Setelah sekian lama mencari akhirnya berhasil juga melakukan disable USB flash Disk melalui Group Policy Object (GPO).
Ceritanya nih, kita lagi berjuang membangun benteng melawan penjajahan Virus, karena yang namanya virus itu benar-benar sangat merugikan baik waktu hingga UUD (ujung-ujungnya duit). Udah beberapa kali terpaksa harus lembur hingga larut malam demi memulihkan jaringan komputer di kantor karena ulah si program jahat ini.
Meskipun telah memasang anti virus, peralatan firewall hingga mengaktifkan fasilitas file screening untuk memperkecil resiko serangan virus tapi masih saja sering kebobolan dan salah satunya melalui sarana USB Flash Disk.
Sayang seribu sayang, USB Flash Disk yang semula berfungsi sebagai alat bantu namun oleh beberapa orang yang tidak bertanggung jawab dimanfaatkan untuk media penyebaran virus.
Dengan alasan tersebut kami memutuskan untuk menutup semua fasilitas USB Flash Disk diseluruh komputer kantor, kecuali 1 komputer sebagai pintu gerbang pertukaran data dari dan ke dunia luar melalui USB Flash Disk, tentunya komputer ini harus mendapatkan extra pengawasan agar tidak berfungsi sebagai pintu gerbang penyebaran virus.
Browsing sana, browsing sini satu hari, dua hari hingga beberapa minggu akhirnya berhasil juga melakukannya melalui GPO. Awalnya ketemu caranya via setting registry, namun ini akan sangat melelahkan jika jumlah komputer yg akan di setting dalam jumlah besar, belum lagi kalo komputer tersebut harus install ulang, seringkali settingan2 seperti ini sering terlewatkan sehingga tidak efektif lagi dan ujung ujungnya virus masuk lagi…. capek deh …?
Berikut setting registry yang di perlukan untuk disable atau enable USB Flash Disk :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
Untuk Disable USB Flash Disk, ubah nilai DWORD start menjadi 4
Untuk Enable kembali, ubah nilai DWORD start menjadi 3
Sedangkan melalui GPO akan lebih ringan dilakukan sebab semua akan dilakukan secara otomatis oleh server dan juga efektifitasnya terjaga karena settingan akan selalu di refresh saat user login ke Active Directory (Domain) …. uenak tenan…!!
Berikut tahapan disable atau enable USB Flash Disk melalui GPO :
1. Download settingan custom file StorageControl.zip di sini (kecil kok cuman 1 Kb).
2. Extrak hingga menjadi StorageControl.adm
3. Import file tersebut kedalam GPO dengan cara buka menu administratif tools, group policy Managemen, pilih default domain control, click kanan pada menu popup yang mencul pilih edit.
4. Pada windows popup yang muncul (Group Policy Object Editor), pilih Computer Configuration, Administrative Templates, click kanan, pilih Add/Remove Templates, insert adm filenya dengan cara click Add, pilih file admnya.
4. Hasilnya akan ada tambahan Custom Policy Setting pada Administrative Templates
5. Pilih menu view pada windows Group Policy Object Editor, Click Filtering dan hilangkan tanda centang pada Only Show Policy Setting Than can be Fully Managed.
6. Lihat pada Restric Drive pada Custom Policy Setting, dan Tinggal aktivkan disable USB dll
GPO ini hanya akan mendisable fungsi USB Storage, sedangkan fasilitas USB yang lain seperti Mouse, Keyboard, Printer tetap bisa jalan dengan normal, kecuali Camera Digital karena di anggab sebagai USB Storage.
Selamat mencoba….!, Virus USB…? No Way….. semoga bermanfaat…..
Maaf sebelumnya saya juga mengalami hal yang serupa dan saya mencoba untuk mengikuti arahan yang diberikan hanya saja saya tidak dapat dapat menyelesaikannya..
saya terhambat di import data sesuai dengan arahan yang diberikan..saya sudah mencoba masuk ke administratif tools, group policy Managemen..sampai disini saya bingung untuk mengambil data dengan ext ADM tersebut..
mohon sekiranya untuk mendapat pecnerahan
Oleh: Diyan on 6 November 2008
at 7:36 pm
Sebelumnya, salam kenal, maaf karena artikelnya memang belum selesai saya tulis, jadi mohon bersabar, saya masih di luar kota, sesampai di kantor nanti (hari ini) saya akan lengkapi deh, mudah kok, jangan khawatir, saya udah menerapkan hal tsb, cuman yg gak tahan komplain dari user…?!… udah siap menghadapi komplain ….??
Oleh: nanangars on 7 November 2008
at 5:47 am
Mudah-mudahan tidak ada complaint dikarenakan saya sudah diberikan otoritas untuk menutup akses USB tersebut..
Jikalau tidak keberatan bolehkah saya meminta step-step yang lebih rinci..Maaf sebelumnya hal ini sudah merepotkan.. Saya sangat berterimakasih atas bantuannya..
Oleh: Diyan on 7 November 2008
at 8:59 am
Terima kasih banyak atas informasi yang diberikan..hanya saja saya sudah mencobanya tetapi masih juga belum berhasil flash disk masih tetap terdetek..
berikut langkah yang saya coba
1 . memilih Radio button Enable >lalu>enable
– memilih Radio button Enable >>>lalu>> disable
2. memilih Radio button disable
apakah dari langkah yg saya lakukan masih salah..?dan apakah mesti dikombinasi dengan setting registry
Oleh: Diyan on 8 November 2008
at 1:19 pm
Setting bisa dipilih salah satu via Registry atau via GPO, jadi tidak harus aktifkan secara bersamaan. Untuk yang di GPO Pilih semua option radio button yang ada dengan enable, seringkali GPO tidak bisa langsung aktiv
, sehingga perlu dilakukan force update melalui command prompt seperti berikut :
c:\gpupdate /force, setelah gpupdate selasai dijalankan, biasanya server akan minta restart, oh ya untuk dapat menggunakan GPO user harus telah join domain, jika belum join domain, gunakan saja cara registry, good luck !!
Oleh: nanangars on 8 November 2008
at 7:18 pm
numpanmg nanya neh..
napa yah klu tiap pke flashdisk eh keyboardnya ga jalan truz harus di restart n d eject dlu flashnya..
Pa yg harus dilakuin?
Oleh: ki on 17 November 2008
at 10:23 am
Kayaknya ada masalah di driver atau bahkan hardwarenya nih…
Oleh: Nanang Ars on 17 November 2008
at 3:20 pm
bozz, ini gue juga punya masalah kayak gitu
tapi setelah administrative toolsnya di buka kok gak muncul group policy Managemen, kenapa ya ???
Oleh: rapid on 28 November 2008
at 8:10 am
1. Servernya harus menggunakan system domain
2. kalo udah domain tapi belum muncul juga, coba download dulu GPMC (group Policy Management Console), trus install….
Ni sekalian linknya :
http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
Oleh: Nanang Ars on 28 November 2008
at 1:39 pm
hahahahaha… many thank you…
server gw sekarang amannnnnnn!!!!!
Oleh: Anto on 9 Desember 2008
at 3:14 pm
hahahahaha… many thank you…
server gw sekarang amannnnnnn!!!!!
Oleh: Anto on 9 Desember 2008
at 3:16 pm
Hmm menarik Mas Nanang… Informatif sekali.. Tapi bukannya sebaiknya ditentukan target komputernya (forest, child, OU, etc.)? Kalau tidak semua PC yang join domain otomatis disable dong USB-nya (termasuk server & staff IT)?
Btw, thx udah mampir di blog saya…
Oleh: Jay on 10 Desember 2008
at 2:06 pm
yups, tergantung kebutuhan juga sih….
Oleh: nanangars on 10 Desember 2008
at 3:26 pm
Mas Nanang…Kalau dengan registry kita ngebloknya…Hanya USB Flash disk aja kan yang keblok…Printer yang share, Keyboard dan Mouse tetap bisa jalan kan?Hanya penyimpanan data yang ga bs?Thanks….
Oleh: Sebastian Jonathan on 1 April 2009
at 12:14 pm
Yups, betul sekali, bahkan dengan GPO (AdmStorageControl) bisa juga untuk atur penggunaan CD / DVD ROM / RW
Oleh: Nanang Arief Setiawan on 1 April 2009
at 1:43 pm
mas nanang, saya dah nyoba tutor yang ada di blog ini tentang pembatsan USB denganGPO tapi tetap ga bisa,klo boleh saya minta tutor yang lebih rinci,,,klo bisa kirimke email saya….hhehehe thanks sebelumnya
Oleh: poer on 2 Mei 2009
at 5:57 pm
trima kasih banyak artikelnya pak, saya akan coba (tapi gak tau kapan nih … hehe).
BTW thanks for the info… (^_^)
Oleh: Agus Supriyanto on 12 November 2009
at 8:18 am
Selamat Pagi P.Nanang,
Cara ini untuk windows server 2003 atau windows server 2008 R2?
Karena untuk server 2008 R2 sepertinya berbeda dengan windows server 2003.
mohon tanggapannya karena ditempat saya memakai windows 2008 dan terima kasih atas perhatiannya.
setiadi
Oleh: setiadi on 17 November 2009
at 10:39 am