如何利用AD 组策略来屏蔽U 盘
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
AD中禁用USB
windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。
1、打开active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;您看到的文章来自活动目录seo/c1404552/6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略。
以上方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U 盘等设备,那还需要修改注册表来达到目的。
需要修改的注册表键值位于:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStorwindows 2000下,键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub,打开上面注册表位置,我们可以看到start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来加以运行即可。
AD策略禁止USB
一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。
公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。
首先我们在企业网络环境要想实现以上目的,必须要有域环境。
这里肯定有朋友会说,没有域环境也能实现。
是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。
所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。
其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
组策略设置阻止用户访问U盘
组策略设置阻止用户访问本地磁盘
在本机设置,包括管理员的所有用户生效。
1.以管理员登录,关闭写保护
2.在开始运行中输入gpedit.msc
3.嵌入式Windows XP, 选择用户配置-管理模板-Windows Components- Windows Explorer
4.在右边选择Hide these specified drives in my computer, 按下表选择
5.在右边选择Prevent access to drives from my computer策略,按下面选择
6.策略编辑完成后,重启系统生效。
所有用户无法访问C盘和U盘。
7.如果管理员需要访问磁盘,可以把策略禁止。
8.如果是嵌入式Windows7, 则依次展开“计算机配置"一“管理摸板”—“系统”—“可移动存
储访问”,并在右侧的窗格中选择“所有可移动存储类拒绝所有权限”项。
在机器加入域的情况下,在域控制器上进行组策略的编辑。
AD组策略禁用U盘
ad组策略的作用
01
AD组策略可帮助企业实现以 下目标
02
03
04
统一管理:通过定义组策略对 象,企业可以实现对网络中计 算机和用户的统一管理和控制 ,减少管理员的工作量,提高 管理效率。
安全加固:AD组策略可以定 义各种安全设置,如密码策略 、账户策略、防火墙设置等, 以提高网络的安全性。
计算机配置是指定组策略设置,以禁 用或启用U盘的使用。
在计算机配置中,我们需要更改设备策略 来禁用USB存储设备。
我们可以通过在设备管理器中禁用 USB存储设备来禁止用户使用U盘 。
用户配置
用户配置是指定组策略设置,以禁用或启用U盘的使用。 在用户配置中,我们需要更改设备策略来禁用USB存储设备。 我们可以通过在设备管理器中禁用USB存储设备来禁止用户使用U盘。
ad组策略禁用u盘
xx年xx月xx日
目 录
• 介绍 • ad组策略禁用u盘的方法 • ad组策略禁用u盘的优缺点 • ad组策略禁用u盘的适用场景 • ad组策略禁用u盘的实践案例
01
介绍
什么是ad组策略
AD组策略是一种企业级集中管理工具,用于在Active Directory(AD)域中管理和控制用户、计算机和其他网络 资源的策略。
问题描述
由于政务网内涉及大量敏感信息,如果U盘使用不当,可能导致敏感信息泄漏,对政府形 象和公众利益造成损害。
解决方案
通过AD组策略禁用U盘,严格控制员工使用U盘的范围和功能,确保敏感信息的安全性和 保密性。同时,可以防止病毒和恶意软件在政务网内传播,提高网络安全性。
THANKS
AD禁用U盘方法1
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服
务器,再次你要配置域服务器,如下图:
2、找到域控制器(Active Directory),我简称它为AD, 点击管理AD中的用户和计算机,会出现下图:
3、右击Domain Controllers后,点击属性会出现下图:
4、选择“组策略”,点击组策略对象链接,再双击它,会出现下图:
5、照图点击到“注册表”,右击“注册表”后点击“添加项”,照图上的路径添加那两项。
注意添加图上那两项时的前提是你的域服务器注册表(“开始”→“运行”→输入命令“regedit”就会打开注册表)将图上那两项修改了。
我具体说明下它们的修改值。
第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。
第二项如下图:
将其中的Start的值改为“4”,默认值为“3”表示启用。
6、添加完“注册表”的那两项后,关闭所有,在“开始”→“运行”→输入命令“gpupdate”后完成。
7、所有加入域中的计算机的U盘就被禁用了。
另外还有种脚本法也可禁用U盘,我没有采用那种方法,一是它的脚本语言复杂,二是我想用最简单的方法去实现禁止U盘的使用。
上述方法本人在虚拟机中已经实现U盘的禁用。
如何利用AD 组策略来屏蔽U 盘
如何利用AD 组策略来屏蔽U 盘如何利用AD 组策略来屏蔽U 盘等可移动磁盘如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案,捞点外块,根据客户的要求,研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。
一部份来自于互联网,通过分析和整理,总结如下:1、在域控制器上打开Active Directory 用户和计算机,找到您要屏蔽U 盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U 盘”,建好后,双击“屏蔽U 盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,选中Windows 资源管理器,我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提供了7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性,找到"屏蔽U 盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盘符依赖于您安装的操作系统所在的分区,如果安装AD 时在C 盘,默认则就是这个路径,其中hcsad.hc 则是你给这个AD 取得名字,我这里给这个域的顶级域名取为为HC,所以这里就是HCSAD.HC),打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM 目录下的system.adm 文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive 的作用是阻止用户访问驱动器。
AD组策略禁用U盘
AD组策略禁用U盘如果需要禁用U盘的使用,可以通过AD组策略来实现。
下面是详细的步骤,以及一些注意事项:1.创建一个新的组策略对象(GPO):- 打开Group Policy Management Console(GPMC)- 在左侧的树形目录中选择“Group Policy Objects”,右键单击,选择“New”-输入一个描述性的名称,然后点击“OK”-在GPMC中,找到创建的新GPO- 右键单击该GPO,然后选择“Edit”选项3.配置组策略设置:-展开“系统”子节点,然后找到“可移动存储访问”-在右侧的列表中,找到“禁用USB存储设备”,双击打开设置窗口-在设置窗口中,选择“已启用”,然后点击“确定”4.更新组策略:-在GPMC中,找到域对象- 右键单击域对象,然后选择“Group Policy Update...”选项-在弹出的对话框中,选择需要更新的对象,然后点击“OK”5.验证组策略设置:-在域内的计算机上,以域管理员身份登录- 打开命令提示符,输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘,检查是否能够正常访问需要注意的是,禁用U盘使用是一种较为严格的控制措施,可能会对用户的正常操作造成一定的影响。
在实施之前,需要与用户进行充分的沟通和培训,并根据实际情况进行调整和适配。
此外,应注意以下几点:1.仅禁用U盘可能无法完全限制用户从其他途径传输文件(例如通过网络或其他外部存储设备)。
因此,在实施组策略之前,应对其他可能的数据传输途径进行评估和控制。
2.组策略设置将适用于所有用户和计算机。
如果只想限制特定用户或计算机的U盘使用,可以将GPO应用于相应的组织单元(OU)或安全组。
3.在一些情况下,可能需要允许一些特定用户或计算机使用U盘。
可以针对这些特殊情况创建不同的GPO,或者通过安全组的方式进行特权控制。
总结来说,通过AD组策略禁用U盘的使用,可以有效地增强计算机系统的安全性。
AD组策略禁用U盘
“自动播放”。 • 在右侧窗格中,双击“关闭自动播放”。 • 在“关闭自动播放属性”对话框中,选择“已启用”,然后在“选项”下选择“所有驱动器”,然后单击
“确定”。 • 重新启动计算机以使更改生效。
2023
《AD组策略禁用U盘》
目录
• 引言 • AD组策略禁用U盘的方法 • 禁用U盘的影响及注意事项 • 案例分析与应用 • 总结与展望
01
引言
背景介绍
随着信息技术的不断发展,企业数据安全问题日益受到重视 。U盘作为一种常用的数据传输工具,也可能成为企业数据泄 露的潜在风险。为了保护企业数据安全,需要采取措施禁用 或限制使用U盘。
05
总结与展望
AD组策略禁用U盘的优势
提高安全性
通过禁用U盘,可以减少病毒、恶意软件和未经授权的数据传输的风险,提高整个网络的 安全性。
控制数据访问
通过AD组策略,可以精确地控制哪些用户或组可以访问特定的文件和文件夹,从而更好 地保护敏感数据。
减少不必要的麻烦
禁用U盘可以避免因U盘使用不当而导致的数据丢失、病毒感染等问题,减少了管理员的 维护工作量。
使用第三方软件阻止U盘使用
安装完成后,打开软件并找到“禁止USB存 储设备”、“禁止USB随身设备”、“禁止
USB驱动程序”等功能。 保存设置并重新启动计算机以使更改生效。
下载并安装第三方软件,例如“大势至USB 监控系统”。
根据需要选择相应的选项,并设置禁止的设 备或驱动程序。
03
禁用U盘的影响及注意事项
组策略通过将管理和配置任务集中到一个中央位置,简化 了网络管理员的工作,并提高了管理效率。
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中,处于保护电脑文件安全和商业机密的需要,我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用,防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。
那么,具体如何管理电脑USB接口、禁用U盘呢?笔者以为,可以通过以下方式实现,一种是通过注册表和组策略的方式来实现(如果你觉得这种方法复杂,可以直接看文章底部第二种方法),另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现,相对更为简单:一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。
注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB 设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。
找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。
如下图确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
AD组策略禁用U盘
检查U盘是否出现故障
如果U盘出现故障,可能会导致无法读取或 写入。请尝试使用其他U盘或修复工具检查
并修复U盘。
05
ad组策略禁用u盘的优势和局限
优势
要点一
保护计算机安全
通过禁用U盘,可以减少计算机受到 病毒、木马等恶意软件的攻击。
要点二
防止数据泄露
禁止使用U盘可以减少公司敏感数据 外泄的机会,保护企业的商业机密和 客户信息。
禁用U盘可以防止员工随意拷贝公司内部数据,降低数据泄露的风险。
防止病毒传播
禁用U盘可以避免外部U盘中的病毒在企业内部传播,提高系统安全性。
简化管理
禁用U盘可以减少IT管理员的管理难度,不需要对每个员工的U盘进行跟踪和管理。
禁用u盘的利弊分析
利
可以控制数据流动,降低数据泄露风险,提高系统安全性,简化管理难度。
在右侧窗格中,双击“阻止使用与安装设备 安装相关的策略选项”选项。
通过注册表禁用u盘
按下Win+R组合键打开 “运行”窗口,输入 regedit并回车。
在右侧窗格中,右键单 击空白处,选择“新建 ”-“DWORD(32-位)值 (D)”。
将新创建的DWORD值 重命名为 NoDriveTypeAutoRun ,然后右键单击该值, 选择“修改”选项。
它通过在服务器上设置相应的安全策略,实现对整个网络中 的计算机进行统一的安全管理和控制。
ad组策略的作用
集中式安全管理
AD组策略可以实现对整个网络中的计算 机进行集中式安全管理,包括对用户账户 、密码策略、访问权限、安全审计等方面 的管理和控制。
VS
灵活的安全策略设置
通过AD组策略,可以灵活地设置各种安 全策略,包括软件安装、系统配置、网络 安全等方面的策略,以满足企业的安全需 求。
用AD组策略-----禁止屏蔽USB存储设备
用AD组策略-----禁止屏蔽USB 存储设备用AD组策略-----彻低禁止USB存储设备两种方法2008-10-13更新为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定;4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;5、出现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去,如下图;7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限,发现里面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的usb.adm文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----管理模板中,3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.为了方便大家阅读重新更新了一下图片.正确的使用方法是在要设置的驱动器里选择”Disabled”或”Enabled”例1:禁用软驱;“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。
AD组策略禁用U盘
AD组策略是一种基于Active Directory(活动目录)的组策略服务,它用于管理和控制组织内部的IT环境。它允许管理员通过组策略对象(GPO)来集中管理和配置网络中的计算机和用户。AD组策略是一种非常强大的工具,可以用于实现各种策略,包括禁用USB存储设备的使用。
AD组策略的定义
AD组策略的功能和作用
背景介绍
03
提高工作效率
禁止U盘使用可以避免员工在使用U盘时浪费时间和精力,提高工作效率。
目的和意义
01
减少病毒和恶意软件传播的风险
通过禁用U盘,可以减少病毒和恶意软件通过U盘传播的机会。
02
保护企业数据的安全
禁用U盘可以防止员工随意拷贝企业数据,从而降低数据泄露的风险。
02
AD组策略介绍
Chapter
ad组策略禁用u盘
2023-11-06
contents
目录
引言AD组策略介绍禁用U盘的必要性AD组策略禁用U盘的方法禁用U盘的注意事项结论
01
引言
Chapter
在企业环境中,通常会通过各种方式限制员工对U盘的使用,以防止潜在的安全风险和数据泄露。
在Windows操作系统中,通过Active Directory(AD)组策略可以实现对U盘的禁用。
AD组策略的优点
易于管理:管理员可以在中央位置统一管理和监控AD组策略的应用情况。
保护数据:可以防止未经授权的数据传输和泄露。
安全性高:可以避免U盘带来的病毒和恶意软件攻击风险。
使用AD组策略禁用U盘有以下优点
方便快捷:通过AD组策略禁用U盘可以快速、简便地实现组织内部计算机的统一管理。
03
禁用U盘的必要性
组策略是Active Directory(AD)中的一种功能,它允许管理员定义规则和策略,以便在组织中管理和控制计算机和用户的行为。
用域控来禁止公司局域网的U盘
用域控来禁止公司局域网的U盘、禁止移动硬盘等USB存储设备制作背景:在公司局域网中,有时候处于网络安全的考虑,需要禁止电脑USB接口使用,尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用,而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法制作方法及工具:在Windows server 2003 sp2下建立一个Active Directory域控制器,通过域控制器来控制域里的所有电脑的USB接口使用,在域控下建立一个组织单元(OU),给OU一个组策略控制,在组策略里控制USB接口的使用,需要一个usb.adm文件来实现,需将局域网内的所有用户都加入所建的域。
关键词:服务器,AD,OU,USB使用需求及目的:公司局域网中,对于网络安全的考虑,信息安全的维护,以及病毒的防止,所以采用AD来实现禁止USB的使用。
来实现内网安全,防信息泄露及防病毒入侵。
内容及实现方法:1 域控制器的安装:1.1安装条件:1.1.1 域的定义:在网络环境中,有很多台计算机,每台计算机里面都有一定的资源,为了便于管理这些分散的资源所以要使用域环境进行集中的管理。
那么什么是域?域是一种有多台计算机上组成的逻辑环境,所有域中的重要资源都保存在域控的数据库中,并且进行集中管理。
1.1.2 采用windows server 2003域的特点:windows 2003域采用活动目录(Active Directory,AD)技术,集中管理资源,便捷的网络访问,良好的可扩展性是他最大的特点。
安装域实际上就是安装活动目录(AD),他有6点重要的安装条件。
(1)必须以管理员的身份安装(2)windows 2003版本的系统,除web版之外(3)硬盘中至少有一个分区为NTFS分区(4)配置好IP地址(5)网络中有相应的DNS服务器(6)有足够的可用空间1.1.3 安装前需配好IP地址及DNS服务器:如何配置好IP地址和网络中没有DNS服务器的支持:由于是要安装域控制器。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻底禁止USB存储设备在如今信息化时代,数据的安全性越来越受到重视。
越来越多的企业、机构和组织都意识到,内部数据的泄漏可能会给他们带来巨大的损失和影响。
因此,为了确保信息的安全性,限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。
Active Directory(AD)组策略是微软Windows操作系统中重要的安全管理工具,它通过集中管理和配置网络中的用户和计算机,提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。
本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用,从而确保企业的信息安全。
为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性,但也带来了潜在的安全风险。
一旦员工可以随意使用USB存储设备,他们就可以轻松地将敏感数据复制到移动存储设备中,这可能导致数据泄漏、知识产权侵权等问题。
此外,病毒和恶意软件也可以通过感染USB存储设备来传播。
一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机,整个网络都可能受到威胁。
因此,禁止USB存储设备的使用是确保企业数据安全的重要一环。
使用AD组策略禁止USB存储设备步骤一:创建组策略对象1.打开组策略管理器,选择要应用AD组策略的组织单位或域。
2.右键单击选择“新建GPO”(组策略对象)。
3.输入适当的名称,例如“禁止USB存储设备”。
步骤二:编辑组策略设置1.在组策略管理器中,右键单击新创建的组策略对象,并选择“编辑”。
2.在组策略管理编辑器中,展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。
3.找到并双击“可移动存储访问”策略。
步骤三:配置“可移动存储访问”策略1.在“可移动存储访问”策略中,选择“已禁用”。
2.单击“确定”保存更改。
步骤四:将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。
如何在域控中禁用客户端U盘
如何在域控中禁用客户端U盘
如何在AD域控中禁用客户端U盘呢?在百度中一搜,答案多得很,可照着他们的步骤,却屡次失败,经过翻阅许多资料,和自己许多次实验,终于成功呢,现分享如下:
整个过程包括三个步骤:
1、新建OU,并将AD中computer目录下的计算机移到此OU下(关键)。
2、在此OU新建组策略,编辑,并在“计算机配置―――》系统文件中”添加两个u盘驱
动文件,且将这两个文件的权限设置为domain user 拒绝所有
3、在刚才新建的组策略上,编辑,并在“计算机配置―――》登陆――》启动中添加一个
U盘启动文件批处理
现将详细步骤如下:
第一步
1、新建OU,名为disable u disk
2、将AD中的computer目录下的所有计算机移至OU下,如图所示
第二步
1、在此OU上新建组策略名为disk u disk(名可以反应出组策略)
2、右击OU――》属性――》组策略――》编辑
3、打开计算机配置―――》系统文件――》右击添加文件系统2个
(%systemroot%\inf\usbstor.inf)(%systemroot%\inf\usbstor.pnf)
4、为此两个文件设置权限即domain user为拒绝所有,
5、如图所示:
第三步
1、在此组策略中,打开计算机配置――》windows设置――》脚本―――》启动,添
加脚本,脚本内容如图
2、最后用gpupdate /force刷新
如果大家有疑问,可QQ我(1136893285)。
域控AD下禁用客户端USB存储器而开放其他USB设备
只禁用USB存储器而开放其他USB设备.确定数字与盘符的关系例如:我需要隐藏及禁用的是除了E、P盘之外的磁盘分区,按照文章所述,需要隐藏的驱动器的值设为1,不隐藏的驱动器的值为0,那么数字与盘符的对应关系如下表:接下来将11111111110111111111101111字符串转换为十进制数字,这个用Windows自带的计算器就可以办到,转换后的十进制数字为:67076079。
2.修改system.adm文件搜索域控制器C盘下的system.adm文件,一下搜出来好几个,且分布在不同的文件夹,大小及修改日期都一样。
随便复制了其中1个文件并用记事本打开,查找“Nodrives”,在ITEMLIST段各增加一行NAME !!ABGHIJKLMNOPQRSTUVWXYZOnly VALUE NUMERIC 67108803NAME !!ABGHIJKLMNOPQRSTUVWXYZOnly VALUE NUMERIC 67108803如图:然后继续查找“Strings”,添加一行 ABGHIJKLMNOPQRSTUVWXYZOnly="除C、D、E、F外其他驱动器"修改后进行保存并覆盖掉原来的文件。
3. 编辑域用户的组策略重新启动域控制器,打开“Active Directory用户和计算机”编辑域用户的组策略,在“用户配置”→“管理模板”→Windows组件→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项,选择该项并确定后,找了台客户机,开放其USB口,登录到域后,插入闪存,右下角系统托盘区显示了闪存标志,但是在我的电脑里却显示不出闪存盘符,在地址栏中输入闪存盘符也提示不允许访问,此时使用USB鼠标等设备却没有影响。
成功地达到了禁用USB储存器而不影响USB设备的使用。
最后,为保险起见,在组策略中禁用了自动播放出处:/vipkx/blog/item/58283051d750fd14367abeee.html。
组策略禁止USB最好的方法
组策略禁止U S B最好的方法LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】组策略禁止USB最好的方法:把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!Host Controller Miniport计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的和两个文件设置其用户的控制权限。
Step1:右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。
Step2:在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后单击“确定”。
这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的“Windows NT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。
2. 计算机已安装了USB设备这种情况可以通过修改注册表来实现。
方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制数值“4”。
该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。
二、Windows NT以上系统通用方法运行注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消System的所有控制权。
如果要分配控制权,只需要对相应用户设置控制权限就可以了。
小提示:Windows 2000中要设置注册表的控制权限,需用注册表编辑器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何利用AD 组策略来屏蔽U 盘
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
总结如下:
1、在域控制器上打开Active Directory 用户和计算机,找到您要屏蔽U 盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建
一个组策略,命名并保存为“屏蔽U 盘”,建好后,双击“屏蔽U 盘”(必需先打开一次,否
则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定
位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,选中Windows 资源管理器,我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,
双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提
供了7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满
足我们的要求(因为U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三
四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性,找到"屏蔽U 盘"的组策略的唯一的名称,此名称为一长串数字和字
母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盘
符依赖于您安装的操作系统所在的分区,如果安装AD 时在C 盘,默认则就是这个
路径,其中hcsad.hc 则是你给这个AD 取得名字,我这里给这个域的顶级域名
取为为HC,所以这里就是HCSAD.HC),打开
{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM 目录下的
system.adm 文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记
事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动
器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符
或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二
个!!NoViewOnDrive 的作用是阻止用户访问驱动器。
可以阻止上述情况的出现,但是仅仅
用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可
以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7 个NAME 项,后面的VALUE NUMERIC
按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on 的意思说值为26 位
的二进制,最多可指定26 个驱动器盘符,而1 bit per drive 则代表1 位代表1 个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,
以此类推。
我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,
您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所
有的USB 接口数(防止有人同时插入几个U 盘,呵呵,但是我建议,在做系统规划时就要
注意这个问题:就是固定给所有的电脑分配几个盘,如4 个,即:CDEF,这样我们就可
以利用禁掉除CDEF 所有的盘,这样就可以保证万无一失啦,哈哈…)。
那么我们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,
在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,利用查找命令,找到以下字段:在ABConly="仅限制驱动器A、B 和C" ,
这一段文字,下面插入一行数据,ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I",等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在策略的下拉框中。
保
存后,打开“屏蔽U 盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问
驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设
置),保存后,包含于该组织单位下的用户登录时,便会发现他的U 盘插上后,系统虽能识别并
正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中
输入盘符。
最后,附上从A 到Z 对应的每一个数字,方便大家理解:
A B C D E F
1 2 4 8 16 32
G H I J K L
64 128 256 512 1024 2048
M N O P Q R
4096 8192 16384 32768 65536 131072
S T U V W X
262144 524288 1048576 2097152 4194304 8388608
Y Z
16777216 33554432
根据上表中的数字,大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数,如想禁用
所有的盘符,即从A 到Z,则以上的数字相加等于67108863,以上面找到的那两段代码,其
中就有一项禁用所有盘符,后面的数字也正好是这个。
举例:比如你如果想禁止除CDEF 这四个盘以外的所有盘,则是按上表中的数字去掉CDEF 中
对应的数字,四个盘对应的数字正好是60,因此,将这个总数:67108863 减去60=67108803。
然后在上面插入的那段字符里做相应的调整,你也可以根据喜好,创建多个组合,如禁止CDEFGHIJK,或是禁止XYZ 等等。
但是要注意此段代码:NAME !!ABCFGHIOnly VALUE NUMERIC 487(比如你想禁用从除CDEF 之外的所有盘符,是要在这段代码的!!后面写成
这样:ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……,后面的NUMERIC 487 则根据你
想要禁用的盘符的数值(见上表)加起来的和,总而言之一句话,你想要禁用的盘符都要在这段
代码里面。
至此,全部设置完毕,让您的客户段使用此OU 下的用户登录看看吧!。