یکی از چالشهایی که برخی از سازمانها با آن رو به رو هستند و از کارشناسان پشتیبانی شبکه درخواست ارائه راهکار برای رفع این چالش را دارند این است که کاربران آنها نتوانند از درگاه USB برای ذخیره ساز های برتابل استفاده نمایند تا از انتقال اطلاعات سازمان به بیرون سازمان و همچنین آلوده نمودن دستگاه توسط انواع ویروس ها به شبکه سازمان از بیرون، جلوگیری نمایند.
یکی از راهکارها برای حل این چالش استفاده از آنتی ویروس است که این راهکار مستلزم صرف هزینه های سنگین است ولی با یک راهکار بسیار ساده و بدون هزینه، با استفاده از قابلیت های درون سیستم عامل توسط کنسول Group Policy Managment در شبکه های دامینی و شبکه های کوچک یا WorkGroup توسط چند خط دستور در کامند لاین این مشکل را حل نماییم.
ساختار های WorkGroup
۱-برای شروع با فشردن کلید Window عبارت CMD را تایپ نموده و بر روی آن راستکلیک میکنیم تا آن را با دسترسی ادمین اجرا کنیم.
۲- سبس بعد از باز شدن محیط کامند برامبت درون آن دستور های زیر را تایب مینماییم.
۳-برای مسدود کردن درگاه ها دستور های زیر را در CMD تایب کنید.
reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v "Start" /t REG_DWORD /d "4" /f
۴-برای فعال کردن درگاه ها دستور های زیر را در CMD تایب کنید.
reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v "Start" /t REG_DWORD /d "3" /f
برای سهولت در انجام سریع این کار شما میتوانید کد های بالا را در فایل های با فرمت .Bat ذخیره نمایید و برای استفاده از آن بروی آن ها راست کلیک نمایید و با دسترسی ادمین آن ها را اجرا کنید.
جهت راحتی همکارانی که پشتیبانی شبکه را بر عهده دارند ،این لینک را جهت دانلود فایل آماده شده قرار می دم .
ساختار های دامین DOMAIN
برای شروع درون سرور دامین کنترلر وارد میشویم و با فشردن کلید ترکیبی Window+R وارد محیط Run شده و عبارت gpmc.msc را تایپ نموده و اینتر میزنیم.
بعد از باز شدن کنسول Gpmc.msc بر روی Organition Unit مورد نظر راست کلیک کرده و Create GPO…. را میزنیم تا برای آن قسمت از مجموعه یک قوانین واحد یا همان گروب بالیسی ایجاد کنیم که از آن قوانینی که مختص خودش است تبعیت کند و فقط بر روی آن یوزر ها و سیستم هااعمال گردد.
در این قسمت میبایست یک نام برای قوانینمان انتخاب نماییم که با این عمل یک نظم بسیارخوبی درساختار بالیسی های ما ایجاد میکند تا در آینده که ساختار شبکه گسترده گردید دچار مشکل یا اشتباه نگردیدم. که بنده نام USB access Deny را انتخاب کردم.
بعد از ساختن و نامگزاری بالیسی مورد نظر بروی آن راست کلیک مینماییم و گزینه Edit را میزنیم.
بعد از Edit گرفتن از بالیسی که ایجاد کردیم کنسول Group Policy management Editor باز میشود که در این قسمت تنظیمات مربوط به یوزر ها و سیستم هارا مشاهده میکنید .
از انجایی که ما میخواهیم دستگاه های مورد نظر به هیچ عنوان و با هر اکانتی نتوانند فایلی را با فلش یو اس بی انتقال دهند ما میبایست بالیسی را بروی Computer Configuration انجام دهیم سبس مسیر زیر را دنبال کنید همانند عکس زیر.
بعد از رسیدن به قسمت Removable Storage Access در لیست نشان داده شده گزینه All Removable Storage Classes Deny All Access را انتخاب میکنیم و سس بعد از باز شدن این قابلیت را Enable میکنیم.