Deny all access to removable devices (Compare Settings in gpedit & regedit)

วิธีปิดกั้นการเข้าถึงอุปกรณ์เชื่อมต่อภายนอกทุกชนิด (gpedit.msc และ regedit) บทความนี้ผมจะแยกอธิบาย 2 หัวเรื่อง คือ A. วิธีปิดกั้น การเข้าถึงอุปกรณ์เชื่อมต่อภายนอกทุกชนิด ด้วยการตั้งค่าใน gpedit.msc (Group Policy Editor) อุปกรณ์พวกนี้ก็อย่างเช่น USB Flash drive, HD external, SSD external, DVD drive, Media Drive (Smart phones, Tablet), Floppy disk drives, Tape drives, เป็นต้น B. ตัวอย่างความสัมพันธ์ของการทำงาน และ การตั้งค่าใน gpedit.msc และ regedit (การตั้งค่าตามหัวเรื่องที่ 1.) หัวเรื่องนี้ขออธิบายโดยใช้ VDO ครับ * ถ้าคุณมีพื้นฐานเกี่ยวกับ gpedit.msc และ regedit จะข้ามไปดู VDO Clip อย่างเดียวก็ได้ OS Support: ตั้งแต่ Windows Vista - Windows 10, *ณ เวลาที่ผมเขียนบทความอยู่นี้ Windows 10 ยังเป็นรุ่น Insider Preview เปิด gpedit.msc กด Windows + r > พิมพ์ gpedit.msc > OK ความรู้พื้นฐาน: การตั้งค่าใน Group Policy จะแยกออกเป็น 2 กลุ่มคือ - Computer Configuration: ทุกๆการตั้งค่าที่อยู่ในกลุ่มนี้ จะมีผลกับทุก User - User Configuration: ทุกๆการตั้งค่าที่อยู่ในกลุ่มนี้ จะมีผล เฉพาะ User ที่กำลัง Sign in อยู่ในขณะนั้น (คอมพิวเตอร์บางเครื่องก็มีการแบ่งใช้งานกันหลาย User เช่น คอมพิวเตอร์ของบริษัท, สำนักงาน เป็นต้น) A. วิธีปิดกั้น การเข้าถึงอุปกรณ์เชื่อมต่อภายนอกทุกชนิด ด้วยการตั้งค่าใน gpedit.msc 1. ถ้าคุณต้องการตั้งค่าให้มีผลกับทุก User ให้คุณคลิกเข้าไปที่  Computer Configuration > Administrative Templates > System > Removable Storage Access 2. ถ้าคุณต้องการตั้งค่าให้มีผลเฉพาะ User ให้คุณคลิกเข้าไปที่  User Configuration > Administrative Templates > System > Removable Storage Access 3. ที่ Column ด้านขวา ดับเบิลคลิกที่ All Removable Storage Classes: Deny All Access 3.1 ตั้งค่าเป็น Enabled > คลิก OK การคืนค่า (Restore): ให้คุณกลับเข้ามาเปลี่ยนการตั้งค่าเป็น ☻ Not Configured หรือจะเลือกเป็น ☻ Disabled ก็ได้, การเชื่อมต่อกับอุปกรณ์ภายนอกก็จะใช้งานได้ตามปกติ ข้อสังเกต: * ดูที่ Column ด้านขวาของ Removable Storage Access สิครับในนั้นมี policy (ขอเรียกง่ายๆว่าการตั้งค่าละกัน) อื่นๆที่น่าสนใจ และเกี่ยวข้องกับอุปกรณ์เชื่อมต่อภายนอก อีกตั้งหลายหัวข้อ - ถ้าคุณไม่เข้าใจว่าการตั้งค่านั้นๆจะมีผลอย่างไร ให้อ่านคำอธิบายที่ Help: - ถ้าอยากรู้ว่าการตั้งค่านั้นๆ ใช้ได้กับวินโดว์รุ่นใดบ้างให้ดูที่ Support on: รายละเอียดเพิ่มเติมเกี่ยวกับวิธีใช้งาน Group Policy อ่านได้จากบทความชุดนี้ Basic Group Policy B. ตัวอย่างความสัมพันธ์ของการทำงาน และ การตั้งค่า ใน gpedit.msc และ regedit B. ตัวอย่างความสัมพันธ์ของการทำงาน และ การตั้งค่า ใน gpedit.msc และ regedit การตั้งค่าตามที่ผมอธิบายใน ข้อ A. จะมีความสัมพันธ์กับข้อมูลใน Registry เสมอ แต่มันจะไปเกี่ยวข้อง, สัมพันธ์กับคีย์ใด, ข้อมูลใดนั้นให้คุณดูจาก VDO Clip ข้างล่างนี้ครับ (สำหรับคนที่ชอบศึกษาการทำงานของระบบในเชิงลึก) เพื่อให้เห็นความสัมพันธ์ของการทำงาน และ การตั้งค่าระหว่าง gpedit.msc และ regedit ให้ชัดเจ็นมากขึ้น ในVDOนี้ จะสมมุติว่า คอมพิวเตอร์ทดสอบของผมยังไม่เคยเปิดใช้งาน gpedit.msc เลยแม้แต่ครั้งเดียว (คล้ายๆกับเปิดซิง อะไรเยี่องนั้น...) https://www.youtube.com/watch?v=Z7m1enLM01U&feature=youtu.be VDO ต้นฉบับมีความคมชัดมากพอ ถ้าคุณดูผ่านNet แล้วภาพเบลอให้ปรับรายละเอียดใหม่  หรือไม่ก็ดาวน์โหลดไปดูแบบ Off line ก็ได้  ความสัมพันธ์ของการตั้งค่าใน gpedit & regedit ที่มากกว่าที่คุณเห็นใน VDO ใน VDO ก็เป็นเพียงส่วนหนึ่งของตัวอย่างของความสัมพันธ์ของการตั้งค่าใน gpedit กับ Regedit ผมทำออกมาอย่างง่ายก็เพื่อไม่ให้คนดูที่มีพื้นฐานในกลุ่มเริ่มต้น ดูแล้วจะได้ไม่งงจนเกินไป แต่ความจริงแล้วมันมีอะไรที่มากกว่านั้น... ให้คุณทดลองใหม่ และผมอยากให้คุณสังเกต reg keys ดังต่อไปนี้ครับ... 1. เปิดเข้าไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion ถ้าสมมุติว่า คุณเปิด gpedit.msc ขึ้นมาเป็นครั้งแรก จากนั้นกด Refresh (F5) ที่ Registry Editor 1 ครั้ง, ใน regedit ก็จะมีคีย์เริ่มต้นตามรูป (ข้างล่าง) 2. ขยาย Sub keys ของ Group Policy, Group Policy Editor และ Group Policy Objects ออกมาให้หมด 3. จากนั้นให้ทดลองตั้งค่าอะไรก็ได้ใน gpedit.mscแล้วกลับไป Refresh ที่ Regedit อีกครั้ง สังเกตดูว่ามีการสร้างข้อมูลใหม่ๆไว้ที่คีย์ไหนบ้าง?