Việc kiểm soát truy cập thiết bị lưu trữ di động như USB, thẻ nhớ, ổ cứng gắn ngoài là một yêu cầu bảo mật cốt lõi trong mọi tổ chức. Cấu hình Removable Storage Policy (chính sách lưu trữ di động) giúp quản trị viên ngăn chặn rò rỉ dữ liệu, ngăn chặn phần mềm độc hại từ thiết bị ngoài và tuân thủ các quy định bảo mật. Bài viết này sẽ hướng dẫn bạn cách cấu hình removable storage policy một cách chi tiết, từ khái niệm cơ bản đến các bước triển khai thực tế trên môi trường Windows Domain và Local.
Removable Storage Policy là gì và tại sao cần cấu hình?
Removable Storage Policy là tập hợp các thiết lập trong Group Policy hoặc Local Group Policy Editor cho phép quản trị viên kiểm soát quyền đọc, ghi và thực thi trên các thiết bị lưu trữ di động. Các thiết lập này có thể được áp dụng cho toàn bộ máy tính trong domain hoặc cho từng người dùng cụ thể.
Mục đích chính của việc cấu hình chính sách này là bảo vệ dữ liệu nhạy cảm khỏi bị sao chép trái phép và giảm thiểu nguy cơ lây nhiễm mã độc qua USB. Theo báo cáo của IBM, hơn 30% sự cố an ninh mạng có liên quan đến thiết bị di động. Do đó, việc thiết lập chính sách kiểm soát thiết bị lưu trữ rời là bước không thể thiếu.
Phân loại các thiết lập trong Removable Storage Policy
Khi truy cập vào Group Policy Management Console, bạn sẽ thấy các thiết lập chính nằm trong đường dẫn: Computer Configuration → Administrative Templates → System → Removable Storage Access.
Các chính sách được phân loại dựa trên quyền truy cập:
Deny all access (Từ chối tất cả truy cập): Vô hiệu hóa hoàn toàn khả năng đọc, ghi, thực thi trên mọi thiết bị lưu trữ di động.
Deny read access (Từ chối quyền đọc): Chặn đọc dữ liệu nhưng cho phép ghi nếu cần.
Deny write access (Từ chối quyền ghi): Chặn ghi dữ liệu nhưng cho phép đọc.
Allow specific devices (Cho phép thiết bị cụ thể): Cho phép một số thiết bị USB nhất định dựa trên Hardware ID hoặc Instance ID.
Ngoài ra còn có các chính sách liên quan đến thực thi tập tin từ thiết bị di động và kiểm soát quyền truy cập theo từng loại thiết bị: CD/DVD, floppy disk, tape drive, Windows Portable Device.
Hướng dẫn cách cấu hình Removable Storage Policy qua Group Policy
Bước 1: Mở Group Policy Management Console (GPMC)
Trên máy chủ Domain Controller hoặc máy tính quản trị, nhấn Windows + R, gõ gpmc.msc và nhấn Enter.
Có, nếu điện thoại được máy tính nhận dạng là “Removable Disk” (MTP mode). Tuy nhiên, nếu điện thoại ở chế độ PTP (camera), chính sách có thể không áp dụng. Để chặn triệt để, bạn nên kết hợp với chính sách kiểm soát Windows Portable Devices.
Sau khi cấu hình chính sách, USB vẫn hoạt động, nguyên nhân do đâu?
Nguyên nhân phổ biến: GPO chưa được cập nhật (cần gpupdate /force), cấu hình nhầm vị trí User Policy thay vì Computer Policy, hoặc tồn tại GPO khác có quyền cao hơn cho phép USB. Hãy kiểm tra RSOP để xác định.
Có thể cấu hình removable storage policy cho từng người dùng thay vì máy tính không?
Chính sách Removable Storage Access mặc định nằm trong Computer Configuration, áp dụng cho máy tính. Tuy nhiên,
Nếu GPO được cấu hình đúng, người dùng không có quyền Admin local sẽ không thể thay đổi. Tuy nhiên, nếu user có quyền Admin, họ có thể tắt dịch vụ Group Policy hoặc chỉnh sửa Registry. Do đó, cần hạn chế quyền Admin cho người dùng cuối.
Kết luận
Cách cấu hình removable storage policy là kỹ năng thiết yếu đối với quản trị viên hệ thống muốn bảo vệ dữ liệu và kiểm soát thiết bị di động trong tổ chức. Dù bạn triển khai qua Group Policy tập trung hay Registry thủ công, việc hiểu rõ từng thiết lập, tránh các sai lầm phổ biến và kết hợp với các biện pháp bảo mật khác sẽ giúp bạn xây dựng một lớp phòng thủ vững chắc. Hãy bắt đầu bằng cách thử nghiệm trên một OU nhỏ, kiểm tra kết quả bằng RSOP, sau đó mở rộng ra toàn domain. Với hướng dẫn chi tiết trong bài viết, bạn đã có đủ kiến thức để áp dụng ngay vào thực tế.
