公司想透过AD的GPO禁用USB髓身碟
但是又不想完全禁用
公司有准备自己公用的USB髓身碟
只想禁用私人的USB髓身碟
而且也不想禁财会部门会用到的读卡机
不过我爬文只有看到全面禁用的
没有看到有禁用但有例外的
请问AD有这样的功能吗?
有的话要怎么设定呢?

2016后的版本我不晓得，2012前是透过登录档修改电脑可读或不可读usb，至于你要的分哪些usb可读或不可读，要透过其他管理软件

GPO套用到指定群组，没有套用的群组就等于是例外读卡机是读取，随身碟有读取也有写入，只禁写入应该行得通吧，我没实际用过不确定公用随身碟要用就让他只能在例外的电脑用

ku大 我已经弄好禁用usb了 但是就是全面禁用 没有例外 看来要有例外的话只靠AD而已的话做不到的样子

要用第三方资管软件来管,但那时就不需要GPO了

h大 看起来就是这样了 我在跟公司回报…

我这是老板放弃花钱,要求部份开+资讯人员去抓用非公发一整个掩耳盗铃

我讲的方法就可以设例外，没有看到我的推文吗？

allen大 我有看到 不过公司的意思是全面锁 只开放特定usb 所以你的方法可能不太适合

了解

我看你有准备额外的随身碟，就知道老板想玩的是特定随身碟可读取，而非特定电脑，AD无法判别随身碟的UUID，只能乖乖用第三方，这点钱都不花，讲真的也只是做表面资安 （还没谈到随身碟存取的记录追踪咧）

你问题的答案google就有了

你想想"黑帽"开场的清洁工 插个USB当蓝芽发信器然后就被骇了

其他的 xfort ciro winnessus...

你如果有防毒 可以先看防毒中空可不可以锁

这只是做做表面，现在云端这么方便XD想杜绝资安问题，就得学台积电，强制使用TSMC手机只要有上网的路、能插的随身碟，一定有人钻漏洞，翻拍

你的需求不花钱不可能达到，GPO没办法辨识随身碟的序号，所以你没办法只针对私人随身碟封锁。单纯靠GPO能做的有限

公司是花钱买第三方，最两光的是买卡巴

Crowdstrike, Trellix DLP 挑一个

连usb充电都不准吗？

最近发现趋势虽然有挡usb,但图档还是可以用faststone传输