※ 本文轉寄自 ptt.cc, 文章原始頁面

看板MIS

標題

[請益] 關於透過AD的GPO禁用USB請教

時間2024-05-13 14:54:24

最新2024-05-20 00:20:00

留言32則留言，10人參與討論

推噓8 ( 8推0噓24→ )

公司想透過AD的GPO禁用USB髓身碟但是又不想完全禁用公司有準備自己公用的USB髓身碟只想禁用私人的USB髓身碟而且也不想禁財會部門會用到的讀卡機不過我爬文只有看到全面禁用的沒有看到有禁用但有例外的請問AD有這樣的功能嗎? 有的話要怎麼設定呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.59.236.250 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1715583266.A.B8C.html

32 則留言

→

kujo05/13 15:15, 1F

2016後的版本我不曉得，2012前是透過登錄檔修改電腦可讀或不

→

kujo05/13 15:15, 2F

可讀usb，至於你要的分哪些usb可讀或不可讀，要透過其他管理

→

kujo05/13 15:15, 3F

軟體

推

allen6553505/13 15:18, 4F

GPO套用到指定群組，沒有套用的群組就等於是例外

→

allen6553505/13 15:19, 5F

讀卡機是讀取，隨身碟有讀取也有寫入，只禁寫入應該行

→

allen6553505/13 15:19, 6F

得通吧，我沒實際用過不確定

→

allen6553505/13 15:20, 7F

公用隨身碟要用就讓他只能在例外的電腦用

→

ming79021805/13 15:54, 8F

ku大我已經弄好禁用usb了但是就是全面禁用沒有例

→

ming79021805/13 15:54, 9F

外看來要有例外的話只靠AD而已的話做不到的樣子

推

hibemi77605/13 15:56, 10F

要用第三方資管軟體來管,但那時就不需要GPO了

→

ming79021805/13 15:57, 11F

h大看起來就是這樣了我在跟公司回報…

推

hibemi77605/13 15:59, 12F

我這是老闆放棄花錢,要求部份開+資訊人員去抓用非公發

→

hibemi77605/13 15:59, 13F

一整個掩耳盜鈴

推

allen6553505/13 16:04, 14F

我講的方法就可以設例外，沒有看到我的推文嗎？

→

ming79021805/13 16:08, 15F

allen大我有看到不過公司的意思是全面鎖只開放特

→

ming79021805/13 16:08, 16F

定usb 所以你的方法可能不太適合

→

allen6553505/13 16:28, 17F

了解

→

kujo05/13 16:35, 18F

我看你有準備額外的隨身碟，就知道老闆想玩的是特定隨身碟可

→

kujo05/13 16:35, 19F

讀取，而非特定電腦，AD無法判別隨身碟的UUID，只能乖乖用第

→

kujo05/13 16:36, 20F

三方，這點錢都不花，講真的也只是做表面資安（還沒談到隨

→

kujo05/13 16:36, 21F

身碟存取的記錄追踪咧）

推

mormegil05/13 21:08, 22F

你問題的答案google就有了

推

Swampert05/14 10:38, 23F

你想想"黑帽"開場的清潔工插個USB當藍芽發信器

→

Swampert05/14 10:39, 24F

然後就被駭了

推

saokie05/15 17:17, 25F

其他的 xfort ciro winnessus...

→

eric0016905/15 23:43, 26F

你如果有防毒可以先看防毒中空可不可以鎖

→

hua79062105/17 23:24, 27F

這只是做做表面，現在雲端這麼方便XD

→

hua79062105/17 23:26, 28F

想杜絕資安問題，就得學台積電，強制使用TSMC手機

→

hua79062105/17 23:28, 29F

只要有上網的路、能插的隨身碟，一定有人鑽漏洞，翻拍

推

JotaroKaga05/20 00:20, 30F

你的需求不花錢不可能達到，GPO沒辦法辨識隨身碟的序

→

JotaroKaga05/20 00:20, 31F

號，所以你沒辦法只針對私人隨身碟封鎖。

→

JotaroKaga05/20 00:20, 32F

單純靠GPO能做的有限