سعید صغیر شمس آبادی
کارشناس شبکه های مایکروسافت : علاقه مند به لینوکس

آموزش 2 روش بستن پورت USB با اکتیودایرکتوری و Group Policy

چگونه پورت USB را در شبکه بدون ابزار جانبی ببندیم؟ غیرفعال کردن پورت USB در شبکه با گروپ پالیسی چگونه انجام می شود؟ همانطور که میدانید یکی از شایعترین روشهای انتقال ویروس به کامپیوترها در زمان حال حافظه های قابل حمل میباشد عزیزانی که سالهای پیش ، قبل از در دسترس آمدن حافظه های قابل حمل در زمینه کامپیوتر فعالیت داشتند حتما از بالا رفتن آمار انتقال ویروسها در زمان حال نسبت به چندین سال پیش پی برده اند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

با توجه به این مسئله ، به عنوان مدیر شبکه بایستی تا حد توان از ورود ویروس به کلاینتها در شبکه خود جلوگیری کنید یکی از بهترین و پرکاربرد ترین روشها استفاده از یک آنتی ویروس متناسب با نیاز خود و نصب بر روی سیستمها و دریافت جدیدترین بروز رسانیها است که متناسب با سلیقه و نیاز میتوانید نصب کنید

اما باز هم امکان دارد که برخی ویروسهایی وارد شبکه شما شود که هنوز توسط آنتی ویروسها شناسایی نشده اند ، از طرفی در شبکه هایی که به امنیت اطلاعات خود اهمیت بسیار میدهند ممکن است بستن پورت USB و مدیریت آن بصورت متمرکز راهی مطمئن تر به نظر آید لذا در این مقاله تصمیم دارم روشهای مختلف بستن پورتهای USB را بصورت متمرکز از طریق Group Policy توضیح دادم تا با توجه به نیاز خود مناسب ترین روش را انتخاب و پیاده سازی کنید همچنین با استفاده از این روشها میتوانید این تنظیمات را در صورت نیاز برای کامپیوترهای خانگی و یا Workgroup هم پیاده سازی کنید .

آموزش بستن پورت USB در شبکه با Group Policy

یکی از این روشها استفاده از Policy های موجود در ویندوز است. در ویندوز ویستا به بعد یک سری پالیسی در مسیر زیر وجود دارد که میتوانید با استفاده از این پالیسی ها بصورت متمرکز از نصب شدن Device های جدید که شامل حافظه های قابل حمل میشوند بر روی کامپیوتر جلوگیری کنید :

Computer Configuration=>Administrative Templates=>System=>Device Installation=>Device Installation Restrictions

همچنین با بدست آوردن Hardware IDs دیوایس های مورد نظر ، آنها را در شناسایی مستثنی کرده و یا تنها از Install شدن یک یا چند Device جلوگیری کنید همچنین میتوانید برای آن پیام خطای دلخواه خود را تعیین کنید گرچه این روش از طریق گروپ پالیسی اعمال میشود و پیاده سازی آن راحت بنظر میرسد اما در سازمانهایی که از ویندوزهای ماقبل ویستا ( مثلا WinXP ) استفاده میکنند این پالیسی اعمال نمیشود همچنین با توجه به اینکه ممکن است در کلاینتها ، از قبل دیوایسهایی شناسایی و نصب شده باشد این پالیسی ها در نصب Deviceها محدودیت ایجاد میکنند.

نه اینکه در استفاده Deviceهای نصب شده محدودیت ایجاد کنند و با دردسرهای خاص خود میتوانید تا حدی آن را برطرف کنید یکی دیگر از مواردی که ما را تا حدی ازهدف خود دور میکنید این است که این پالیسی بر روی تمام دیوایسهایی که به سیستم متصل میشوند موثر خواهد بود یعنی به جز حافظه های قابل حمل ، شامل پرینترها و اسکنرها و یا دیوایسهای دیگر هم که از طریق پورت USB به کامپیوتر متصل میشوند هم شده و بر روی آنان هم تاثیر خواهد گذاشت .

جدا از همه اینها من خودم مدتی با این پالیسی کار کرده ام و یک سری بد قلقی ها رو در آن دیده ام خلاصه درکل به شما پیشنهاد میکنم که اگر در شبکه های Enterprise تصمیم به محدود کردن فلش مموری ها و کنترل آنها را دارید و همچنین تصمیم بر مستثنی کردن یک سری حافظه های قابل حمل را دارید از ابزارهایی مانند GFI EndpointSecurity که در همین زمینه کاربرد دارند استفاده کنید که بی شک بسیاری از نیازهای شما را در این زمینه برطرف خواهد کرد. برای آموزش استفاده از این ابزار میتوانید به لینک زیر مراجعه کنید :

یک سری پالیسی دیگر هم در مسیر زیر وجود دارد که میتوانید با استفاده از این آنها دسترسی به دستگاههای فابل حمل را از جمله CD-ROM , Floppy Drives , Removable Disks را سلب کنید از جمله اینکه میتوانید آنها را فعال و یا غیر فعال کنید حتی میتوانید اجازه خواندن و یا نوشتن Removable Disks را سلب کنید

Computer Configuration => Administrative Templates => System => Removable Storage Access

پالیسیها در اینجا معرفی شدند و شما میتوانید آنها را در شبکه خود بصورت متمرکز و از طریق کنسول مدیریتی Group Policy در ویندوز سرور به کلاینتها اعمال کنید اما همانطور که گفته شد این پالیسی را ویندوزهای قبل از ویستا پشتیبانی نمیکنند لذا بایستی برای اعمال کردن آنها از ویندوز سرور 2008 به بالا استفاده کنید .

روشی که توضیح داده شد برای ویندوزهای ویستا به بالا هست و در ویندوزهای قبل از ویستا ( مثل Win XP ) این پالیسی وجود ندارد ، بنابراین اگر بخواهیم این روش را بصورت متمرکز به کلاینتها اعمال کنیم ، اگر در شبکه ما از ویندوزها ی مختلف استفاده میشد مثل ویندوز 7 و XP و ویستا آنوقت این پالیسی تنها به کلاینتهای دارای ویندوز ویستا یا بالاتر اعمال میشود

آموزش بستن پورت USB در شبکه با استفاده از Registry

برای اینکه در ویندوزهای قدیمی تر این هدف را پیاده سازی کنید میتوانیم از طریق رجیستری این کار را انجام دهیم شما از این روش در ویندوزهای قدیمی و جدید میتوانید استفاده کنید برای این کار در Run تایپ کنید regedit و در پنجره باز شده بنا به نیاز تغییرات زیر را انجام دهید :

برای جلوگیری از دسترسی و یا اجازه دسترسی به حافظه های قابل حمل متغیر Start را در مسیر زیر تغییر دهید

HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Services\UsbStor

در اینجا متغیری به نام Start وجود دارد که با قرار دادن مقدار 4 در آن مانع دسترسی کاربر و با قرار دادن مقدار 3 در آن اجازه دسترسی کاربر را به حافظه های قبل حمل میدهید

اگر بخواهید که حافظه قابل حمل شما شناخته شده و محتوای آن خوانده شود همچنین کاربر بتواند از حافظه خود اطلاعات را بر روی سیستمش کپی کند اما نتواند اطلاعاتی به فلش خود منتقل کند ، در واقع مانع از کپی اطلاعات از شبکه خود به حافظه های قابل حمل شوید به مسیر زیر بروید :

HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

یک متغیر از نوع DWORD ساخته و نام آن را WriteProtect بگذارید و با قرار دادن مقدار 1 به آن مانع از نوشتن اطلاعات به حافظه های قابل حمل کاربران شوید همچنین با قرار دادن 0 و یا حذف متغیرWriteProtect اجازه نوشتن اطلاعات را به کاربران بدهید

روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوز سرور 2008 و بالاتر

حالا شما از طریق Group Policy در ویندوز سرور میتوانید این تغییرات را بصورت متمرکز از مسیر زیر اعمال کنید

Computer Configuration => Preferences => Windows settings => Registry

روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوزهای سرور قبل از 2008

در ویندوزهای سرور قدیمی تر در تنظیمات گروپ پالیسی قسمتی با نام Preferences وجود نداشت و شما برای اعمال این تغییرات میتوانید اسکریپت نویسی کرده و آن را به صورت متمرکز به کلاینتها اعمال کنید برای این کار معادل دستوری خط فرمان آنها را که در پایین نوشته شده بنا به نیاز در یک فایل با پسوند Bat کپی و ذخیره کنید آن فایل را در پوشه Share شده با سطح دسترسی مناسب قرار داده و آدرس UNC آن فایل را در مسیر زیر در گروپ پالیسی قرار داده و به کلاینت ها اعمال کنید

Computer Configuration => Policy => Windows Settings =>Scripts  Startup

برای جلوگیری از دسترسی کاربران به حافظه های قابل حمل

Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 4 /f

برای مجاز کردن کاربران به دسترسی به حافظه های قابل حمل

Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 3 /f

برای عدم اجازه نوشتن در حافظه های قابل حمل

Reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /t REG_DWORD /d 1 /f

برای اجازه به نوشتن در حافظه های قابل حمل

Reg delete HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /f

آموزش بستن پورت USB در شبکه با استفاده از فایل ADM

اما باز هم روش دیگر و راحت تری وجود دارد و آن هم استفاده از فایلهای Adm است.شما با ساختن فایل Adm و Add کردن آن در GPO میتوانید تعدادی پالیسی را که برای همین تغییرات در رجیستری از پیش ساخته شده اند و برای غیر فعال کردن USB , CD-ROM , Floppy , High Capacity Floppy کاربرد دارند را استفاده کنید این پالیسی ها ، ویندوزهای قبل از Vista را هم پوشش میدهند برای این کار متن زیر را در یک فایل با پسوند ADM ذخیره کنید :

CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

سپس در GPOای که قرار است به کلاینتهای شما اعمال شود وارد شده و در مسیر Computer Configuration بر روی Administrative Templates راست کلیک کرده و Add Remove Templates را بزنید و در پنجره باز شده آدرس فایل ADM ساخته شده را بدهید ( نیاز نیست در پوشه Share شده قرار بگیرد ) بدین شکل تعدادی پالیسی در مسیر زیر خواهند آمد :

Computer Configuration=>Policies=>Administrative Templates=>Classic Administrative Templates (ADM)=>Restrict Drives

و از این پالیسی ها میتوانید برای بستن پورتهای USB و برخی دیوایس های دیگر استفاده کنید

  • نکته بسیار مهم: به جز اولین روش که از طریق Policy های خود ویندوز بود مابقی روشها با تغییرات در رجیستری این هدف را پیاده سازی میکنند و شما با استفاده از Group Policy کاری میکنید که متغیرها در رجیستری کلاینت ها تغییر پیدا کنند . به این نکته توجه داشته باشید که برگرداندن این تنظیمات به حالت اولیه تنها با Disabled کردن GPO انجام نمیشود و شما بایستی با استفاده از روشهای فوق متغیرهای رجیستری کلاینتها را خودتان مقدار دهی کرده و به حالت اول برگردانید در غیر این صورت با Disabled کردن GPO تنظیمات در کلاینت شما همچنان باقی خواهد ماند و به حالت اول بر نخواهد گشت.

نتیجه

در این مقاله روشهایی گفته شد که بوسیله آنها بتوان نصب Deviceها را کنترل کرد همچنین روشهایی گفته شد که با استفاده از آنان بتوان کاربران را در استفاده از حافظه های قابل حمل محدود کرد با استفاده از این روشها شما میتوانید بدون در نظر گرفتن ویندوز کلاینت و یا قدیم یا جدید بودن آن و با استفاده از ویندوزهای سرور قدیمی و یا جدید هدف خود را پیاده سازی کنید . ولی همانطور که در ابتدای مقاله گفته شد اگر تصمیم به مدیریت و یا کنترل بهتر نصب و یا استفاده از دیوایسها یا حافظه های قابل حمل در سطح Enterprise دارید پیشنهاد میکنم که از ابزارهایی که برای این کار ساخته شده اند استفاده کنید ، با استفاده از این ابزارها میتوانید بطور کامل تر و مطمئن تر هدف خود را پیاده سازی کنید

  • چه روشهایی برای غیرفعال کردن USB در شبکه وجود دارد؟

    بستن پورت های USB از طریق گروپ پالیسی ، بستن پورت های USB از طریق رجیستری ، بستن پورت های USB شبکه از طریق فایل های ADM ، بستن پورت های USB از طریق نرم افزارهای تخصصی Endpoint Protection و بستن پورت های USB شبکه از طریق کنسول آنتی ویروس های مرکزی از مهمترین و معروف ترین روش های غیرفعال کردن پورت USB در شبکه هستند
  • چرا از ابزار جانبی برای بستن USB شبکه استفاده نکنیم؟

    هر چقدر تعداد ابزارهای جانبی استفاده شده در شبکه شما کمتر باشد ، شبکه شما تمیزتر ، امن تر ، سریعتر و کاربردی تر خواهد بود ، استفاده از ابزارهای جانبی کار شما را راه می اندازد اما به خودی خود می تواند یک ریسک امنیتی یا حتی دردسر جدید هم باشد به همین دلیل استفاده از ابزارهای داخلی ویندوز برای مدیریت پورت ها بیشتر توصیه می شود

سعید صغیر شمس آبادی
سعید صغیر شمس آبادی

کارشناس شبکه های مایکروسافت : علاقه مند به لینوکس

سعید صغیر شمس آبادی ، کارشناس سیستم عامل های سرور و سرویس های مبتنی بر مایکروسافت ، گرافیست و علاقه مند به مجازی سازی ، لینوکس و Open Source ، علاقه مند به کار تیمی و ...

نظرات