Các Giải Pháp Phòng Chống Sử Dụng Thiết Bị Di Động

Chính sách trong công ty muốn ngăn chặn các máy tính không được sử dụng một số
thiết bị như: USB Flash Drive, IPod, Wireless Interface, CD-Rom, DVD. Với các thiết bị
lưu trữ di động như hiện nay đều đem lại thách thức đối với người quản trị hệ thống như:
nguy cơ phát tán Virus, bảo vệ quyền sở hữu trí tuệ của mình… Đối với Windows XP hay
Windows Server 2003 thì bạn không có nhiều sự lựa chọn khi muốn kiểm soát các thiết
bị này. Tuy nhiên bài viết dưới đây sẽ trình bày những giải pháp nhằm ngăn chặn các
thiết bị trên khi sử dụng trong các phiên bản hệ điều hành Windows XP, Windows Server
2003 hay Windows Vista.

I. Cấu hình trong Registry

Bạn có thể cấu hình cho thiết bị USB chỉ đọc bằng cách truy cập vào Registry với đường
dẫn sau:
Tuy nhiên, tính năng này không thực sự là một giải pháp cao. Với giải pháp này chỉ tránh
tình trạng Copy dữ liệu, nhưng vẫn có thể phát tán được Virus

II. Permission

Nếu USB Storage Device chưa được cài đặt bạn có thể phân quyền DENY cho user tại 02
files:

Trích:

%SystemRoot%\Inf\Usbstor.pnf 
%SystemRoot%\Inf\Usbstor.inf
Nếu USB Storage Device đã được cài đặt trên máy tính bạn có thể sử dụng chương
trình Microsoft Fix It download tại đây để thay đổi các thông số trong Registry cho
người dùng không thể kết nối thiết bị.

III. Cấu hình Group Policy

Mặc định trong GPO chỉ hỗ trợ để quản lý thiết bị rất hạn chế.
Nhưng bạn có thể tùy chỉnh thêm để năng cao khả năng quản lý thiết bị trong GPO. Sau
đây là cách triển khai cấm sử dụng USB bằng GPO trong Domain

Chuẩn Bị: 02 máy

- Windows Server 2003: Domain Controller

- Windows XP: Join Domain
- Tạo User, OU, Computer như sau:
Triển Khai:

- Nhấn phải vào OU KeToan > Properties

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x744
- Chọn Tab Group Policy > New
- Đặt tên Policy > Edit
- Nhấn phải Computer Configuration > Administrative Templates > Add/Remove
Templates
- Chọn Add
- Lựa chọn File ControlDevices.ADM > Open
Lưu Ý: Copy nội dung của file ControlDevices.ADM từ đây

- Nhấn Close

- Kiểm tra trong Computer Configuration > Administrative Templates > Custom Policy
Settings > Restrict Devices
- Chọn menu View > Filtering
- Bỏ chọn Only show policy...
- Đã hiển thị các tùy chọn
- Mở Policy Disable USB > Chọn Enable
- Đóng cửa sổ Group Policy Object > Close
- Client khởi động lại máy tính và kiểm tra không sử dụng được USB