কম্পিউটারে একটি নতুন USB ডিভাইস সংযোগ করার সময়, Windows স্বয়ংক্রিয়ভাবে ডিভাইসটি সনাক্ত করে এবং একটি উপযুক্ত ড্রাইভার ইনস্টল করে। ফলস্বরূপ, ব্যবহারকারী প্রায় অবিলম্বে একটি সংযুক্ত USB ড্রাইভ বা ডিভাইস ব্যবহার করতে পারেন। কিছু সংস্থায়, সংবেদনশীল ডেটা ফাঁস এবং কম্পিউটারে সংক্রামিত হওয়া রোধ করার জন্য সুরক্ষার কারণে USB স্টোরেজ ডিভাইস (ফ্ল্যাশ ড্রাইভ, USB HDD, SD কার্ড এবং আরও অনেক কিছু) ব্যবহার ব্লক করা হয়েছে৷ বহিরাগত অপসারণযোগ্য USB-ড্রাইভ নিষ্ক্রিয় করতে গ্রুপ নীতি (GPO) কীভাবে ব্যবহার করবেন তা এই নিবন্ধটি বর্ণনা করে।
ডোমেন কম্পিউটারে USB স্টোরেজ ডিভাইস নিষ্ক্রিয় করতে GPO কনফিগার করা হচ্ছে
উইন্ডোজের সমস্ত সংস্করণে, Windows 7 থেকে শুরু করে, আপনি নমনীয়ভাবে গোষ্ঠী নীতিগুলি ব্যবহার করে বহিরাগত ড্রাইভে (USB, CD/DVD, ফ্লপি, টেপ ইত্যাদি) অ্যাক্সেস পরিচালনা করতে পারেন (আমরা BIOS সেটিংসের মাধ্যমে USB পোর্ট নিষ্ক্রিয় করার একটি মৌলিক উপায় বিবেচনা করছি না। ) মাউস, কীবোর্ড, প্রিন্টার ইত্যাদির মতো ইউএসবি ডিভাইসগুলিকে প্রভাবিত না করে শুধুমাত্র ইউএসবি ড্রাইভের ব্যবহার প্রোগ্রামেটিকভাবে ব্লক করা সম্ভব (যা অপসারণযোগ্য ডিস্ক হিসাবে স্বীকৃত নয়)।
যদি আপনার AD ডোমেনের পরিকাঠামো নিম্নলিখিত প্রয়োজনীয়তাগুলি পূরণ করে তাহলে USB ডিভাইস ব্লকিং নীতি কাজ করবে:
- অ্যাকটিভ ডিরেক্টরি স্কিমা সংস্করণ — উইন্ডোজ সার্ভার 2008 বা নতুন;দ্রষ্টব্য . গোষ্ঠী নীতির সেট উইন্ডোজে অপসারণযোগ্য মিডিয়ার ইনস্টলেশন এবং ব্যবহার নিয়ন্ত্রণ করার অনুমতি দেয় শুধুমাত্র AD সংস্করণ 44-এ উপস্থিত হয়।
- ডেস্কটপ OS -Windows 7 বা নতুন।
আমরা একটি নির্দিষ্ট AD কন্টেইনারে (OU) সমস্ত কম্পিউটারের জন্য USB-ড্রাইভের ব্যবহার সীমাবদ্ধ করতে যাচ্ছি। আপনি সমগ্র ডোমেনে USB ব্লক নীতি প্রয়োগ করতে পারেন, তবে এটি সার্ভার এবং অন্যান্য প্রযুক্তিগত ডিভাইসগুলিকে প্রভাবিত করবে৷ ধরা যাক আমরা ওয়ার্কস্টেশন নামের OU-তে নীতি প্রয়োগ করতে চাই . এটি করতে, GPO ম্যানেজমেন্ট কনসোল খুলুন (gpmc.msc , OU ওয়ার্কস্টেশনে ডান-ক্লিক করুন এবং একটি নতুন নীতি তৈরি করুন (এই ডোমেনে একটি GPO তৈরি করুন এবং এটি এখানে লিঙ্ক করুন৷ )
টিপ . একক কম্পিউটারের ক্ষেত্রে, স্থানীয় গ্রুপ নীতি সম্পাদক – gpedit.msc ব্যবহার করে USB-ডিভাইস সীমাবদ্ধতা নীতি সম্পাদনা করা যেতে পারে। . স্থানীয় গোষ্ঠী নীতি সম্পাদক Windows হোম সংস্করণে উপলব্ধ নেই, তবে আপনি এটি এইভাবে ইনস্টল করতে পারেন:কিভাবে Windows 10 হোমে gpedit.msc সক্ষম করবেন।
GPO নাম "USB অ্যাক্সেস নিষ্ক্রিয় করুন" সেট করুন৷ .
GPO সেটিংস পরিবর্তন করুন (সম্পাদনা করুন )।
বাহ্যিক স্টোরেজ ডিভাইস ব্লক করার সেটিংস GPO-এর ব্যবহারকারী এবং কম্পিউটার উভয় বিভাগেই পাওয়া যায়:
- ব্যবহারকারী কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> সিস্টেম -> অপসারণযোগ্য স্টোরেজ অ্যাক্সেস।
- কম্পিউটার কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> সিস্টেম -> অপসারণযোগ্য স্টোরেজ অ্যাক্সেস।
অপসারণযোগ্য সঞ্চয়স্থান অ্যাক্সেস-এ বিভাগে, আপনাকে বিভিন্ন ধরনের স্টোরেজ ক্লাস - CD/DVD, FDD, USB-ডিভাইস, টেপ, ইত্যাদির ব্যবহার নিষ্ক্রিয় করার অনুমতি দেওয়ার জন্য বেশ কিছু নীতি রয়েছে৷
- CD এবং DVD:এক্সিকিউট এক্সেস অস্বীকার করুন।
- CD এবং DVD:পড়ার অ্যাক্সেস অস্বীকার করুন৷
- CD এবং DVD:লেখার অ্যাক্সেস অস্বীকার করুন।
- কাস্টম ক্লাস:পড়ার অ্যাক্সেস অস্বীকার করুন।
- কাস্টম ক্লাস:লেখার অ্যাক্সেস অস্বীকার করুন।
- ফ্লপি ড্রাইভ:এক্সিকিউট এক্সেস অস্বীকার করুন।
- ফ্লপি ড্রাইভ:পড়ার অ্যাক্সেস অস্বীকার করুন।
- ফ্লপি ড্রাইভ:লেখার অ্যাক্সেস অস্বীকার করুন।
- অপসারণযোগ্য ডিস্ক:এক্সিকিউট এক্সেস অস্বীকার করুন।
- অপসারণযোগ্য ডিস্ক:পড়ার অ্যাক্সেস অস্বীকার করুন।
- অপসারণযোগ্য ডিস্ক:লেখার অ্যাক্সেস অস্বীকার করুন।
- সকল অপসারণযোগ্য স্টোরেজ ক্লাস:সমস্ত অ্যাক্সেস অস্বীকার করুন।
- সমস্ত অপসারণযোগ্য স্টোরেজ:দূরবর্তী সেশনে সরাসরি অ্যাক্সেসের অনুমতি দিন।
- টেপ ড্রাইভ:এক্সিকিউট এক্সেস অস্বীকার করুন।
- টেপ ড্রাইভ:পড়ার অ্যাক্সেস অস্বীকার করুন৷
- টেপ ড্রাইভ:লেখার অ্যাক্সেস অস্বীকার করুন৷
- উইন্ডোজ পোর্টেবল ডিভাইস – এই ক্লাসে স্মার্টফোন, ট্যাবলেট, প্লেয়ার ইত্যাদি অন্তর্ভুক্ত রয়েছে।
- WPD ডিভাইস:লেখার অ্যাক্সেস অস্বীকার করুন।
আপনি দেখতে পাচ্ছেন, আপনি প্রতিটি ডিভাইস ক্লাসের জন্য এক্সিকিউটেবল ফাইলগুলি চালু করতে অস্বীকার করতে পারেন (ভাইরাস থেকে কম্পিউটারগুলিকে সুরক্ষিত করুন), ডেটা পড়া এবং বহিরাগত মিডিয়াতে ফাইল লেখা/সম্পাদনা নিষিদ্ধ করুন।
"সবচেয়ে শক্তিশালী" সীমাবদ্ধ নীতি — সকল অপসারণযোগ্য স্টোরেজ ক্লাস:সমস্ত অ্যাক্সেস অস্বীকার করুন - সমস্ত ধরণের বাহ্যিক স্টোরেজ ডিভাইসগুলিতে অ্যাক্সেস সম্পূর্ণরূপে অক্ষম করার অনুমতি দেয়। নীতি চালু করতে, এটি খুলুন এবং সক্ষম করুন চেক করুন .
ক্লায়েন্ট কম্পিউটারে নীতি সক্রিয় এবং আপডেট করার পরে (gpupdate /force ), OS সংযুক্ত বাহ্যিক ডিভাইসগুলি সনাক্ত করে (কেবল USB ডিভাইস নয়, যেকোনো বাহ্যিক ড্রাইভও), কিন্তু সেগুলি খোলার চেষ্টা করার সময়, একটি ত্রুটি দেখা যায়:
Location is not available Drive is not accessible. Access is denied.
একই নীতি বিভাগে, আপনি বহিরাগত USB ড্রাইভ ব্যবহারে আরও নমনীয় সীমাবদ্ধতা কনফিগার করতে পারেন৷
উদাহরণস্বরূপ, ইউএসবি ফ্ল্যাশ ড্রাইভ এবং অন্যান্য ধরনের ইউএসবি ড্রাইভে ডেটা লেখা প্রতিরোধ করতে, আপনার নীতিটি সক্ষম করা উচিত অপসারণযোগ্য ডিস্ক:লেখার অ্যাক্সেস অস্বীকার করুন .
এই ক্ষেত্রে, ব্যবহারকারীরা USB ফ্ল্যাশ ড্রাইভ থেকে ডেটা পড়তে সক্ষম হবে, কিন্তু যখন তারা এটিতে তথ্য লেখার চেষ্টা করবে, তখন তারা একটি অ্যাক্সেস অস্বীকার ত্রুটি পাবে:
Destination Folder Access Denied You need permission to perform this action
আপনি অপসারণযোগ্য ডিস্ক:এক্সিকিউট এক্সেস অস্বীকার করুন ব্যবহার করে এক্সিকিউটেবল এবং স্ক্রিপ্ট ফাইলগুলিকে ইউএসবি-ড্রাইভ থেকে চলতে বাধা দিতে পারেন নীতি।
নির্দিষ্ট ব্যবহারকারীদের জন্য GPO এর মাধ্যমে USB ড্রাইভ নিষ্ক্রিয় করা
প্রশাসক ব্যতীত ডোমেনের সমস্ত ব্যবহারকারীর জন্য প্রায়শই ইউএসবি ড্রাইভ ব্লক করা প্রয়োজন৷
এটি করার সবচেয়ে সহজ উপায় হল নিরাপত্তা ফিল্টারিং ব্যবহার করা জিপিওতে। উদাহরণস্বরূপ, ডোমেন অ্যাডমিন গ্রুপে প্রয়োগ করা থেকে USB ব্লক নীতি প্রতিরোধ করতে:
- আপনার USB অ্যাক্সেস নিষ্ক্রিয় করুন নির্বাচন করুন৷ গ্রুপ পলিসি ম্যানেজমেন্ট কনসোলে নীতি;
- নিরাপত্তা ফিল্টারিং-এ বিভাগে, ডোমেন অ্যাডমিন যোগ করুন দল
- প্রতিনিধি-এ যান ট্যাব এবং উন্নত ক্লিক করুন . নিরাপত্তা সেটিংস এডিটরে, উল্লেখ করুন যে ডোমেন প্রশাসক গোষ্ঠী এই GPO প্রয়োগ করার অনুমতি নেই (গ্রুপ নীতি প্রয়োগ করুন – অস্বীকার করুন )।
আরেকটি কাজ হতে পারে - ব্যবহারকারীদের একটি নির্দিষ্ট গ্রুপ ব্যতীত সবার জন্য আপনাকে বাহ্যিক USB ড্রাইভ ব্যবহারের অনুমতি দিতে হবে। একটি সিকিউরিটি গ্রুপ "Deny USB" তৈরি করুন এবং GPO এর নিরাপত্তা সেটিংসে এই গ্রুপটি যোগ করুন। এই গ্রুপের জন্য, GPO পড়ার এবং প্রয়োগ করার অনুমতি সেট করুন এবং শুধুমাত্র প্রমাণিত ব্যবহারকারীদের জন্য পড়ার অনুমতি ছেড়ে দিন অথবা ডোমেন কম্পিউটার গ্রুপ (গ্রুপ নীতি প্রয়োগ করুন টিক চিহ্ন মুক্ত করে চেকবক্স)।
রেজিস্ট্রি এবং গ্রুপ নীতি পছন্দগুলির মাধ্যমে USB এবং অপসারণযোগ্য ডিভাইসগুলি ব্লক করা
গ্রুপ পলিসি প্রেফারেন্স (GPP) এর মাধ্যমে উপরে আলোচনা করা নীতিগুলির দ্বারা সেট করা রেজিস্ট্রি সেটিংস কনফিগার করে আপনি বহিরাগত ডিভাইসগুলিতে আরও নমনীয়ভাবে অ্যাক্সেস নিয়ন্ত্রণ করতে পারেন। উপরের সমস্ত নীতিগুলি HKLM-এর নির্দিষ্ট রেজিস্ট্রি কীগুলির সাথে মিলে যায় (বা HKCU ) \SOFTWARE\Policies\Microsoft\Windows\Removable StorageDevices কী (ডিফল্টরূপে এই রেজিস্ট্রি কী অনুপস্থিত)।
এই নীতিগুলির মধ্যে একটিকে সক্ষম করতে, আপনাকে অবশ্যই নির্দিষ্ট কী-তে একটি নতুন সাবকি তৈরি করতে হবে যেটি ডিভাইস ক্লাসে আপনি অ্যাক্সেস ব্লক করতে চান (কলাম 2) এবং REG_DWORD প্যারামিটার সীমাবদ্ধতার ধরন সহ (Deny_Read , Deny_Write অথবা Deny_Execute ) যদি এই প্যারামিটারের মান 1 এর সমান হয় , USB সীমাবদ্ধতা সক্রিয়, যদি 0 - এই ডিভাইসের ক্লাসে কোনো বিধিনিষেধ নেই।
নীতির নাম | ডিভাইস ক্লাস GUID | রেজিস্ট্রি প্যারামিটারের নাম |
ফ্লপি ড্রাইভ: পঠন অ্যাক্সেস অস্বীকার করুন | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read | ৷
ফ্লপি ড্রাইভ: লেখার অ্যাক্সেস অস্বীকার করুন | {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write | ৷
CD এবং DVD: পড়া অ্যাক্সেস অস্বীকার করুন | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read | ৷
CD এবং DVD: লেখার অ্যাক্সেস অস্বীকার করুন | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write | ৷
অপসারণযোগ্য ডিস্ক: পঠন অ্যাক্সেস অস্বীকার করুন | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read | ৷
অপসারণযোগ্য ডিস্ক: লেখার অ্যাক্সেস অস্বীকার করুন | {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write | ৷
টেপ ড্রাইভ: পঠন অ্যাক্সেস অস্বীকার করুন | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read | ৷
টেপ ড্রাইভ: লেখার অ্যাক্সেস অস্বীকার করুন | {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write | ৷
WPD ডিভাইস: পঠন অ্যাক্সেস অস্বীকার করুন | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | Deny_Read | ৷
WPD ডিভাইস: লেখার অ্যাক্সেস অস্বীকার করুন | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} | Deny_Write | ৷
আপনি ম্যানুয়ালি নির্দিষ্ট রেজিস্ট্রি কী এবং প্যারামিটার তৈরি করতে পারেন। নীচের স্ক্রিনশটে, আমি একটি রিমুভেবল স্টোরেজ ডিভাইস তৈরি করেছি কী, এবং {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} নামে একটি সাবকি৷ REG_DWORD প্যারামিটারের সাহায্যে, আমি USB ড্রাইভ থেকে এক্সিকিউটেবল লেখা এবং চালানো নিষিদ্ধ করেছি৷
আপনি এই রেজিস্ট্রি কীগুলি এবং GPP-এর আইটেম-স্তরের টার্গেটিংগুলি নমনীয়ভাবে নীতিগুলি প্রয়োগ করতে ব্যবহার করতে পারেন যা বহিরাগত USB স্টোরেজ ডিভাইসগুলির ব্যবহার সীমাবদ্ধ করে৷ আপনি নির্দিষ্ট AD নিরাপত্তা গোষ্ঠী, সাইট, OS সংস্করণ, OU (এমনকি WMI ফিল্টারও ব্যবহার করতে পারেন) নীতি প্রয়োগ করতে পারেন। উদাহরণস্বরূপ, আপনি Storage-devices-Restrict তৈরি করতে পারেন ডোমেন গ্রুপ এবং কম্পিউটার অ্যাকাউন্ট যোগ করুন যার জন্য আপনি USB ড্রাইভ ব্যবহার সীমাবদ্ধ করতে চান। এই গ্রুপটি আপনার GPP নীতিতে আইটেম লেভেল টার্গেটিং-এ নির্দিষ্ট করা আছে -> নিরাপত্তা গ্রুপ কম্পিউটার সহ বিভাগ গ্রুপ বিকল্পে। এটি এই AD গ্রুপে যোগ করা কম্পিউটারগুলিতে USB ব্লকিং নীতি প্রয়োগ করবে৷
৷
রেজিস্ট্রির মাধ্যমে USB স্টোরেজ ড্রাইভার নিষ্ক্রিয় করুন
আপনি সম্পূর্ণরূপে USBSTOR (USB Mass Storage Driver) নিষ্ক্রিয় করতে পারেন৷ ড্রাইভার, যা ইউএসবি স্টোরেজ ডিভাইসগুলিকে সঠিকভাবে সনাক্ত এবং মাউন্ট করার জন্য প্রয়োজন৷
একটি স্বতন্ত্র কম্পিউটারে, আপনি স্টার্ট এর মান পরিবর্তন করে এই ড্রাইভারটিকে অক্ষম করতে পারেন রেজিস্ট্রি প্যারামিটার 3 থেকে 4 . আপনি PowerShell এর মাধ্যমে এটি করতে পারেন:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4
আপনার কম্পিউটার পুনরায় চালু করুন এবং আপনার USB স্টোরেজ ডিভাইস সংযোগ করার চেষ্টা করুন। এখন এটি ফাইল এক্সপ্লোরার বা ডিস্ক ম্যানেজমেন্ট কনসোলে প্রদর্শিত হবে না এবং ডিভাইস ম্যানেজারে আপনি একটি ডিভাইস ড্রাইভার ইনস্টলেশন ত্রুটি দেখতে পাবেন৷
দ্রষ্টব্য . পুরানো Windows XP/Windows Server 2003-এ USB ড্রাইভগুলি নিষ্ক্রিয় করার এটিই একমাত্র উপায়, যেহেতু এই সংস্করণগুলিতে বহিরাগত USB ডিভাইসগুলিতে অ্যাক্সেস সীমাবদ্ধ করার জন্য কোনও পৃথক গ্রুপ নীতি সেটিংস নেই৷আপনি গ্রুপ নীতি পছন্দগুলি ব্যবহার করে ডোমেন কম্পিউটারে চালানো থেকে USBSTOR ড্রাইভারকে অক্ষম করতে পারেন৷ এটি করার জন্য, আপনাকে GPO এর মাধ্যমে রেজিস্ট্রিতে পরিবর্তন করতে হবে।
এই সেটিংস সব ডোমেইন কম্পিউটারে স্থাপন করা যেতে পারে. একটি নতুন গ্রুপ নীতি তৈরি করুন, এটিকে কম্পিউটারের সাথে OU এর সাথে লিঙ্ক করুন এবং কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> উইন্ডোজ সেটিংস -> রেজিস্ট্রি এ বিভাগে, মান সহ একটি নতুন প্যারামিটার তৈরি করুন:
- ক্রিয়া :আপডেট
- হাইভ :HKEY_LOCAK_MACHINE
- মূল পথ :SYSTEM\CurrentControlSet\Services\USBSTOR
- মান নাম :শুরু করুন
- মান প্রকার :REG_DWORD
- মান ডেটা :00000004
শুধুমাত্র একটি নির্দিষ্ট USB স্টোরেজ ডিভাইস সংযুক্ত করার অনুমতি দিন
একটি নির্দিষ্ট (অনুমোদিত) USB স্টোরেজ ড্রাইভকে আপনার কম্পিউটারের সাথে সংযোগ করার অনুমতি দিতে আপনি একটি নির্দিষ্ট রেজিস্ট্রি সেটিংস ব্যবহার করতে পারেন৷ আসুন এটিকে কীভাবে কনফিগার করা যায় তা দ্রুত দেখে নেওয়া যাক।
আপনি যখন কম্পিউটারে কোনো USB স্টোরেজ ডিভাইস সংযোগ করেন, তখন USBSTOR৷ ড্রাইভার ডিভাইসটি ইনস্টল করে এবং HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR-এর অধীনে একটি পৃথক রেজিস্ট্রি কী তৈরি করে . এই রেজিস্ট্রি কীটিতে USB ড্রাইভ সম্পর্কে তথ্য রয়েছে (উদাহরণস্বরূপ, Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00)।
Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName
নির্বাচন করুন
আপনি পূর্বে সংযুক্ত USB ফ্ল্যাশ ড্রাইভগুলির জন্য সমস্ত রেজিস্ট্রি কী মুছে ফেলতে পারেন, আপনার প্রয়োজনগুলি ছাড়া৷
তারপরে আপনাকে USBSTOR রেজিস্ট্রি কী-তে অনুমতিগুলি পরিবর্তন করতে হবে যাতে প্রত্যেকের (সিস্টেম এবং প্রশাসক সহ) শুধুমাত্র পড়ার অনুমতি থাকে৷ ফলস্বরূপ, যখন আপনি অনুমোদিত একটি ব্যতীত অন্য কোনো USB ড্রাইভ সংযোগ করেন, তখন Windows ডিভাইসটি ইনস্টল করতে সক্ষম হবে না৷