- Kontrol granular: pemblokiran penuh, hanya penyimpanan atau pengecualian berdasarkan kelas/ID.
- Aplikasi terpusat dengan GPO lokal atau Intune (ADMX) dan verifikasi dengan log.
- Daftar GUID umum untuk mengizinkan periferal penting tanpa kehilangan keamanan.

Di lingkungan domestik dan terutama lingkungan korporat, mengontrol apa yang terhubung melalui USB sangat penting untuk menjaga agar tetap terkendali malware dan menghindari kebocoran data; oleh karena itu, penting untuk mengetahui caranya perangkat blok USB en Windows dengan kebijakan dan teknik lainnya yang memungkinkan Anda menyesuaikan tingkat pembatasan menurut kebutuhan Anda.
Selain kebijakan grup lokal, Anda juga dapat mengelola batasan ini dari solusi manajemen seperti Intune dengan templat administratif ADMX, dan menyertainya dengan penyesuaian di Registri, Pengelola Perangkat atau bahkan UEFI/BIOS untuk mengaktifkan atau menonaktifkan port USBDalam panduan ini Anda akan mengumpulkan, langkah demi langkah dan dengan contoh yang jelas, semua yang Anda butuhkan Blokir USB sepenuhnya, izinkan pengecualian, atau batasi hanya penyimpanan atau penulisan ketika diperlukan.
Mengapa memblokir (atau membatasi) USB dan apa cakupannya?
Motivasi pertama adalah keamanan:Pendrive dapat membawa malware, dan ada perangkat seperti Bebek Karet USB mampu mengeksekusi skrip berbahaya dalam hitungan detik; oleh karena itu, banyak organisasi lebih memilih untuk mencegah kelas tertentu (misalnya, penyimpanan) atau hanya mengizinkan periferal penting seperti keyboard dan mouse.
Alasan penting lainnya adalah perlindungan data: Penyimpanan yang dapat dilepas blok mencegah penyalinan informasi sensitif tanpa izin; bahkan jika Anda tidak melarang penggunaan USB sepenuhnya, Anda dapat menegakkan kebijakan dengan memblokir penulisan dan hanya mengizinkan pembacaan dalam kasus tertentu. meminimalkan risiko.
Blokir penyimpanan yang dapat dilepas dengan kebijakan grup lokal (GPO)
Jika Anda memiliki Windows Pro atau Enterprise, Anda dapat menggunakan Editor Kebijakan Grup Lokal untuk menolak akses ke semua kelas penyimpanan yang dapat dilepas secara terpusat, cara yang sangat ampuh dan mudah untuk dibalik jika kebijakan berubah di kemudian hari.
Langkah-langkah yang disarankan:
- Tekan Windows + R, ketik
gpedit.mscdan konfirmasi dengan Enter. - Navigasi ke: Konfigurasi Komputer > Template Administratif > Sistem > Akses penyimpanan yang dapat dilepas.
- Buka arahannya Semua kelas penyimpanan yang dapat dilepas: Tolak akses ke semua.
- Marca Diaktifkan, terapkan dan terima. Mulai ulang jika perlu.
Setelah diaktifkan, Windows akan menolak akses ke pendrive, drive USB eksternal, CD/DVD, dan penyimpanan yang dapat dilepas lainnya; ketika Anda ingin mengembalikan perubahan, kembali ke jalur yang sama dan biarkan kebijakan sebagai Tidak dikonfigurasi atau Disabilitas.
Batasi instalasi perangkat berdasarkan ID atau kebijakan (GPO)
Jika tujuan Anda adalah mencegah penginstalan drive USB tertentu (namun Anda tidak ingin memblokir semua penyimpanan), Anda dapat bekerja dengan pembatasan penginstalan perangkat di GPO, baik melalui ID perangkat atau dengan menolak semua hal yang tidak diizinkan secara eksplisit, yang memberi Anda kontrol lebih. halus dan terukur.
Prosedur dasar di Editor Kebijakan Grup:
- Buka
gpedit.msc(Windows + R) dan buka Konfigurasi Komputer > Template Administratif > sistem > Instalasi Perangkat > Pembatasan instalasi perangkat. - Untuk memblokir berdasarkan ID: aktifkan Cegah pemasangan perangkat yang cocok dengan salah satu ID perangkat ini dan menambahkan ID perangkat yang akan diblokir.
- Untuk pendekatan yang lebih ketat: aktifkan Jangan izinkan pemasangan perangkat yang tidak dijelaskan dalam pengaturan kebijakan lainnya dan, secara paralel, Izinkan pemasangan perangkat yang dijelaskan oleh ID perangkat, menambahkan ID yang Anda setujui.
Cara menemukan ID perangkat: Buka Device Manager, temukan perangkat keras USB, buka tab Properti > Detail > ID Perangkat Keras. Di beberapa komputer, perangkat tethering USB memiliki ID yang dimulai dengan USB\class_e0, informasi yang berguna jika Anda bermaksud blokir fungsi tersebut.
Manajemen Intune: Template Administratif ADMX untuk USB
Di lingkungan yang dikelola Microsoft Intune, membuat kebijakan ADMX memungkinkan Anda mengonfigurasi blok/izin USB dan menerapkannya secara massal. Pendekatan ini berfungsi sebagai titik awal bagi organisasi Anda, menambahkan atau menghapus parameter sesuai kebutuhan. membakukan.
Langkah-langkah untuk membuat profil di Intune:
- Masuk ke pusat admin Microsoft Intune.
- Pergi ke Perangkat > Kelola perangkat > Pengaturan > Buat > Kebijakan baru.
- Properti awal: Platform = Windows 10 dan yang lebih baru; Jenis profil = Template > Template Administratif.
- pers Menciptakan dan, di bagian ini Básico, tambahkan Nama (misalnya, “Batasi Perangkat USB”) dan Deskripsi.
- En Opsi konfigurasi, tetapkan parameter USB yang diinginkan (pemblokiran berdasarkan kelas/ID yang diizinkan, pembatasan instalasi, dll.).
- En Tag cakupan (opsional) Tetapkan tag untuk memfilter berdasarkan grup TI, seperti
US-NC IT TeamoJohnGlenn_ITDepartment, memfasilitasi RBAC granular. - En Tugas, pilih grup perangkat yang akan menerima profil.
- Periksa semuanya di Tinjau dan buat dan konfirmasi dengan Menciptakan.
Ketika instalasi diblokir oleh kebijakan, sistem akan menampilkan peringatan seperti: The installation of this device is forbidden by system policy. Contact your system administrator.; pesan ini mengonfirmasi bahwa arahan sedang dilaksanakan benar.
Pemecahan Masalah: Perangkat yang diizinkan tampak terblokir
Beberapa perangkat USB memiliki beberapa GUID kelas, dan biasanya ada yang lupa satu di kebijakan; jika hilang, perangkat mungkin diblokir meskipun "diizinkan" dalam konfigurasi, jadi sebaiknya periksa log instalasi perangkat.
Langkah-langkah untuk mendiagnosis dengan file log:
- Buka file
%windir%\inf\setupapi.dev.logpada komputer yang terpengaruh. - Temukan bagiannya Pembatasan pemasangan perangkat yang tidak dijelaskan dalam arahan.
- Temukan baris dengan teks
Class GUID of device changed to: {GUID}dan menambahkan bahwa{GUID}ke arahan yang diizinkan.
Contoh entri log relevan yang menunjukkan perubahan GUID kelas ke {36fc9e60-c465-11cf-8056-444553540000} dan pemblokiran kebijakan; perhatikan bagaimana sistem secara eksplisit melaporkan pembatasan, yang menunjukkan bahwa Anda harus tambahkan GUID yang hilang ke politik:
>>>
>>> Section start 2020/01/20 17:26:03.547
...
dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
...
!!! pol: The device is explicitly restricted by the following policy settings:
!!! pol: Restricted installation of devices not described by policy
!!! pol: {Device installation policy check exit(0xe0000248)}
!! dvi: Installation of device is blocked by policy
...
<<<
Jika setelah menambahkan GUID masalah masih berlanjut, ulangi peninjauan dan tambahkan GUID kelas yang tersisa hingga perangkat terpasang tanpa terkunci.
GUID kelas umum untuk memungkinkan periferal yang diperlukan
Saat Anda memilih untuk menolak semua kecuali pengecualian, Anda akan menghemat waktu dengan menyertakan GUID kelas yang mencakup perangkat penting (keyboard, mouse, audio, atau kamera) sejak awal, mengurangi gesekan bagi pengguna dan mempertahankan kegunaan minimum.
- Keyboard: {4d36e96b-e325-11ce-bfc1-08002be10318}
- Mouse: {4d36e96f-e325-11ce-bfc1-08002be10318}
- USB (hub/pengendali): {36fc9e60-c465-11cf-8056-444553540000}
- HID: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Perangkat multimedia: {4d36e96c-e325-11ce-bfc1-08002be10318}
- Kamera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Perangkat pencitraan: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Perangkat sistem: {4D36E97D-E325-11CE-BFC1-08002BE10318}
- Biometrik: {53d29ef7-377c-4d14-864b-eb3a85769359}
- Perangkat lunak generik: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
Untuk headphone 3,5mm, yang drivernya melewati tumpukan audio, Anda sebaiknya mempertimbangkan Perangkat multimedia y Titik koneksi audio con los GUID: {4d36e96c-e325-11ce-bfc1-08002be10318} y {c166523c-fe0c-4a94-a586-f1a80cfbbf3e} respectivamente.
Perbaikan cepat: Nonaktifkan pengontrol USB dari Pengelola Perangkat
Jika Anda ingin penguncian penuh, Anda dapat menonaktifkan pengontrol USB; ini sederhana, tetapi ingatlah untuk memiliki metode kontrol alternatif (misalnya, Papan ketik/mouse Bluetooth) agar Anda tidak kehilangan tiket.
Bagaimana cara melakukannya:
- Buka Device Manager (Windows + S, cari “Device Manager”).
- Terungkap Pengontrol Universal Serial Bus (USB)..
- Klik kanan pada setiap item dan pilih Nonaktifkan perangkatUlangi untuk semua entri yang diperlukan.
Untuk mengembalikan, ulangi langkah-langkah dan pilih Aktifkan perangkat pada setiap item; metode ini memblokir USB apa pun, bukan hanya penyimpanan, jadi praktis saat Anda membutuhkannya pemadaman total pelabuhan.
Blokir hanya penyimpanan USB dengan Registry/PowerShell
Jika Anda ingin melarang hanya unit penyimpanan (pendrive atau disk eksternal), Anda dapat menonaktifkan layanan USBSTOR dari Registry, baik dengan PowerShell atau secara manual, yang mencegah Windows mengenali perangkat ini.
Dengan PowerShell (Admin):
- Penyimpanan blok:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 4 - Aktifkan kembali penyimpanan:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 3
Setelah menjalankan perintah, reboot komputer Anda untuk menerapkan perubahan; pendekatan ini ideal jika Anda ingin menjaga periferal seperti keyboard/mouse USB tetap beroperasi, tetapi batalkan penyimpanan saja.
Pengeditan manual dari Editor Registri:
- Buka
regeditdan arahkan keHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. - Edit nilainya Start: : tekan 4 untuk mengunci, 3 untuk mengaktifkan kembali.
Perlu diingat bahwa metode ini bekerja pada tingkat layanan, jadi tidak bergantung pada GPO; namun, sebaiknya Anda mendokumentasikannya di kebijakan keamanan untuk menjaga konsistensi dengan kontrol lainnya.
Batasi penulisan ke USB (izinkan membaca)
Pilihan populer lainnya adalah memblokir penulisan ke USB untuk mencegah eksfiltrasi, yang memungkinkan pengguna untuk membaca file yang ada; Anda dapat melakukan ini melalui Registry atau dengan kebijakan grup, tergantung pada edisi jendela tersedia.
Dari Registri (WriteProtect):
- Buka
regeditdan pergi keHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies. - Jika kuncinya StorageDevicePolicies tidak ada, buat secara manual.
- Di dalam, buat/edit nilai DWORD yang disebut Perlindungan karya cipta dan menaruhnya ke 1 (kunci tulis). Atur ke 0 untuk mengizinkannya lagi.
Melalui GPO (edisi Pro/Enterprise):
- Buka
gpedit.mscdan navigasikan ke Konfigurasi Komputer > Template Administratif > Sistem > Akses penyimpanan yang dapat dilepas. - Memungkinkan Disk yang dapat dilepas: tolak akses penulisan sehingga kontennya hanya dapat dibaca saja.
Dengan rumus ini, pengguna akan dapat membuka file dari USB, tetapi mereka tidak akan dapat memodifikasi atau menyalinnya ke komputer, yang merupakan penghalang yang efektif untuk kebocoran.
Lepaskan drive USB untuk mencegah penggunaan sesekali
Jika Anda hanya ingin mencegah penggunaan drive tertentu yang saat ini terhubung, Anda dapat "melepasnya" dari Explorer; dengan cara ini, meskipun masih terpasang, sistem tidak akan menampilkannya atau mengizinkannya untuk digunakan, tindakan yang cepat dan mudah. tidak mengganggu.
Langkah-langkah:
- Buka Explorer (Windows + E) dan masukkan Tim ini.
- Di bawah "Perangkat dan drive", klik kanan pada drive USB yang diinginkan dan pilih Keluarkan.
Ikon akan hilang dari jendela; Anda dapat melepaskan perangkat dengan aman saat diminta oleh sistem, dengan menahan kontrol sementara pada penggunaannya.
Nonaktifkan port USB dari BIOS/UEFI
Beberapa produsen menyertakan opsi di BIOS/UEFI untuk menonaktifkan port USB; ini efektif, tetapi lebih rumit: jika Anda tidak terbiasa dengannya, konsultasikan manual motherboard Anda dan nilai dampaknya sebelum menyentuh apa pun, karena perubahan yang salah dapat kompromi tim, atau belajar untuk nonaktifkan dari BIOS/UEFI.
Metode ini mempunyai keuntungan karena dapat beroperasi di bawah sistem operasi; namun, administrasinya bisa lebih kompleks dan tidak selalu dapat diterapkan pada armada yang heterogen, sehingga biasanya hanya digunakan untuk Pengguna tingkat lanjut atau skenario keamanan tinggi.
Aplikasi pihak ketiga untuk memblokir USB
Jika Anda lebih suka menghindari perubahan pada Registry atau kebijakan, ada utilitas sederhana yang menonaktifkan drive USB secara langsung; namun, periksa keandalan, pembaruan dan sesuai dengan kebijakan perusahaan Anda sebelumnya adopsi mereka.
Nomesoft USB Guard: Alat ringan yang dirancang untuk memblokir perangkat USB untuk mencegah infeksi menyebar melalui flash drive; antarmukanya dasar dan konsumsi sumber daya minimal, memungkinkan tugas dilakukan hanya dalam beberapa klik dan menyediakan lapisan tambahan perlindungan.
USB Drive Disabler: Perangkat lunak portabel yang dengan cepat menonaktifkan akses ke semua port USB tanpa perlu menyentuh Registry. Anda dapat menonaktifkan atau mengaktifkan kembali drive USB hanya dengan satu jendela, yang praktis bagi pengguna yang kurang berpengalaman yang mencari kontrol langsung.
Periksa hasil dan pesan sistem
Setelah menerapkan GPO atau profil Intune, validasi hasilnya di komputer target. Jika kebijakan memblokir instalasi, Anda akan melihat pesan seperti: The installation of this device is forbidden by system policy. Contact your system administrator. menyatakan bahwa pembatasan aktif, dan jika perangkat masih tidak berfungsi, periksa juga kemungkinan Masalah daya USB.
Jika perangkat seharusnya diizinkan tetapi tidak dapat diinstal, periksa setupapi.dev.log untuk mengidentifikasi GUID kelas yang hilang untuk memungkinkan; mengandalkan bukti ini mempercepat diagnosis dan menghindari pengujian buta, terutama pada perangkat dengan beberapa kelas.
Praktik baik saat merancang kebijakan USB Anda
Mulailah dengan menentukan cakupannya: pemblokiran penuh, hanya penyimpanan, atau pemblokiran dengan pengecualian? Pendekatan berjenjang (menolak secara default dan mengizinkan periferal penting dengan GUID) sering kali menawarkan keseimbangan yang lebih baik antara keamanan dan operasi.
Dalam skenario yang dikelola, gunakan label cakupan dan RBAC (seperti di Intune) untuk menerapkan kebijakan berdasarkan area, lokasi, atau departemen; pertahankan inventaris GUID dan ID yang diizinkan dan dokumentasikan alasan cuti untuk audit.
Siapkan rencana kontingensi: keyboard/mouse alternatif (Bluetooth), akun administratif lokal untuk pemulihan, dan prosedur untuk segera mengembalikan jika kebijakan yang terlalu ketat menyebabkan pemblokiran tak disengaja.
Sebelum produksi, uji pada kelompok percontohan dan kumpulkan log instalasi; file setupapi.dev.log Ini adalah sekutu Anda untuk menyempurnakan pengaturan dan mengurangi pengecualian, selain memberi Anda ketertelusuran teknis sebelumnya insiden.
Anda dapat menerapkan kontrol yang kuat pada port dan perangkat USB di Windows, baik dengan GPO lokal, Intune/ADMX, maupun penyesuaian registri. Dengan menggabungkan pemblokiran kelas atau ID, pengecualian yang jelas, dan verifikasi log, Anda mencapai keseimbangan yang tepat antara keamanan dan kenyamanan. mendukung operasi sehari-hari tanpa kejutan apa pun.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.
