Chặn USB Storage trên Domain Windows Server 2019

GPO Template: Chặn USB Storage trên Domain Windows Server 2019

1. Thông tin chung

• Tên GPO: SEC – Block USB Storage
• Mục đích: Ngăn người dùng sử dụng thiết bị lưu trữ rời (USB Flash, HDD gắn ngoài, thẻ SD cắm qua USB) để sao chép dữ liệu ra ngoài, nhưng không chặn chuột/bàn phím/USB dongle.
• Đối tượng áp dụng: Máy tính domain (Computer objects), không gắn vào user.
• Hệ điều hành hỗ trợ:
  • ✅ Windows 10 (khuyến nghị)
  • ✅ Windows 8.1 (nếu có)
  • ✅ Windows 7 (đủ các policy chính, trừ vài policy nâng cao về Device Installation)
• Cách áp dụng: Link GPO vào OU chứa máy tính người dùng (VD: OU=Workstations,OU=Hanoi,DC=congty,DC=local), không link vào OU chứa máy IT hoặc Server.

2. Phân tầng chính sách
Để dễ quản lý, GPO này chia làm 3 lớp:

1. Lớp A – Chặn truy cập removable disk (dùng được cho Win 10 + Win 7)
2. Lớp B – Chặn cài/nhận driver USB mới (chủ yếu Win 10, Win 7 làm được một phần)
3. Lớp C – Fallback registry (USBSTOR) (để máy Win 7 hoặc máy “cứng đầu” vẫn bị chặn)

Anh có thể bật cả 3, hoặc bật A + C là đủ. 3. Cấu hình chi tiết
3.1. Lớp A – Removable Storage Access (khuyến nghị bật)
Đường dẫn:
Computer Configuration
→ Policies
→ Administrative Templates
→ System
→ Removable Storage Access
Thiết lập các policy sau:

1. Removable Disks: Deny read access
   • Status: Enabled
   • Mô tả: Không cho đọc dữ liệu từ USB.
   • Áp dụng: Win 7, 8.1, 10
2. Removable Disks: Deny write access
   • Status: Enabled
   • Mô tả: Không cho chép dữ liệu lên USB.
   • Áp dụng: Win 7, 8.1, 10
3. Removable Disks: Deny execute access
   • Status: Enabled
   • Mô tả: Không cho chạy file từ USB (tránh auto-run, tránh chạy tool lạ).
   • Áp dụng: Win 7, 8.1, 10

👉 Lưu ý:

• Không nên bật ngay cái “All Removable Storage classes: Deny all access” vì cái này chặn cả CD, đôi khi chặn cả máy ảnh/WPD. Chỉ bật nếu công ty muốn “đóng hết”.
• Nếu muốn chặn luôn điện thoại cắm vào: bật thêm 2 policy sau (cũng trong mục Removable Storage Access):
  4. WPD Devices: Deny read access → Enabled
  5. WPD Devices: Deny write access → Enabled
  (WPD = Windows Portable Devices → điện thoại, máy ảnh)

3.2. Lớp B – Device Installation Restrictions (tăng độ chặt)
Đường dẫn:
Computer Configuration
→ Policies
→ Administrative Templates
→ System
→ Device Installation
→ Device Installation Restrictions
Thiết lập:

1. Prevent installation of removable devices
   • Status: Enabled
   • Ý nghĩa: Máy sẽ không cài driver cho các thiết bị removable mới cắm vào.
2. Prevent installation of devices not described by other policy settings
   • Status: Enabled
   • Ý nghĩa: Chỉ cho cài thiết bị đã được “allow” bằng policy khác.
   • ⚠️ Cảnh báo: Policy này nếu bật mà không whitelist chuột/bàn phím/các thiết bị đang dùng thì có thể gây phiền. Nên chỉ bật khi đã test.
3. Allow administrators to override Device Installation Restriction policies
   • Status: Enabled
   • Ý nghĩa: Máy IT vẫn cắm được vì họ là admin (nội bộ).
4. (Tùy chọn – nếu anh muốn whitelist đúng 1 USB cứu hộ)
   • Allow installation of devices that match any of these device IDs
     • Status: Enabled
     • Điền Hardware ID của USB cứu hộ
     • Dùng cho IT.

👉 Với 3 máy Windows 7, phần lớn policy ở đây vẫn hiểu được, nhưng một số policy “not described by other policy settings” sẽ không mạnh bằng Win 10. Vì vậy mình có Lớp C bên dưới để khóa cứng. 3.3. Lớp C – Fallback Registry chặn USBSTOR (bảo đảm Win 7 bị chặn)
Đường dẫn (trong GPO):
Computer Configuration
→ Preferences
→ Windows Settings
→ Registry
Thêm 1 item Registry:

• Action: Update
• Hive: HKEY_LOCAL_MACHINE
• Key Path: SYSTEM\CurrentControlSet\Services\USBSTOR
• Value name: Start
• Value type: REG_DWORD
• Value data: 4

Giải thích:

• USBSTOR là service/driver xử lý USB Mass Storage.
• Start = 4 → Disabled → Không load driver USB storage.
• Áp dụng tốt trên Win 7.

(Anh có thể ghi chú trong tài liệu: “Không áp dụng trên Server, chỉ áp dụng cho Workstation OU”) 4. Bật Audit để biết ai cắm USB
Mục đích: Có log để truy vết.
Đường dẫn:
Computer Configuration
→ Policies
→ Windows Settings
→ Security Settings
→ Advanced Audit Policy Configuration
→ Object Access
Bật:

1. Audit Removable Storage → Configure the following audit events:
   • Success ✅
   • Failure ✅

Ghi chú vào tài liệu:
“Sau khi bật audit, xem log tại: Event Viewer → Windows Logs → Security, lọc theo Task Category = ‘Removable Storage’ để biết máy/đ user nào cố truy cập USB.” 5. Security Filtering / Delegation
Trong tài liệu nội bộ nên ghi rõ:

• Security Filtering:
  • Mặc định: Authenticated Users
  • Nếu muốn loại trừ IT:
    • Tạo group: GG-USB-Allow
    • Thêm group này vào GPO → Delegation → Advanced và Deny → Apply group policy
    • Hoặc cách gọn hơn: bỏ Authenticated Users, thêm group chứa máy cần chặn: GG-Workstations

6. Phần “Hướng dẫn áp dụng” cho IT
IT thực hiện:

1. Mở Group Policy Management trên DC.
2. Chuột phải vào OU Workstations → Create a GPO in this domain, and Link it here…
3. Đặt tên: SEC – Block USB Storage.
4. Edit GPO, cấu hình 3 phần:
   • System → Removable Storage Access: bật 3 policy “Removable Disks: Deny …”
   • System → Device Installation Restrictions: bật “Prevent installation of removable devices”
   • Preferences → Registry: tạo key USBSTOR đặt Start=4
5. Đợi client nhận GPO hoặc trên client chạy gpupdate /force.
6. Kiểm tra bằng cách cắm USB thường.
7. Nếu máy IT phải được phép cắm USB → di chuyển máy IT sang OU khác.

7. Phụ lục: Phiên bản dành cho Win 7
Lưu ý cho Windows 7:

• Nếu chính sách “Removable Disks: Deny execute/read/write access” không hoạt động như kỳ vọng (do máy đã nhận driver USB trước đó), thì chính sách Registry USBSTOR Start=4 sẽ là lớp chặn cuối.
• Sau khi áp Start=4, nếu máy vẫn nhận USB cũ → yêu cầu khởi động lại.

Hiện tại AD của HY mới chỉ có domain trần (TRAPHACOHY.LOCAL) + mấy cái GPO nằm ở mục Group Policy Objects, chưa có OU nên. Mình làm như này nhé. 1. Hiểu đúng chút xíu trước khi làm

• Domain = cái gốc: TRAPHACOHY.LOCAL.
• OU (Organizational Unit) = “thư mục” để nhóm máy tính / user lại để áp chính sách.
• Container mặc định (Computers, Users) ≠ OU. 2 cái mặc định này vẫn chứa được object nhưng không link GPO trực tiếp hiệu quả như OU.
• Vì thế: ta phải tự tạo OU, rồi kéo máy tính vào OU đó, rồi link GPO vào OU.

2. Mở công cụ để tạo OU
Trên Windows Server 2019:

1. Start → gõ dsa.msc → Enter
   (đây là Active Directory Users and Computers – ADUC)
   • Hoặc: Server Manager → Tools → Active Directory Users and Computers
2. Cửa sổ ADUC mở ra, bên trái sẽ thấy:
   • TRAPHACOHY.LOCAL
   • Có thể có Builtin, Computers, Domain Controllers, Users…

👉 Đây mới là chỗ để tạo OU. 3. Tạo OU mới
Giờ mình tạo luôn mấy OU để sau này dễ quản lý GPO chặn USB:

1. Chuột phải vào TRAPHACOHY.LOCAL → New → Organizational Unit
2. Nhập tên: ví dụ PC-NhanVien
3. Bỏ dấu tích “Protect container from accidental deletion” nếu anh muốn dễ xoá, còn không thì để nguyên.
4. Bấm OK.

Làm tiếp tương tự để tạo thêm:

• PC-NhayCam (máy kế toán, kho, QA… để dùng GPO chặn sát ván)
• PC-IT (máy IT – để không áp GPO chặn USB)
• Servers (máy chủ – tuyệt đối không chặn USB ở đây)

Kết quả mong muốn sẽ như vầy:
TRAPHACOHY.LOCAL
 ├─ PC-NhanVien
 ├─ PC-NhayCam
 ├─ PC-IT
 └─ Servers
(Anh đặt tên tiếng Việt cũng được: May-tinh-nhan-vien, May-tinh-ke-toan… AD không cấm.) 4. Kéo máy tính vào đúng OU
Hiện giờ chắc chắn máy tính của anh đang nằm trong container mặc định là Computers (biểu tượng cái máy tính màu vàng trong ADUC).
Để GPO ăn được thì phải kéo nó sang OU:

1. Trong ADUC, bấm vào Computers
2. Bên phải sẽ thấy các máy trạm: ví dụ PC-HANHCHINH01, PC-KETOAN02, …
3. Chọn máy cần chặn USB → Right-click → Move…
4. Chọn OU đích: PC-NhanVien → OK

Làm vậy cho từng máy.
📌 Nếu nhiều máy: anh có thể Ctrl/Shift chọn nhiều cái rồi Move 1 lần. 5. Quay lại Group Policy Management để link GPO
Giờ anh mở lại cửa sổ giống hình anh gửi (Group Policy Management):

• Bấm dấu + ở TRAPHACOHY.LOCAL
• Lúc này anh sẽ thấy các OU vừa tạo: PC-NhanVien, PC-NhayCam, …
• Chuột phải vào PC-NhanVien → Link an Existing GPO…
• Chọn GPO SEC – Block USB (Recommended) → OK

Tương tự:

• Chuột phải PC-NhayCam → Link an Existing GPO… → chọn SEC – Block USB (Strict) → OK

👉 Từ giờ, máy nào được Move vào OU nào thì ăn GPO của OU đó. 6. (Khuyến nghị) Đổi chỗ “máy mới join domain sẽ rơi vào đâu”
Mặc định, máy mới join domain sẽ bị rơi vào container “Computers” chứ không rơi vào OU mới tạo.
Để đỡ quên move tay, anh có thể “định tuyến” lại:
Ví dụ muốn tất cả máy mới join rơi vào OU PC-NhanVien, làm trên DC:

1. Mở Command Prompt với quyền admin
2. Gõ:

redircmp "OU=PC-NhanVien,DC=TRAPHACOHY,DC=LOCAL"
Giải thích:

• redircmp = redirect computer
• "OU=PC-NhanVien,DC=TRAPHACOHY,DC=LOCAL" = đường dẫn tới OU vừa tạo

Từ giờ máy nào join domain sẽ rơi thẳng vào PC-NhanVien, và tự ăn GPO chặn USB luôn.
(Anh thay tên OU đúng như anh đặt nhé.) 7. Mẫu cấu trúc OU gợi ý cho công ty anh
Vì anh đang làm ở Traphaco Hưng Yên, em gợi ý luôn 1 cây OU dễ quản lý:
TRAPHACOHY.LOCAL
 ├─ 00-Admin
 │   └─ PC-IT
 ├─ 10-Servers
 ├─ 20-Workstations
 │   ├─ 21-HanhChinh
 │   ├─ 22-KeToan
 │   ├─ 23-KyThuat
 │   └─ 24-Kho
 └─ 90-Excluded

• GPO chặn USB dạng Recommended → link vào 20-Workstations (nó sẽ áp xuống 21,22,23…)
• GPO chặn USB Strict → link riêng vào 22-KeToan + 24-Kho (nếu cần)
• 00-Admin, 10-Servers, 90-Excluded → không link GPO chặn USB

Nhưng nếu anh muốn đơn giản thì chỉ cần 3 OU như lúc đầu là đủ. 8. Kiểm tra lại từ client
Sau khi:

1. Tạo OU,
2. Move máy vào OU,
3. Link GPO vào OU,

thì trên máy Win 10 anh chạy:
gpupdate /force
gpresult /r /scope computer
Trong phần Applied Group Policy Objects phải thấy tên GPO mà anh link vào OU.
Nếu không thấy → 100% là máy chưa được Move vào OU đúng, hoặc GPO chưa link. 9. Tóm tắt nhanh để anh dán vào tài liệu

1. Mở Active Directory Users and Computers (dsa.msc)
2. Tạo OU: PC-NhanVien, PC-NhayCam, PC-IT
3. Move các computer từ Computers sang đúng OU
4. Mở Group Policy Management → chuột phải từng OU → Link an Existing GPO… → chọn GPO chặn USB
5. Trên client: gpupdate /force → test cắm USB