作者ming790218 (ming)
看板MIS
標題[請益] 關於透過AD的GPO禁用USB請教
時間Mon May 13 14:54:24 2024
公司想透過AD的GPO禁用USB髓身碟
但是又不想完全禁用
公司有準備自己公用的USB髓身碟
只想禁用私人的USB髓身碟
而且也不想禁財會部門會用到的讀卡機
不過我爬文只有看到全面禁用的
沒有看到有禁用但有例外的
請問AD有這樣的功能嗎?
有的話要怎麼設定呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.59.236.250 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1715583266.A.B8C.html
1F:→ kujo: 2016後的版本我不曉得,2012前是透過登錄檔修改電腦可讀或不 05/13 15:15
2F:→ kujo: 可讀usb,至於你要的分哪些usb可讀或不可讀,要透過其他管理 05/13 15:15
3F:→ kujo: 軟體 05/13 15:15
4F:推 allen65535: GPO套用到指定群組,沒有套用的群組就等於是例外 05/13 15:18
5F:→ allen65535: 讀卡機是讀取,隨身碟有讀取也有寫入,只禁寫入應該行 05/13 15:19
6F:→ allen65535: 得通吧,我沒實際用過不確定 05/13 15:19
7F:→ allen65535: 公用隨身碟要用就讓他只能在例外的電腦用 05/13 15:20
8F:→ ming790218: ku大 我已經弄好禁用usb了 但是就是全面禁用 沒有例 05/13 15:54
9F:→ ming790218: 外 看來要有例外的話只靠AD而已的話做不到的樣子 05/13 15:54
10F:推 hibemi776: 要用第三方資管軟體來管,但那時就不需要GPO了 05/13 15:56
11F:→ ming790218: h大 看起來就是這樣了 我在跟公司回報… 05/13 15:57
12F:推 hibemi776: 我這是老闆放棄花錢,要求部份開+資訊人員去抓用非公發 05/13 15:59
13F:→ hibemi776: 一整個掩耳盜鈴 05/13 15:59
14F:推 allen65535: 我講的方法就可以設例外,沒有看到我的推文嗎? 05/13 16:04
15F:→ ming790218: allen大 我有看到 不過公司的意思是全面鎖 只開放特 05/13 16:08
16F:→ ming790218: 定usb 所以你的方法可能不太適合 05/13 16:08
17F:→ allen65535: 了解 05/13 16:28
18F:→ kujo: 我看你有準備額外的隨身碟,就知道老闆想玩的是特定隨身碟可 05/13 16:35
19F:→ kujo: 讀取,而非特定電腦,AD無法判別隨身碟的UUID,只能乖乖用第 05/13 16:35
20F:→ kujo: 三方,這點錢都不花,講真的也只是做表面資安 (還沒談到隨 05/13 16:36
21F:→ kujo: 身碟存取的記錄追踪咧) 05/13 16:36
22F:推 mormegil: 你問題的答案google就有了 05/13 21:08
23F:推 Swampert: 你想想"黑帽"開場的清潔工 插個USB當藍芽發信器 05/14 10:38
24F:→ Swampert: 然後就被駭了 05/14 10:39
25F:推 saokie: 其他的 xfort ciro winnessus... 05/15 17:17
26F:→ eric00169: 你如果有防毒 可以先看防毒中空可不可以鎖 05/15 23:43
27F:→ hua790621: 這只是做做表面,現在雲端這麼方便XD 05/17 23:24
28F:→ hua790621: 想杜絕資安問題,就得學台積電,強制使用TSMC手機 05/17 23:26
29F:→ hua790621: 只要有上網的路、能插的隨身碟,一定有人鑽漏洞,翻拍 05/17 23:28
30F:推 JotaroKaga: 你的需求不花錢不可能達到,GPO沒辦法辨識隨身碟的序 05/20 00:20
31F:→ JotaroKaga: 號,所以你沒辦法只針對私人隨身碟封鎖。 05/20 00:20
32F:→ JotaroKaga: 單純靠GPO能做的有限 05/20 00:20
33F:推 lf2net4589: 公司是花錢買第三方,最兩光的是買卡巴 05/22 20:29