ติดตามถามตอบปัญหาเพิ่มเติมกับผู้เชี่ยวชาญ Microsoft Platform ได้ที่ http://www.mvpskill.com/forums
สามารถสมัครสมาชิกโดยใช้ Login ผ่าน Facebook Account ได้เลยครับ |
Windows Group Policy Block Removable Media
Group Policy Object หรือ GPO เป็นเรื่องที่ไม่ยาก และไม่ง่ายเลยครับ ประโยชน์ของการบังคับใช้ GPO ในการจัดการ Desktop Environment นั้นมีมากมากเหลือเกิน ซึ่ง Platform Unix ยังไม่สามารถเอาชนะจุดเด่นนี้ได้หากต้องการควบคุม Client Environment ที่เป็น Windows
ใน KB นี้จะพามาแนะนำ GPO ที่มีประโยชน์ต่อการควบคุม Client Environment คือ GPO เกี่ยวกับ Removable Storage Access ซึ่งมีมาใหม่ในตั้งแต่ Windows 2008 จนถึง Windows Server 2012 และ Windows 8 ครับ
เนื่องจากต้นเหตุของปัญหาทั้งปวงของ Virus, Worm, Trojan มักจะระบาดได้อย่างรวดเร็วผ่านทาง USB Drive
สามารถปรับแต่ง Group Policy ให้ Block การเข้าถึง USB หรือ Removable Media ได้จาก
Administrative Templates\System\Removable Storage
เริ่มดูตัวอย่างกันเลยนะครับ
ผมสมมุติว่าผมจะป้องกันการใช้งาน USB Drive กับพนักงานฝ่าย HR เนื่องจากมีข้อมูลลับในองค์กรที่ต้องการป้องกัน ผมจึงสร้าง GPO โดยเครื่องมือ Group Policy Management โดยเลือก สร้าง Create a GPO in this domain, and Link it here โดยให้มีผลกระทบกับ OU = HR
ขอย้ำว่า Computer Object ต้องอยู่ใน OU นี้ด้วยนะครับ
ตั้งชื่อ GPO ให้สื่อความหมายเลยครับ (ตั้งเป็นชื่ออะไรก็ได้ครับ) หลังจากเลือกชื่อเสร็จแล้วให้เลือก Edit ครับ
GPO ของ Removable Storage Access สามารถเลือกปรับแต่งได้ทั้งระดับ Computer Configuration และ User Configuration ครับ \Administrative Templates\System\Removable Storage
ทั้งนี้ต้องมีความเข้าใจด้วยว่าอยากให้มีผลกับระดับเครื่อง Computer หรือ ระดับ User
ในตัวอย่างนี้จะบังคับระดับ Computer Configuration นะครับเนื่องจากดู Properties แล้วมีตัวเลือกได้เยอะกว่ามาก ๆ ครับ (เช่น Deny Execute Access)
GPO ของ Removable Storage Access ในระดับ Computer อยู่ใน Administrative Templates\System\Removable Storage
GPO ของ Removable Storage Access ในระดับ User อยู่ใน Administrative Templates\System\Removable Storage
ผมเลือกปรับแต่งค่าเป็น Enable ครับ ทำให้ USB Removable Media ไม่สามารถใช้งานได้ทั้ง Read, Execute, Write
ผลลัพธ์ที่ได้จะเป็นหน้าตาแบบนี้ครับ
สุดท้ายแล้วก็แค่ Reboot เครื่อง Client แล้วทำการ Login เข้ามาใหม่ เพียงเท่านี้ก็จะเป็นการ Block Removable Drive บนเครื่อง Client ได้อยู่หมัดโดยไม่ต้องใช้ 3rd Party Tools ช่วย
อ้างอิงจาก
http://technet.microsoft.com/en-us/library/cc730808(v=ws.10).aspx
ติดตาม Knowledge Base เกี่ยวกับ Active Directory & Group Policy ได้ที่นี่
http://www.mvpskill.com/kb/category/active-directory-group-policy |