কিভাবে গ্রুপ পলিসি ব্যবহার করে উইন্ডোজে ইউএসবি ড্রাইভ ব্লক করবেন?

কম্পিউটারে একটি নতুন USB ডিভাইস সংযোগ করার সময়, Windows স্বয়ংক্রিয়ভাবে ডিভাইসটি সনাক্ত করে এবং একটি উপযুক্ত ড্রাইভার ইনস্টল করে। ফলস্বরূপ, ব্যবহারকারী প্রায় অবিলম্বে একটি সংযুক্ত USB ড্রাইভ বা ডিভাইস ব্যবহার করতে পারেন। কিছু সংস্থায়, সংবেদনশীল ডেটা ফাঁস এবং কম্পিউটারে সংক্রামিত হওয়া রোধ করার জন্য সুরক্ষার কারণে USB স্টোরেজ ডিভাইস (ফ্ল্যাশ ড্রাইভ, USB HDD, SD কার্ড এবং আরও অনেক কিছু) ব্যবহার ব্লক করা হয়েছে৷ বহিরাগত অপসারণযোগ্য USB-ড্রাইভ নিষ্ক্রিয় করতে গ্রুপ নীতি (GPO) কীভাবে ব্যবহার করবেন তা এই নিবন্ধটি বর্ণনা করে।

ডোমেন কম্পিউটারে USB স্টোরেজ ডিভাইস নিষ্ক্রিয় করতে GPO কনফিগার করা হচ্ছে

উইন্ডোজের সমস্ত সংস্করণে, Windows 7 থেকে শুরু করে, আপনি নমনীয়ভাবে গোষ্ঠী নীতিগুলি ব্যবহার করে বহিরাগত ড্রাইভে (USB, CD/DVD, ফ্লপি, টেপ ইত্যাদি) অ্যাক্সেস পরিচালনা করতে পারেন (আমরা BIOS সেটিংসের মাধ্যমে USB পোর্ট নিষ্ক্রিয় করার একটি মৌলিক উপায় বিবেচনা করছি না। ) মাউস, কীবোর্ড, প্রিন্টার ইত্যাদির মতো ইউএসবি ডিভাইসগুলিকে প্রভাবিত না করে শুধুমাত্র ইউএসবি ড্রাইভের ব্যবহার প্রোগ্রামেটিকভাবে ব্লক করা সম্ভব (যা অপসারণযোগ্য ডিস্ক হিসাবে স্বীকৃত নয়)।

যদি আপনার AD ডোমেনের পরিকাঠামো নিম্নলিখিত প্রয়োজনীয়তাগুলি পূরণ করে তাহলে USB ডিভাইস ব্লকিং নীতি কাজ করবে:

• অ্যাকটিভ ডিরেক্টরি স্কিমা সংস্করণ — উইন্ডোজ সার্ভার 2008 বা নতুন;দ্রষ্টব্য . গোষ্ঠী নীতির সেট উইন্ডোজে অপসারণযোগ্য মিডিয়ার ইনস্টলেশন এবং ব্যবহার নিয়ন্ত্রণ করার অনুমতি দেয় শুধুমাত্র AD সংস্করণ 44-এ উপস্থিত হয়।
• ডেস্কটপ OS -Windows 7 বা নতুন।

আমরা একটি নির্দিষ্ট AD কন্টেইনারে (OU) সমস্ত কম্পিউটারের জন্য USB-ড্রাইভের ব্যবহার সীমাবদ্ধ করতে যাচ্ছি। আপনি সমগ্র ডোমেনে USB ব্লক নীতি প্রয়োগ করতে পারেন, তবে এটি সার্ভার এবং অন্যান্য প্রযুক্তিগত ডিভাইসগুলিকে প্রভাবিত করবে৷ ধরা যাক আমরা ওয়ার্কস্টেশন নামের OU-তে নীতি প্রয়োগ করতে চাই . এটি করতে, GPO ম্যানেজমেন্ট কনসোল খুলুন (gpmc.msc , OU ওয়ার্কস্টেশনে ডান-ক্লিক করুন এবং একটি নতুন নীতি তৈরি করুন (এই ডোমেনে একটি GPO তৈরি করুন এবং এটি এখানে লিঙ্ক করুন৷ )

GPO নাম "USB অ্যাক্সেস নিষ্ক্রিয় করুন" সেট করুন৷ .

GPO সেটিংস পরিবর্তন করুন (সম্পাদনা করুন )।

বাহ্যিক স্টোরেজ ডিভাইস ব্লক করার সেটিংস GPO-এর ব্যবহারকারী এবং কম্পিউটার উভয় বিভাগেই পাওয়া যায়:

• ব্যবহারকারী কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> সিস্টেম -> অপসারণযোগ্য স্টোরেজ অ্যাক্সেস।
• কম্পিউটার কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> সিস্টেম -> অপসারণযোগ্য স্টোরেজ অ্যাক্সেস।

অপসারণযোগ্য সঞ্চয়স্থান অ্যাক্সেস-এ বিভাগে, আপনাকে বিভিন্ন ধরনের স্টোরেজ ক্লাস - CD/DVD, FDD, USB-ডিভাইস, টেপ, ইত্যাদির ব্যবহার নিষ্ক্রিয় করার অনুমতি দেওয়ার জন্য বেশ কিছু নীতি রয়েছে৷

• CD এবং DVD:এক্সিকিউট এক্সেস অস্বীকার করুন।
• CD এবং DVD:পড়ার অ্যাক্সেস অস্বীকার করুন৷
• CD এবং DVD:লেখার অ্যাক্সেস অস্বীকার করুন।
• কাস্টম ক্লাস:পড়ার অ্যাক্সেস অস্বীকার করুন।
• কাস্টম ক্লাস:লেখার অ্যাক্সেস অস্বীকার করুন।
• ফ্লপি ড্রাইভ:এক্সিকিউট এক্সেস অস্বীকার করুন।
• ফ্লপি ড্রাইভ:পড়ার অ্যাক্সেস অস্বীকার করুন।
• ফ্লপি ড্রাইভ:লেখার অ্যাক্সেস অস্বীকার করুন।
• অপসারণযোগ্য ডিস্ক:এক্সিকিউট এক্সেস অস্বীকার করুন।
• অপসারণযোগ্য ডিস্ক:পড়ার অ্যাক্সেস অস্বীকার করুন।
• অপসারণযোগ্য ডিস্ক:লেখার অ্যাক্সেস অস্বীকার করুন।
• সকল অপসারণযোগ্য স্টোরেজ ক্লাস:সমস্ত অ্যাক্সেস অস্বীকার করুন।
• সমস্ত অপসারণযোগ্য স্টোরেজ:দূরবর্তী সেশনে সরাসরি অ্যাক্সেসের অনুমতি দিন।
• টেপ ড্রাইভ:এক্সিকিউট এক্সেস অস্বীকার করুন।
• টেপ ড্রাইভ:পড়ার অ্যাক্সেস অস্বীকার করুন৷
• টেপ ড্রাইভ:লেখার অ্যাক্সেস অস্বীকার করুন৷
• উইন্ডোজ পোর্টেবল ডিভাইস – এই ক্লাসে স্মার্টফোন, ট্যাবলেট, প্লেয়ার ইত্যাদি অন্তর্ভুক্ত রয়েছে।
• WPD ডিভাইস:লেখার অ্যাক্সেস অস্বীকার করুন।

আপনি দেখতে পাচ্ছেন, আপনি প্রতিটি ডিভাইস ক্লাসের জন্য এক্সিকিউটেবল ফাইলগুলি চালু করতে অস্বীকার করতে পারেন (ভাইরাস থেকে কম্পিউটারগুলিকে সুরক্ষিত করুন), ডেটা পড়া এবং বহিরাগত মিডিয়াতে ফাইল লেখা/সম্পাদনা নিষিদ্ধ করুন।

"সবচেয়ে শক্তিশালী" সীমাবদ্ধ নীতি — সকল অপসারণযোগ্য স্টোরেজ ক্লাস:সমস্ত অ্যাক্সেস অস্বীকার করুন - সমস্ত ধরণের বাহ্যিক স্টোরেজ ডিভাইসগুলিতে অ্যাক্সেস সম্পূর্ণরূপে অক্ষম করার অনুমতি দেয়। নীতি চালু করতে, এটি খুলুন এবং সক্ষম করুন চেক করুন .

ক্লায়েন্ট কম্পিউটারে নীতি সক্রিয় এবং আপডেট করার পরে (gpupdate /force ), OS সংযুক্ত বাহ্যিক ডিভাইসগুলি সনাক্ত করে (কেবল USB ডিভাইস নয়, যেকোনো বাহ্যিক ড্রাইভও), কিন্তু সেগুলি খোলার চেষ্টা করার সময়, একটি ত্রুটি দেখা যায়:

Location is not available
Drive is not accessible. Access is denied.

একই নীতি বিভাগে, আপনি বহিরাগত USB ড্রাইভ ব্যবহারে আরও নমনীয় সীমাবদ্ধতা কনফিগার করতে পারেন৷

উদাহরণস্বরূপ, ইউএসবি ফ্ল্যাশ ড্রাইভ এবং অন্যান্য ধরনের ইউএসবি ড্রাইভে ডেটা লেখা প্রতিরোধ করতে, আপনার নীতিটি সক্ষম করা উচিত অপসারণযোগ্য ডিস্ক:লেখার অ্যাক্সেস অস্বীকার করুন .

এই ক্ষেত্রে, ব্যবহারকারীরা USB ফ্ল্যাশ ড্রাইভ থেকে ডেটা পড়তে সক্ষম হবে, কিন্তু যখন তারা এটিতে তথ্য লেখার চেষ্টা করবে, তখন তারা একটি অ্যাক্সেস অস্বীকার ত্রুটি পাবে:

Destination Folder Access Denied
You need permission to perform this action

আপনি অপসারণযোগ্য ডিস্ক:এক্সিকিউট এক্সেস অস্বীকার করুন ব্যবহার করে এক্সিকিউটেবল এবং স্ক্রিপ্ট ফাইলগুলিকে ইউএসবি-ড্রাইভ থেকে চলতে বাধা দিতে পারেন নীতি।

নির্দিষ্ট ব্যবহারকারীদের জন্য GPO এর মাধ্যমে USB ড্রাইভ নিষ্ক্রিয় করা

প্রশাসক ব্যতীত ডোমেনের সমস্ত ব্যবহারকারীর জন্য প্রায়শই ইউএসবি ড্রাইভ ব্লক করা প্রয়োজন৷

এটি করার সবচেয়ে সহজ উপায় হল নিরাপত্তা ফিল্টারিং ব্যবহার করা জিপিওতে। উদাহরণস্বরূপ, ডোমেন অ্যাডমিন গ্রুপে প্রয়োগ করা থেকে USB ব্লক নীতি প্রতিরোধ করতে:

1. আপনার USB অ্যাক্সেস নিষ্ক্রিয় করুন নির্বাচন করুন৷ গ্রুপ পলিসি ম্যানেজমেন্ট কনসোলে নীতি;
2. নিরাপত্তা ফিল্টারিং-এ বিভাগে, ডোমেন অ্যাডমিন যোগ করুন দল
3. প্রতিনিধি-এ যান ট্যাব এবং উন্নত ক্লিক করুন . নিরাপত্তা সেটিংস এডিটরে, উল্লেখ করুন যে ডোমেন প্রশাসক গোষ্ঠী এই GPO প্রয়োগ করার অনুমতি নেই (গ্রুপ নীতি প্রয়োগ করুন – অস্বীকার করুন )।

আরেকটি কাজ হতে পারে - ব্যবহারকারীদের একটি নির্দিষ্ট গ্রুপ ব্যতীত সবার জন্য আপনাকে বাহ্যিক USB ড্রাইভ ব্যবহারের অনুমতি দিতে হবে। একটি সিকিউরিটি গ্রুপ "Deny USB" তৈরি করুন এবং GPO এর নিরাপত্তা সেটিংসে এই গ্রুপটি যোগ করুন। এই গ্রুপের জন্য, GPO পড়ার এবং প্রয়োগ করার অনুমতি সেট করুন এবং শুধুমাত্র প্রমাণিত ব্যবহারকারীদের জন্য পড়ার অনুমতি ছেড়ে দিন অথবা ডোমেন কম্পিউটার গ্রুপ (গ্রুপ নীতি প্রয়োগ করুন টিক চিহ্ন মুক্ত করে চেকবক্স)।

রেজিস্ট্রি এবং গ্রুপ নীতি পছন্দগুলির মাধ্যমে USB এবং অপসারণযোগ্য ডিভাইসগুলি ব্লক করা

গ্রুপ পলিসি প্রেফারেন্স (GPP) এর মাধ্যমে উপরে আলোচনা করা নীতিগুলির দ্বারা সেট করা রেজিস্ট্রি সেটিংস কনফিগার করে আপনি বহিরাগত ডিভাইসগুলিতে আরও নমনীয়ভাবে অ্যাক্সেস নিয়ন্ত্রণ করতে পারেন। উপরের সমস্ত নীতিগুলি HKLM-এর নির্দিষ্ট রেজিস্ট্রি কীগুলির সাথে মিলে যায় (বা HKCU ) \SOFTWARE\Policies\Microsoft\Windows\Removable StorageDevices কী (ডিফল্টরূপে এই রেজিস্ট্রি কী অনুপস্থিত)।

এই নীতিগুলির মধ্যে একটিকে সক্ষম করতে, আপনাকে অবশ্যই নির্দিষ্ট কী-তে একটি নতুন সাবকি তৈরি করতে হবে যেটি ডিভাইস ক্লাসে আপনি অ্যাক্সেস ব্লক করতে চান (কলাম 2) এবং REG_DWORD প্যারামিটার সীমাবদ্ধতার ধরন সহ (Deny_Read , Deny_Write অথবা Deny_Execute ) যদি এই প্যারামিটারের মান 1 এর সমান হয় , USB সীমাবদ্ধতা সক্রিয়, যদি 0 - এই ডিভাইসের ক্লাসে কোনো বিধিনিষেধ নেই।

আপনি ম্যানুয়ালি নির্দিষ্ট রেজিস্ট্রি কী এবং প্যারামিটার তৈরি করতে পারেন। নীচের স্ক্রিনশটে, আমি একটি রিমুভেবল স্টোরেজ ডিভাইস তৈরি করেছি কী, এবং {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} নামে একটি সাবকি৷ REG_DWORD প্যারামিটারের সাহায্যে, আমি USB ড্রাইভ থেকে এক্সিকিউটেবল লেখা এবং চালানো নিষিদ্ধ করেছি৷

আপনি এই রেজিস্ট্রি কীগুলি এবং GPP-এর আইটেম-স্তরের টার্গেটিংগুলি নমনীয়ভাবে নীতিগুলি প্রয়োগ করতে ব্যবহার করতে পারেন যা বহিরাগত USB স্টোরেজ ডিভাইসগুলির ব্যবহার সীমাবদ্ধ করে৷ আপনি নির্দিষ্ট AD নিরাপত্তা গোষ্ঠী, সাইট, OS সংস্করণ, OU (এমনকি WMI ফিল্টারও ব্যবহার করতে পারেন) নীতি প্রয়োগ করতে পারেন। উদাহরণস্বরূপ, আপনি Storage-devices-Restrict তৈরি করতে পারেন ডোমেন গ্রুপ এবং কম্পিউটার অ্যাকাউন্ট যোগ করুন যার জন্য আপনি USB ড্রাইভ ব্যবহার সীমাবদ্ধ করতে চান। এই গ্রুপটি আপনার GPP নীতিতে আইটেম লেভেল টার্গেটিং-এ নির্দিষ্ট করা আছে -> নিরাপত্তা গ্রুপ কম্পিউটার সহ বিভাগ গ্রুপ বিকল্পে। এটি এই AD গ্রুপে যোগ করা কম্পিউটারগুলিতে USB ব্লকিং নীতি প্রয়োগ করবে৷

রেজিস্ট্রির মাধ্যমে USB স্টোরেজ ড্রাইভার নিষ্ক্রিয় করুন

আপনি সম্পূর্ণরূপে USBSTOR (USB Mass Storage Driver) নিষ্ক্রিয় করতে পারেন৷ ড্রাইভার, যা ইউএসবি স্টোরেজ ডিভাইসগুলিকে সঠিকভাবে সনাক্ত এবং মাউন্ট করার জন্য প্রয়োজন৷

একটি স্বতন্ত্র কম্পিউটারে, আপনি স্টার্ট এর মান পরিবর্তন করে এই ড্রাইভারটিকে অক্ষম করতে পারেন রেজিস্ট্রি প্যারামিটার 3 থেকে 4 . আপনি PowerShell এর মাধ্যমে এটি করতে পারেন:

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4

আপনার কম্পিউটার পুনরায় চালু করুন এবং আপনার USB স্টোরেজ ডিভাইস সংযোগ করার চেষ্টা করুন। এখন এটি ফাইল এক্সপ্লোরার বা ডিস্ক ম্যানেজমেন্ট কনসোলে প্রদর্শিত হবে না এবং ডিভাইস ম্যানেজারে আপনি একটি ডিভাইস ড্রাইভার ইনস্টলেশন ত্রুটি দেখতে পাবেন৷

আপনি গ্রুপ নীতি পছন্দগুলি ব্যবহার করে ডোমেন কম্পিউটারে চালানো থেকে USBSTOR ড্রাইভারকে অক্ষম করতে পারেন৷ এটি করার জন্য, আপনাকে GPO এর মাধ্যমে রেজিস্ট্রিতে পরিবর্তন করতে হবে।

এই সেটিংস সব ডোমেইন কম্পিউটারে স্থাপন করা যেতে পারে. একটি নতুন গ্রুপ নীতি তৈরি করুন, এটিকে কম্পিউটারের সাথে OU এর সাথে লিঙ্ক করুন এবং কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> উইন্ডোজ সেটিংস -> রেজিস্ট্রি এ বিভাগে, মান সহ একটি নতুন প্যারামিটার তৈরি করুন:

• ক্রিয়া :আপডেট
• হাইভ :HKEY_LOCAK_MACHINE
• মূল পথ :SYSTEM\CurrentControlSet\Services\USBSTOR
• মান নাম :শুরু করুন
• মান প্রকার :REG_DWORD
• মান ডেটা :00000004

শুধুমাত্র একটি নির্দিষ্ট USB স্টোরেজ ডিভাইস সংযুক্ত করার অনুমতি দিন

একটি নির্দিষ্ট (অনুমোদিত) USB স্টোরেজ ড্রাইভকে আপনার কম্পিউটারের সাথে সংযোগ করার অনুমতি দিতে আপনি একটি নির্দিষ্ট রেজিস্ট্রি সেটিংস ব্যবহার করতে পারেন৷ আসুন এটিকে কীভাবে কনফিগার করা যায় তা দ্রুত দেখে নেওয়া যাক।

আপনি যখন কম্পিউটারে কোনো USB স্টোরেজ ডিভাইস সংযোগ করেন, তখন USBSTOR৷ ড্রাইভার ডিভাইসটি ইনস্টল করে এবং  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR-এর অধীনে একটি পৃথক রেজিস্ট্রি কী তৈরি করে . এই রেজিস্ট্রি কীটিতে USB ড্রাইভ সম্পর্কে তথ্য রয়েছে (উদাহরণস্বরূপ, Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00)।

Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName নির্বাচন করুন

আপনি পূর্বে সংযুক্ত USB ফ্ল্যাশ ড্রাইভগুলির জন্য সমস্ত রেজিস্ট্রি কী মুছে ফেলতে পারেন, আপনার প্রয়োজনগুলি ছাড়া৷

তারপরে আপনাকে USBSTOR রেজিস্ট্রি কী-তে অনুমতিগুলি পরিবর্তন করতে হবে যাতে প্রত্যেকের (সিস্টেম এবং প্রশাসক সহ) শুধুমাত্র পড়ার অনুমতি থাকে৷ ফলস্বরূপ, যখন আপনি অনুমোদিত একটি ব্যতীত অন্য কোনো USB ড্রাইভ সংযোগ করেন, তখন Windows ডিভাইসটি ইনস্টল করতে সক্ষম হবে না৷