Contact
Line : comsiam
การ Block USB คือหนึ่งใน Policy ด้าน Security ที่องค์กรนิยมใช้มากที่สุด เพราะช่วยป้องกัน:
- ขโมยข้อมูล
- Malware
- Ransomware
- Virus จาก Flash Drive
- การ Copy ไฟล์ออกจากบริษัท
บน Windows Server 2025 สามารถใช้ Group Policy หรือ GPO ควบคุม USB จากศูนย์กลางได้ทันที โดยไม่ต้องเดินตั้งค่าทีละเครื่อง
หลายองค์กรที่มีข้อมูลสำคัญ เช่น บัญชี, โรงงาน, โรงพยาบาล หรือหน่วยงานรัฐ มักปิด USB ทั้งหมดเพื่อลดความเสี่ยง ซึ่งเป็นแนวทางที่ทีม comsiam ใช้ในระบบองค์กรจริงเช่นกัน
บทความนี้จะสอนการ Block USB ด้วย GPO แบบละเอียด พร้อมแนวทางใช้งานจริง
① ทำไมองค์กรต้อง Block USB
USB คือช่องทางหลักของ:
- Virus
- Malware
- ข้อมูลรั่วไหล
ปัญหาที่พบบ่อย:
- พนักงาน Copy ข้อมูลออก
- ติด Ransomware จาก Flash Drive
- ติด Virus ผ่าน USB
ดังนั้น:
หลายองค์กรปิด USB ทั้งหมด
② GPO Block USB ทำงานอย่างไร
GPO จะส่ง Policy ไปยังเครื่อง Client
จากนั้น:
Windows จะปฏิเสธการเข้าถึง USB Storage
ทันที
③ สิ่งที่ต้องมี ก่อน Block USB
ต้องมี:
- ติดตั้ง Active Directory แล้ว
- เครื่อง Client Join Domain แล้ว
- ใช้ GPO ได้ปกติ
④ วิธีเปิด Group Policy Management
เปิด:
Server Manager
> Tools
> Group Policy Managementหรือใช้:
gpmc.msc⑤ วิธีสร้าง GPO สำหรับ Block USB
คลิกขวา OU
เลือก:
Create a GPO in this domain, and Link it hereตั้งชื่อ:
Block USB Storage⑥ วิธี Edit GPO
คลิกขวา GPO
เลือก:
Edit⑦ Path สำหรับ Block USB
ไปที่:
Computer Configuration
> Policies
> Administrative Templates
> System
> Removable Storage Access⑧ วิธี Block USB ทั้งหมด
เปิด Policy:
All Removable Storage classes: Deny all accessเลือก:
Enabledเสร็จทันที
⑨ วิธี Block เฉพาะ USB Write
หากต้องการ:
อ่านได้ แต่ Copy ลงไม่ได้
เปิด:
Removable Disks: Deny write access⑩ วิธี Block เฉพาะ USB Read
เปิด:
Removable Disks: Deny read accessเหมาะกับ:
เครื่อง Kiosk
เครื่อง Public
⑪ วิธี Force GPO ทันที
ที่ Client ใช้:
gpupdate /forceจากนั้น:
Restart เครื่อง
⑫ วิธีทดสอบว่า USB ถูก Block แล้วหรือยัง
เสียบ Flash Drive
หากสำเร็จ:
Windows จะขึ้น:
Access is deniedหรือ:
Drive เปิดไม่ได้
⑬ วิธี Allow USB บาง User
ใช้:
- Security Filtering
- OU แยก
ตัวอย่าง:
- IT ใช้ USB ได้
- User ทั่วไปใช้ไม่ได้
⑭ วิธีใช้ Security Filtering
ใน GPO
ไปที่:
Security Filteringเพิ่ม:
- Group IT
- Group Admin
⑮ วิธี Block USB เฉพาะบาง OU
ตัวอย่าง:
- Office Staff → Block
- IT Department → Allow
เพียง Link GPO กับ OU ที่ต้องการ
⑯ วิธีดูว่า GPO Apply แล้วหรือยัง
ใช้:
gpresult /rดู:
GPO ถูก Apply หรือไม่
⑰ วิธีดู Resultant Set of Policy
ใช้:
rsop.mscช่วยตรวจสอบ Policy จริง
⑱ วิธีแก้ GPO ไม่ทำงาน
ตรวจสอบ:
- DNS
- Join Domain
- GPO Link
- Security Filtering
กว่า 70% ของปัญหา GPO มาจาก DNS
⑲ วิธี Block USB ผ่าน Registry ด้วย GPO
อีกวิธี:
Push Registry ผ่าน GPO
Key:
USBSTORแต่:
วิธี Administrative Template ง่ายกว่า
⑳ ปัญหาที่พบบ่อย
USB ยังใช้ได้
สาเหตุ:
- gpupdate ยังไม่ทำ
- Client Offline
- GPO ไม่ Apply
External HDD ยังใช้ได้
สาเหตุ:
Policy ไม่ครอบคลุมทุก Device
㉑ แนวทาง Security ที่ดี
แนะนำ:
- Block USB ทุกเครื่อง
- Allow เฉพาะ IT
- ใช้ BitLocker
- เปิด Audit Log
- Monitor File Copy
หลายองค์กรโดน Ransomware ผ่าน USB ซึ่งทีม comsiam มักแนะนำให้ Block USB เป็นพื้นฐาน Security ขององค์กร
㉒ สิ่งที่ไม่ควรทำ
ไม่ควร:
- Block USB Server โดยไม่วางแผน
- ปิด USB Admin ทั้งหมด
- ใช้ GPO เดียวกับทุก OU
- ไม่ทดสอบก่อน Deploy
㉓ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- Allow เฉพาะ IT
- Block User ทั่วไป
- ใช้ NAS แทน Flash Drive
ช่วยลด:
- Malware
- ข้อมูลรั่วไหล
ได้มาก
㉔ คำสั่งสำคัญเกี่ยวกับ GPO
gpupdate /force
gpresult /r
rsop.mscAdmin ควรใช้คล่อง
㉕ สรุป
การ Block USB ด้วย Group Policy บน Windows Server 2025 เป็นวิธีที่ช่วยเพิ่ม Security ขององค์กรได้อย่างมาก
ข้อดี:
- ลด Malware
- ลดข้อมูลรั่วไหล
- ควบคุมจากศูนย์กลาง
- ลดความเสี่ยง Ransomware
โดยเฉพาะองค์กรที่มีข้อมูลสำคัญ GPO Block USB ถือเป็น Security Policy พื้นฐานที่ควรมี
