je zojuist aangemaakt hebt en je bent klaar !

local admin group policy 07

Om te testen of dit werkt, ga je achter een computer zitten waarop de policy actief moet worden.

Open een command prompt en typ het volgende commando, gevolgd door Enter :

gpupdate /force

De policies worden nu vernieuwd en uitgevoerd.

USB Storage uitschakelen via GPO 04

Voor sommige settings die in de User Settings staan in een policy, is het nodig om je af en weer aan te melden.
De Removable Storage Policy is een computer setting die soms meteen actief is, maar soms moet je de hele computer opnieuw starten om de setting actief te maken.

Als alles goed gaat, kun je nu een USB stick verbinden met de computer waarna deze zichtbaar zal zijn in de Windows Verkenner :

USB Storage uitschakelen via GPO 05

maar wanneer je deze wilt openen krijg je de melding dat de toegang geweigerd is.
Je kunt er dus niets meer mee wat betekend dat de policy zijn werk gedaan heeft !

USB Storage uitschakelen via GPO 06

Mission accomplished ! 🙂

 

Deel dit:
Scroll naar boven