Giải pháp phòng chống sử dụng thiết bị di động

I. Giới thiệu
Công ty muốn ngăn chặn các máy tính không được sử dụng một số thiết bị như: USB Flash Drive, IPod, Wireless Interface, CD-Rom, DVD. Với các thiết bị lưu trữ di động như hiện nay đều đem lại thách thức đối với người quản trị hệ thống như: nguy cơ phát tán Virus, bảo vệ quyền sở hữu trí tuệ … Đối với Windows XP hay Windows Server 2003 thì bạn không có nhiều sự lựa chọn khi muốn kiểm soát các thiết bị này. Tuy nhiên bài viết dưới đây sẽ trình bày những giải pháp nhằm ngăn chặn các thiết bị trên khi sử dụng trong các phiên bản hệ điều hành Windows XP, Windows Server 2003…

II. Cấu hình trong Registry– Các bạn có thể cấu hình cho thiết bị USB chỉ đọc bằng cách truy cập vào regedit với đường dẫn sau:
– Vào Start –> Run –> gõ: regedit


– Vào theo đường dẫn như bên dưới


– Chuột phải chọn New –> Key


Tuy nhiên, tính năng này không thực sự là một giải pháp cao. Với giải pháp này chỉ tránh tình trạng Copy dữ liệu, nhưng vẫn có thể phát tán được Virus.

III. Permission
– Nếu USB Storage Device chưa được cài đặt bạn có thể phân quyền DENY cho user tại 02 files:

%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf


Nếu USB Storage Device đã được cài đặt trên máy tính bạn có thể sử dụng chương trình Microsoft Fix It download tại đây để thay đổi các thông số trong Registry cho người dùng không thể kết nối thiết bị.

IV. Cấu hình Group Policy

– Mặc định trong GPO chỉ hỗ trợ để quản lý thiết bị rất hạn chế.
– Vào Star –> RUN –> gõ: secpol.msc


Nhưng bạn có thể tùy chỉnh thêm để năng cao khả năng quản lý thiết bị trong GPO. Sau đây là cách triển khai cấm sử dụng USB bằng GPO trong Domain
Yêu cầu chuẩn bị: 2 máy
– Windows Server 2003: Domain Controller: tạo OU, User như hình bên dưới
– Windows XP: Join Domain


– Nhấn phải vào OU KETOAN –> Properties


– Chọn Tab Group Policy –> New


– Đặt tên Policy –> Edit


– Nhấn phải Computer Configuration –> Administrative Templates –> Add/Remove Templates

– chọn Add
– Lựa chọn File ControlDevices.ADM > Open
Lưu Ý: Copy nội dung của file ControlDevices.ADM từ đây Pass Unlock: forum.bachkhoa-npower.vn


– Kiểm tra trong Computer Configuration –> Administrative Templates –> Custom Policy Settings –> Restrict Devices


– Chọn menu View –> Filtering


– Bỏ chọn Only show policy…


– Đã hiển thị các tùy chọn


– Mở Policy Disable USB > Chọn Enable


– Đóng cửa sổ Group Policy Object –> Close


– Client khởi động lại máy tính và kiểm tra không sử dụng được USB

Bình luận về bài viết này