在群組原則設定裡,我們可針對卸除式儲存裝置,做禁止存取及寫入的設定。

在已經建置Windows伺服器的環境中,我們可以利用其中的目錄服務來部署群組原則物件(GPO)的方式,以便統一管控企業的所有電腦設備,限制它們不得使用USB埠。

一般來說,稍具規模的企業,都會在環境中架設目錄服務伺服器,例如Active Directory或LDAP伺服器,並且建立網域,接著將所有員工電腦加入該網域,以方便施行集中控管。

這樣做的好處是,我們可以在這些目錄伺服器的管理操作介面中,統一設定所有的電腦,不需到每臺電腦前分別設定,省下人力與時間往返。

以GPO來說,其中的群組原則設定內,我們除可設定USB的使用外,還能夠個別設定CD/DVD、可攜式裝置(WPD)、軟碟機、磁帶機的存取權。

林皇興說,Windows AD不僅可用來運用群組原則,套用到區域內的每一臺電腦。

如果企業能夠安裝資產控管軟體,或者是周邊裝置管理軟體,也都可以整合運用AD派送政策,可較快達到快速部署,而不用讓IT人員在每一臺電腦個別做設定,可有效縮短上線的時程。


優:大量部署環境適用,可統一設定所有的電腦

缺:需嚴密控管權限,如使用者知道本機帳號密碼,此方法就失效

建置時間:約2分鐘

所需成本:需具備與架設Windows Server,並建立網域


相關報導請參考「徹底搜查!封鎖USB 2012 最新13招」


熱門新聞

Advertisement