Afvis skriveadgang til flytbare drev, der ikke er beskyttet af BitLocker

Sådan nægter du skriveadgang til flytbare drev, der ikke er beskyttet af BitLocker i Windows 10

Som standard i Windows 10 kan hver bruger skrive filer og mapper til alle flytbare lagerenheder, de forbinder til computeren. Brugeren kan også slette eller ændre enhver fil, der er gemt på et flytbart drev. Windows 10 indeholder en mulighed for at deaktivere skriveadgang til alle flytbare diske, der ikke er beskyttet af BitLocker, for alle brugere.

BitLocker blev først introduceret i Windows Vista og eksisterer stadig i Windows 10. Det blev implementeret udelukkende til Windows og har ingen officiel support i alternative operativsystemer. BitLocker kan bruge din pc's Trusted Platform Module (TPM) til at gemme dens krypteringsnøglehemmeligheder. I moderne versioner af Windows, såsom Windows 8.1 og Windows 10, understøtter BitLocker hardware-accelereret kryptering, hvis visse krav er opfyldt (drevet skal understøtte det, Secure Boot skal være tændt og mange andre krav). Uden hardwarekryptering skifter BitLocker til softwarebaseret kryptering, så der er et dyk i dit drevs ydeevne. BitLocker i Windows 10 understøtter en 

antal krypteringsmetoder, og understøtter ændring af en chifferstyrke.

Bemærk: I Windows 10 er BitLocker Drive Encryption kun tilgængelig i Pro, Enterprise og Education udgaver. BitLocker kan kryptere systemdrevet (drevet Windows er installeret på) og interne harddiske. Det BitLocker To Go funktion gør det muligt at beskytte filer gemt på en flytbare drev, såsom et USB-flashdrev.

Windows 10 indeholder en særlig gruppepolitik, der, når den er aktiveret, nægter skriveadgang til flytbare diske beskyttet af BitLocker. Alle flytbare datadrev, der ikke er BitLocker-beskyttede, vil være tilgængelige som skrivebeskyttede. Hvis et drev er beskyttet af BitLocker, vil det blive monteret med læse- og skriveadgang.

Hvis du har brug for at anvende en begrænsning og forhindre brugere i at have skriveadgang til flytbare drev, der ikke er beskyttet af BitLocker, Windows 10 tilbyder dig mindst to metoder, en gruppepolitikindstilling og en gruppepolitikregistrering tweak. Den første metode kan bruges i udgaver af Windows 10, der følger med Local Group Policy Editor-appen. Hvis du kører Windows 10 Pro, Enterprise eller Education udgave, så er appen Local Group Policy Editor tilgængelig i operativsystemet uden for kassen. Windows 10 Home-brugere kan anvende en Registry tweak. Lad os gennemgå disse metoder.

Afvis skriveadgang til flytbare drev, der ikke er beskyttet af BitLocker,

1. Åbn den lokale gruppepolitik-editor app, eller start den for alle brugere undtagen administrator, eller for en bestemt bruger.
2. Naviger til Computerkonfiguration\Administrative skabeloner\Windows Components\BitLocker Drive Encryption\Flytbare datadrev til venstre.
3. Find politikindstillingen til højre Afvis skriveadgang til flytbare drev, der ikke er beskyttet af BitLocker.
4. Dobbeltklik på den og indstil politikken til Aktiveret.
5. Hvis Afvis skriveadgang til enheder, der er konfigureret i en anden organisation indstillingen er aktiveret, vil kun drev med identifikationsfelter, der matcher computerens identifikationsfelter, være tilgængelige til skrivning.

Du er færdig. Hvis nogen forsøger at skrive på et flytbart drev, der ikke er beskyttet af BitLocker, bliver han bedt om at kryptere det først. Ellers vil operationen blive aflyst.

Tip: Se Sådan nulstiller du alle lokale gruppepolitikindstillinger på én gang i Windows 10.

Lad os nu se, hvordan det samme kan gøres med en Registry tweak.

Deaktiver Skriveadgang til flytbare diske wmed en Registry Tweak

1. Åben Registreringseditor.
2. Gå til følgende registreringsdatabasenøgle: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE. Tip: Se hvordan man hopper til den ønskede registreringsnøgle med et enkelt klik. Hvis du ikke har sådan en nøgle, så skal du bare oprette den.
3. Her skal du oprette en ny 32-bit DWORD-værdi RDVDenyWriteAccess. Bemærk: Også selvom du er kører 64-bit Windows, skal du stadig bruge en 32-bit DWORD som værditype.
4. Indstil den til 1 for at deaktivere skriveadgang.
5. Hvis du ønsker at aktivere Afvis skriveadgang til enheder, der er konfigureret i en anden organisation mulighed skal du navigere til følgende tast: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.
6. Her skal du oprette en ny 32-bit DWORD-værdi RDVDenyCrossOrg, og indstil den til 1.
7. Slet begge værdier for at gendanne standarder.
8. For at få ændringerne udført af registreringsdatabasen tweak til at træde i kraft, genstart Windows 10.

Interesserede brugere kan downloade registreringsdatabasen, der er klar til brug:

Download registreringsdatabasen filer

Fortryd tweak er inkluderet.

Tip: Det kan du prøv at aktivere GpEdit.msc i Windows 10 Home.