Blokada zapisu na USB przez GPO i wyjątek od tej zasady
Tytuł trochę niefortunny (być może jeszcze go zmienię...) ale nie potrafiłem wymyślić niczego, co w kilku słowach oddałoby zawartość wpisu. No dobrze, a o co chodzi?
Otóż jest sobie mała firma, kilkadziesiąt komputerków, jedna maszyna serwerowa (WindowsServer 2012), informatycznie radzą sobie sami, niekiedy pomagam w miarę możliwości.
W placówce owej w ramach polityki bezpieczeństwa i ochrony informacji firmowych, blokowany jest zapis na urządzeniach USB, CD, DVD czy dyskietkach (choć komputera ze stacją dyskietek nie widziałem :). Blokada odbywa się poprzez GPO w obrębie domeny.
Skuteczność tego typu działań pomijam, szczególnie, że wszyscy pracownicy mają pełny dostęp do Internetu i gdyby chcieli jakieś informacje wynieść, to raczej skorzystaliby właśnie z dobrodziejstw sieci (wystarczy szybkie 'drag and drop' do jakiejś chmury) ale to już nie moja sprawa.
W każdym razie polityka działa i jakakolwiek próba zapisu na pendrive czy dysku przenośnym kończy się jakże wymownym komunikatem:
OK, istnieje jednak kilku wyjątków od tej reguły, powiedzmy, że są to maszyny kierowników - wymienione maszyny mają prawo zapisywać na USB i innych nośnikach. Zauważyłem, że owe wyjątki realizowane są w panelu "Zarządzanie zasadami grupy" w nieco, hmmm, nietypowy sposób. Jako, że nie zrobiłem "zrzutki" ekranu wyjaśnię, że w jakiejś tam grupie było siedmiu użytkowników. Sześciu z nich miało mieć blokowany zapis na USB a jeden miał posiadać taką możliwość. W ww. firmie realizowano to poprzez dodanie tych sześciu userów do listy w "filtrowaniu zabezpieczeń" usuwając stamtąd uprzednio "authenticated users". Dlaczego tak? Nie wiem i z perspektywy czasu zastanawiam się czy to w ogóle funkcjonowało...? W każdym razie ja tam nie rządzę, "adminem" jest sam szef i, jak wspomniałem na początku, czasami jedynie pomagam, sugerując co nieco. Tak było i w tym przypadku.
Zaproponowałem, wydaje mi się, prostsze i szybsze rozwiązanie (mniej klikania!) a mianowicie przejście do delegowania uprawnień i zwyczajnie dodanie wyjątku w "ustawieniach zabezpieczeń".
Wystarczy dodać użytkownika, który ma być wyjątkiem, następnie przejść w ustawienia zaawansowane i zaptaszkować "Odmów" przy opcji "Stosowanie zasad grup".
Teraz wystarczy odświeżyć zasady grupy dla danego użytkownika i w tym momencie z całej grupy, dla której stosowana jest polityka blokady USB, on jeden będzie miał mimo to możliwość zapisu.
To wszystko, może komuś się przyda, dziękuję za uwagę :)