域中禁用USB等移動硬盤

1、2010-10-22 17:25我可以提供禁用usb 的注冊表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右邊有一個叫 start 的鍵值雙擊他將值改成4 usb 就禁用了下次要恢復只需將4 改成 3 就好了把下段斜杠內(nèi)的內(nèi)容拷到文本文檔中，保存成.ADM文件，然后打開你要做限制的OU勺組策略，展開“用戶配置, 管理模板” , 右擊管理模板, 添加 / 刪除模板 , 然后把剛才保存的ADMfc件導入！現(xiàn)在在這個OUF的所有用戶將無法使用US的儲設備！計算機未安裝US股備這種情況可以采取將SystemRoot%InfF

2、的和兩個文件設置其用戶的控制權(quán)限。Steph右擊這兩個文件，選擇“屬性-安全-高級”，在“權(quán)限”頁面中取消“從父項繼承那些可以應用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復選框。Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復選框，然后單擊“確定”。這種通過分配權(quán)限的方法，可以指定哪些用戶可以使用 US艱備，哪些用戶不可以使用US殷備，和下面的“Windows NT以上系統(tǒng)通用方法” 一樣，靈活性較大，所以建議采用該方法限制用戶安裝US殷備。2.計算機已安裝了 US股備這種情況可以通過修改注冊表來實現(xiàn)。方法是修改注冊表中HKEY_LOCAL_MAC

3、HINESYSTEMCurrentControlSetServicesUSBSTORStart ” 值，改為十六位進制數(shù)值“4”。該方法修改后，當用戶將US的儲設備連接到計算機時，該設備將無法運行。二、Windows N©上系統(tǒng)通用方法運行注冊表編輯器，找到 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消System的所有控制權(quán)。如果要分配控制權(quán)，只需要對相應用戶設置控制權(quán)限就可以了。小提示：Windows 2000中要設置注冊表的控制權(quán)限，需用注冊表編輯器。三、禁止和管理域中多臺計算機US艱備的使用方法很簡單，就是在

4、域控制器上通過組策略限制用戶對“ Windows NT以上系統(tǒng)通用方法”中注冊表鍵的控制權(quán)即可。如果是禁用光驅(qū)，軟驅(qū)，US股備，第三方軟件GFI LANGuard Portable Storage 非常不錯，它可以在域環(huán)境中使用。如果使用組策略禁用USBK：備,可以按照以下辦法：禁止移動存儲設務的模板 胡義老師原創(chuàng) 將下列內(nèi)容保存為，在組策略的添加 / 刪除模板中導入進行設置。CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME "SoftwarePoliciesMicrosoftMMC-d6d6-11d0-8353

5、-00a0c90640bf#if version >= 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME "SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef- 0020af6b0b7a"#if version >=

6、4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run" valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesuhcd"EXPLAIN !STARTUPTYPE_HELPPART !STAR

7、TUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbuhci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOL

8、ICY !USB_EHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbehci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME "SYSTEMCurrentControlSetServicesusbhub"EXPLAIN !STARTUPTYPE_HELP

9、PART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME "SYSTEMCurrentControlSetServicescdrom"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLIC

10、Y !Floppy_DiskKEYNAME "SYSTEMCurrentControlSetServicesflpydisk"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc型定義策略"MMC_DeviceManagerX段備管理器擴展插件"MMC_DeviceManage假備管理器"SUPPO

11、RTED_Win2k="'使用 Microsoft Windows 2000"MMC_Restrict_Explain="Disable 禁用設備管理器擴展插件； Enable 啟用設備管理器擴展插件"DEVMGR_Restrict_Explain="Disable 禁用設備管理器； Enable 啟用設備管理器 "USB_UHCD_PARAMS=®S在控制器驅(qū)動器"STARTUPTYPE_HEL®="類型，3-手動，4-禁用”STARTUPTYPOt；類型"USB_EHCI_

12、PARAMS="Microsoft USB Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="W"Floppy_Disk="軟驅(qū)"者在一家區(qū)級法院網(wǎng)絡中心工作，為確保局域網(wǎng)內(nèi)的計算機安全，省高院要求全省聯(lián)網(wǎng)的法院客戶端的

13、機器光軟驅(qū)都要拆除，而且禁止在局域網(wǎng)內(nèi)使用U 盤。我們知道，現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都是 Windows系列，對于Windows 98說，做到這些并不又t,因為U盤第一次使用時需要安裝相應的驅(qū)動程序，拆除了光、軟驅(qū)后，驅(qū)動無法安裝，U盤也就無法使用，但對于 Windows 200。Windows X瞇說，情況就不同了，用過U盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動，U盤即插即用。對于大多數(shù)用戶來說，這的確很方便，但對于單位有要求的網(wǎng)管來說，就頭疼了，現(xiàn)在新買的機器不能總是安裝Windows 98 吧，畢竟Windows 98就要“下崗”了，但面對U盤，卻沒有好的辦法，也許您會想到可以在

14、BIOS設置里屏蔽US端口，但這是“寧可錯殺一千，不能放過一個”的辦法，如果您的單位客戶端沒有使用 USB接口的鍵盤、鼠標、打印機等設備，那您完全可以采用此方法，不過您以后采購設備的時候要注意了，最好不要采購US艱備，除非咱們網(wǎng)管自己用，哈哈！那有沒有簡單易行的辦法呢？經(jīng)過一段時間摸索和試驗，筆者終于找到了使用修改組策略模板的方法實現(xiàn)此目標。實現(xiàn)條件當然這是有前提條件的，首先，您的局域網(wǎng)必須以域為架構(gòu)（我們知道Windows2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機 器的策略，而使用域時，只要用戶登錄到域，就會自動應用策略，在服務器端修改一次，就可

15、以在全域?qū)崿F(xiàn)管理目標，如果不采用域模式，您需要每臺都要設置組策略，失去了效率，也就沒有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網(wǎng)絡，且不能被賦予客戶端本機管理員的權(quán)限?？蛻舳瞬籴芟到y(tǒng)推薦使用 Windows 2000和Windows XP雖然Windows 98也能在域環(huán)境下應用組策略，但Windows 2000 Server 組策略對 Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會對您以后的網(wǎng)絡管理帶來不便。特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務器端安裝Windows 2000 Server 或 Windows Ser

16、ver 2003 。只要您的網(wǎng)絡滿足以上條件，我們就可以利用組策略屏蔽U盤，而對于其他US殷備卻無任何影響，筆者在單位實施1年 多來，效果很好，現(xiàn)將詳細方法介紹出來，希望能給眾多網(wǎng)管們提供一點借鑒?；驹斫M策略實現(xiàn)的原理實際上就是修改注冊表，當域用戶登錄到域上時，系統(tǒng)會對指定的客戶端實施組策略，也即修改客戶端的注冊表，當我們新建了一個組策略時，系統(tǒng)實際上是拷貝了三個模板文件，在您修改組策略時，實際上是在修改這些模板的副本，然后把這些策略應用到指定的客戶端中去，然而Windows 2000 Server 系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U 盤的策略，但我們可以手動修改系統(tǒng)的模板文件，

17、使組策略模板具備屏蔽U 盤的策略，實際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實現(xiàn)。實現(xiàn)方法1、在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位（Organizational Unit 簡稱OU ,右鍵查看此組織單位的屬性，點擊組策略 頁面，新建一個組策略，命名并保存為“屏蔽 U盤”，建好后，雙擊“屏蔽U盤” （必需先打開一次，否則系統(tǒng)不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資 源管理器”，選中Windows資源管理器，在右邊白窗口中會顯

18、示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖 2 所示，您會發(fā)現(xiàn)系統(tǒng)提供了 7 種限制訪問驅(qū)動器號的組合，其中也包括了“不限制驅(qū)動器”，顯然，這些組合不能滿足我們的要求（因為U 盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個分區(qū)）。2、在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到“屏蔽U盤”的組策 略的唯一的名稱，此名稱為一長串數(shù)字和字母組成，本例中為 82F

19、86A8E-B345-4DDC- A304-E448F6E900A9記下此字符串。3、打開系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9洛的文件 夾，此文件夾位于“ C:下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中是 您的 Windows 2000的域名，打開82F86A8E-B345-4DDC-A304-E448F6E900A9錄，找 到ADW錄下的文件，此文件是我們在實施組策略的模板文件，是一個純文本文件， 可用記事本打開，找到下面這兩段代碼：* POLICY !NoDrivesPART !NoDrivesDropdown DROPDOWNL

20、IST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyVALUE NUMERIC 4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0EN

21、D ITEMLISTEND PARTEND POLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyVALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE N

22、UMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY說明：這是兩個策略，第一個!NoDrive ，它的作用是在我的電腦中不顯示指定的驅(qū)動器名，驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動器；第二個!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動器?？梢宰柚股鲜銮闆r的出現(xiàn)，但是

23、僅僅用第二個的話，用戶可以看見該驅(qū)動器的盤符，但不能訪問，一般情況，兩個同時使用，可以達到比較理想的效果。仔細觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個NAME：,正好和我們圖2下拉框中的對應，后面的 VALUE NUMER4CK low 26 bits on (1 bit per drive) 的規(guī)則取值， low 26 bits on 的意思說值為 26位的二進制，最多可指定26個驅(qū)動器盤符，而 1 bit per drive 則代表 1 位代表 1 個驅(qū)動器，舉例說A=1， B=2， C=4， D=8，E=16, F=32, G=64 H=128 I=256,由低到高，以此類推。我們可根據(jù)我

24、們的需要修改此代碼段，假如我們要隱藏A、 B、 C、 F、 G、 H、 I ，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB8口數(shù)(防止有人同時插入幾個U盤，呵呵！)。那么我們計算出VALUE NUMERW值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =4，在兩個策略中的87NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487隨后，移到文件的末尾，在ABConly="僅限制驅(qū)動器A、B和C"下面插入一行數(shù)據(jù)，ABCFGHIOnly收限制驅(qū)動器A B C F、G H、I"等于號后引號內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會顯示在如圖 2 的下拉框中。保存后，打開“屏蔽U盤”策略，定位“用戶配置-管理模板-Windows組件-Windows資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動器”或“防止從我的電腦訪問驅(qū)動器”其中的一個，點擊“啟用”，再點擊下拉框，哈哈