本教程将向您展示如何配置组策略,以使用 Bitlocker 在 Windows 2012 服务器上的可移动设备上强制 USB 加密。
这将有助于您的计算机环境实现更高的安全级别。
域控制器正在运行 Windows 2012 R2。
域计算机正在运行 Windows 10 企业。
域计算机正在运行 Windows 7 企业。
硬件列表:
以下部分介绍用于创建此 Windows 教程的设备列表。
上面列出的每一件硬件都可以在亚马逊网站上找到。
与 Windows 相关的教程:
在此页上,我们提供对与 Windows 相关的教程列表的快速访问。
教程 – 创建 GPO 以强制 USB 驱动器加密
以下任务在运行 Windows 2012 R2 的域控制器上执行,该域具有活动目录。
单击”开始”菜单,找到并打开组策略管理工具。
在”组策略管理”屏幕上,找到名为”组策略对象”的文件夹。
右键单击”组策略对象”文件夹并选择”新”选项。
输入新策略的名称。
在我们的示例中,新的 GPO 被命名为:强制 USB 加密。
在组策略管理屏幕上,展开名为”组策略对象”的文件夹。
右键单击新的组策略对象并选择”编辑”选项。
在组策略编辑器屏幕上,将显示给用户配置和计算机配置。
我们将只更改计算机配置。
我们不需要更改任何用户配置。
在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。
访问名为”可移动数据驱动器”的文件夹。
在右侧,将显示可用配置选项的列表。
首先,让我们禁用对未加密 USB 存储设备的写入访问。
双击名为:拒绝对 不受 Bitlocker 保护的可移动驱动器的写入访问权限。
在配置项屏幕上,您需要选择”启用”选项。
如果还想在 Windows 的早期版本上启用 Bitlocker。
双击名为”允许 从早期版本的 Windows”访问 BitLocker 受保护的可移动驱动器的配置项
在配置项屏幕上,您需要选择”启用”选项。
若要完成组策略创建,需要关闭组策略编辑器窗口。
只有在关闭组策略窗口时,系统才能保存您的配置。
教程 – 应用 GPO 强制 USB 驱动器加密
您已完成网络限制 GPO 的创建。
但是,您仍然需要启用使用新的组策略。
在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接存在 GPO 的选项。
在我们的示例中,我们将将名为 FORCE USB 加密的组策略链接到名为 TECH 的域根目录。当地。
应用 GPO 后,您需要等待 10 或 20 分钟。
在此期间,GPO 将复制到您可能拥有的其他域控制器。
等待 20 分钟后,应重新启动用户的计算机。
在启动期间,计算机将获取并应用新组策略的副本。
若要测试配置,需要将 USB 存储驱动器连接到计算机并尝试保存文件。
您的计算机应自动拒绝对未加密 USB 存储设备的写入访问权限。
您的计算机应自动提供使用 Bitlocker 加密 USB 存储设备。
加密 USB 存储设备后,您将能够将数据写入设备。