none
disabilitazione porte usb su dominio Windows 2003 SP2 RRS feed

  • Domanda

  • ciao ragazzi,

    vorrei effettuare la disabilitazione delle porte usb su AD di un dominio Windows 2003 SP2.

    la procedura che ho seguito è la seguente:

    - ho creato una nuova policy, caricato il file .adm

    - sulle proprietà della nuova policy nei filtri l'ho attivata

    - ho modificato la chiave di registro start da 3 a 4

    - ho negato l'accesso ai file usbstor.sys e usbstor.pnf al gruppo che mi interessa non utilizzi le porte usb

     

    ho dato a una delle macchine in questione un gpupdate /force ma senza ottenere risultato

    le periferiche usb  ( pennine, hard disk ) vengon sempre montati

    di che altre informazioni avete bisogno per un buon troubleshooting?

    • Modificato Anca Popa venerdì 19 agosto 2011 06:45 formattazione
    giovedì 18 agosto 2011 10:11

Risposte

Tutte le risposte

  • la policy in questione è una policy per computer pertanto, se hai creato una organizational unit alla quale ai abbinato una group policy che disabilita l'accesso alle periferiche usb, dentro questa OU devono essere messi computer e non users.

    leggi attentamente questo

    http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks

    se devi impedire il caricamento di pendrive usb solo a particolari users dovrai agire sulle ACL del group policy object creato definendo il filtro opportuno.

    rileggi anche l'articolo di Petri

    http://www.petri.co.il/disable_usb_disks_with_gpo.htm

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 18 agosto 2011 10:48
    Moderatore
  • ciao Edoardo, grazie per l'aiuto e il supporto

    ho diverse organizzation unit ove all'interno di esse ci sono dei criteri vari, tipo installazione di software, preferiti, scadenza password e via discorrendo.

    in una OU specifica che comprende circa 30 macchine ( tutte le macchine si loggano con la stessa user e hanno un gruppo dedicato ) vorrei che venissero bloccate le porte usb per questioni di virus e via discorrendo.

    ho trovato un altro tutorial ( http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks ) e l'ho seguito alla lettera tranne il punto 10. e 11.

    attualmente però se mi loggo con quella determinata username riesco ancora a montare qualsiasi pennina / hark disk usb

    dove può essere il problema? cosa devo andare a verificare?

    thanks in advance


    `` contro ogni barriera per la libera circolazione del sapere ``
    giovedì 18 agosto 2011 12:39
  • lancia un gpupdate /force sia sul domain controller sia sul client, poi controlla il registro eventi del dc e del client alla ricerca di errori al momento della riapplicazione delle policies. se non ce ne sono fai logon con quell'utente e vedi se riesce a "vedere" la pendrive.

    se ci sono errori ovviamente riportali qui.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 18 agosto 2011 13:00
    Moderatore
  • ho provato a far partire un gpupdate /force al client ma non ho risolto

    non posso farlo sul DC in quanto attualmente è in produzione e sarei costretto a riavviarlo

     

    una domanda: da dove lo verifico il registro eventi dal DC e dal client?


    `` contro ogni barriera per la libera circolazione del sapere ``
    giovedì 18 agosto 2011 13:16
  • un gpupdate /force sul domain controller non ti costringe ad alcun riavvio.

    devi prima eseguire il comando sul dc e poi sul client.

    per vedere i registri eventi fai start, esegui, digita

    eventvwr

    e clicca ok.

    vai sulle sezioni system e application e vedi se ci sono errori.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 18 agosto 2011 13:33
    Moderatore
  • ho dato gpupdate /force prima al DC poi al client ma il problema non è stato risolto

    ho sharato i 4 file estratti sia da client che da DC. sono presenti degli errori ma non li comprendo.

    http://db.tt/NyVbV9b

     

    fammi sapere se hai bisogno di altre informazioni


    `` contro ogni barriera per la libera circolazione del sapere ``
    giovedì 18 agosto 2011 14:59
  • Forse questo documento di PierGiorgio Malusardi  può fare al caso tuo http://technet.microsoft.com/it-it/library/cc678194.aspx

     

    Saluti

    Nino

    giovedì 18 agosto 2011 15:16
    Moderatore
  • puoi postare solo gli event id e i source degli errori che trovi negli istanti che precedono e seguono

    l'esecuzione del gpupdate /force su entrambe le macchine ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 18 agosto 2011 15:21
    Moderatore
  • @NinoRCTN

    grazie per il tutorial, darò uno sguardo per effettuare troubleshooting;

     

    @Edoardo

    domani faccio un clear degli eventi e poi lancio il gpupdate per capire dove sta il problema;

     

    per il momento grazie per il supporto

    a presto


    `` contro ogni barriera per la libera circolazione del sapere ``
    giovedì 18 agosto 2011 15:56
  • buondì,

    ho effettuato i test come richiesto da Edoardo. ho proceduto in questo modo ( correggetemi se è necessario ):

     

    - clear degli eventi su DC e client

    ho sharato i file qui: http://db.tt/NyVbV9b

    - gupdate /force su DC non ha creato eventi su system mentre su application ho trovato quanto segue: ev-dc-gpupdate.txt

    - gpupdate /force su client non ha creato eventi su system mentre su application ho trovato quanto segue: ev-cli-gpupdate1.txt

    al riavvio del client la situazione è questa:

    sul DC la situazione è rimasta invariata,

    nel cli: ev-cli-app-gpupdate2.txt / ev-cli-sys-gpupdate2.txt

     

    hai bisogno di altro?


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 19 agosto 2011 10:31
  • ok: le pollicy vengono applicate con successo.

    domande: a quale livello hai definito la policy delle pendrive ? nella default domain policy ? o dove ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 19 agosto 2011 12:17
    Moderatore
  • Postare un GPRESULT che ne pensi?
    venerdì 19 agosto 2011 13:10
    Moderatore
  • @Edoardo

    su group policy object ho creato la mia policy e poi ho applicato le varie conf

    una volta creata la policy l'ho trascinata nella unità organizzativa che necessita del blocco delle porte usb

     

    @NinoRCTN

    vorresti un GPRESULT del client?


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 19 agosto 2011 13:45
  • Si, GPRESUL /SCOPE COMPUTER /V
    venerdì 19 agosto 2011 13:50
    Moderatore
  •  

    una volta creata la policy l'ho trascinata nella unità organizzativa che necessita del blocco delle porte usb


    perfetto, e dentro questa OU cosa c'è ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 19 agosto 2011 14:11
    Moderatore
  • @NinoRCTN

    attualmente la macchine è impegnata da un operatore, lo faccio non appena possibile

     

    @Edoardo

    all'interno dell'OU ci sono due utenti e due gruppi che appartengono ai rispettivi utenti

    ci sono inoltre altre policy applicate all'OU, tipo preferiti etc etc


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 19 agosto 2011 14:38
  • @Edoardo

    all'interno dell'OU ci sono due utenti e due gruppi che appartengono ai rispettivi utenti

    ci sono inoltre altre policy applicate all'OU, tipo preferiti etc etc

    bene, proprio qua volevo arrivare: la policy di disabilitazione delle pendrive è una policy per computer e non per user quindi dentro alla OU ci devi mettere computers e non users

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 19 agosto 2011 14:53
    Moderatore
  • perdona la mia ignoranza ma sono un profano di AD.

    come faccio ad aggiungere le macchine che desidero vengano bloccate in quella specifica OU?


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 19 agosto 2011 15:28
  • La trascini a forza
    venerdì 19 agosto 2011 15:31
    Moderatore
  • vai a selezionare quelle macchine dove si trovano in ADUC, click destro, scegli "sposta in" ed indichi la OU dove hai applicato quella policy.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 19 agosto 2011 15:32
    Moderatore
  • ok, non pensaavo che dovessi fare allo stesso di modo di spostare una policy o viceversa.

    oh trascinato due macchine per fare il test, ora do un gpupdate al client ?

     

    * se sì, ho spostato due macchine dentro OU, ho dato un gpupdate /force ai client ma al riavvio la pennina viene montata lo stesso.


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 19 agosto 2011 15:36
  • @Edoardo

    vorrei informarti che anche se ho addato le macchine alla OU le pennine usb vengono regolarmente installate

     


    `` contro ogni barriera per la libera circolazione del sapere ``
    sabato 20 agosto 2011 15:26
  • sulle macchine messe nella OU la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start è settata a 4 ?

    gli user che fanno logon sono semplici domain users senza diritti amministrativi sulle macchine in questione ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    domenica 21 agosto 2011 06:41
    Moderatore
  • ma questa chiave la devo impostare su tutte le macchine? sono 80, non c'è un modo per farlo in automatico?

     

    si esatto, gli user che fanno logon sono dei semplici domain users senza diritti amministrativi


    `` contro ogni barriera per la libera circolazione del sapere ``
    lunedì 22 agosto 2011 14:03
  • ma questa chiave la devo impostare su tutte le macchine? sono 80, non c'è un modo per farlo in automatico?


    se importi l'adm file come scritto in questo articolo

    http://support.microsoft.com/kb/555324/en-us

    la policy si applicherà a tutte le macchine che vuoi tu automaticamente modificando la chiave di registro.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 22 agosto 2011 14:37
    Moderatore
  • se oggi ho un attimo di tempo provo ad applicarla

    ma il file .adm lo creo io e incollo quanto riportato nel link che mi hai pastato?


    `` contro ogni barriera per la libera circolazione del sapere ``
    venerdì 26 agosto 2011 08:07
  • esatto.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 26 agosto 2011 08:30
    Moderatore