域组策略下禁用USB和组策略
在域管理中用策略禁止U盘的方法
在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题,有的人是在主板上禁止USB,有的是物理破环USB接口,有的是用软件,如果公司电脑数量上了二百台,呵呵,这还真是件麻烦事,那么作为有域控制的局域网,通过组策略轻松的来解决这个问题呢??经过摸索,得出控制U盘主要是:C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的,U盘连接电脑后,需要加载这两个程序,如果是用权限来控制那就更麻烦了。
编辑一个批处理文件,然后在域中建一个策略设置开机启动,就ok了。
批处理文件:用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是:ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是:echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略,设置开机启动,那样你就可以轻松解决域中U盘使用问题了。
组策略禁用USB
禁止访问USB存储设备
通过组策略设置,可以禁止用户访问和连接USB存储设备, 如U盘、移动硬盘等。
限制USB存储设备的使用
可以设置只允许特定的USB存储设备连接到计算机,或者限 制USB存储设备的读写权限。
禁用USB输入设备
禁止使用USB鼠标和键盘
通过组策略设置,可以禁止用户使用USB鼠标和键盘等输入设备。
限制其他USB输入设备的使用
可以设置只允许特定的USB输入设备连接到计算机,或者限制这些设备的输入 权限。
禁用USB通信设备
禁止使用USB通信设备
通过组策略设置,可以禁止用户使用USB通信设备,如蓝牙适配器、无线网卡等 。
限制其他USB通信设备的使用
可以设置只允许特定的USB通信设备连接到计算机,或者限制这些设备的通信权 限。
创建策略规则
定义规则
设置规则操作
保存并应用策略
右击“软件限制策略”,选 择“创建新的策略规则”。
在规则向导中,选择“程序 ”选项卡,然后单击“下一 步”。在“程序源”下,单 击“浏览”按钮,选择要禁
止的USB存储设备。
在“规则操作”下,选择“ 拒绝”操作。
完成规则设置后,单击“完 成”保存策略。然后,在组 策略编辑器中,应用该策略 到相应的计算机或用户组。
组策略禁用USB
汇报人: 日期:
目录
• 引言 • 组策略概述 • 禁用USB设备策略 • 实施步骤和注意事项 • 常见问题和解决方案 • 总结与展望
01
引言
背景介绍
计算机安全
随着计算机和互联网的普及,计算机 安全问题日益突出。USB设备的使用 也带来了一定的安全风险,如数据泄 露、恶意软件传播等。
提高工作效率
组策略 禁用域用户移动存储U盘
背景:为了避免病毒通过U盘传入内网,为了工作单位的网络安全,通过在域控端创建组策略的形式,实现灵活控制域用户端U盘使用(灵活的原因在于不能禁用所有人的U盘使用权限,只能禁止一部分)。
首先在域控服务器端,打开组策略管理(windows+R gpmc.msc)
灵活选择想要控制的组织单位,右键——在这个域中创建GPO并在此处链接,新建一个GPO,名称为U盘禁用。
在新建的GPO 上右键编辑,依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类:拒绝所有权限进行配置。
选择已启用
点击应用,点击确定。
最后一步:在域控上更新组策略:windows + R 键入gpupdate 或者gpupdate / force ,客户机重启电脑,U盘禁用生效。
至此完成组策略编辑,禁用U盘。
注意事项:1、在新建GPO的组织单位下,必须确保有计算机,域用户登录此类计算机无法访问U盘。
受限制的是计算机,不是用户。
(这里要分清楚)
2、如果还想要控制其他组织单位的计算机,不再需要新建GPO 连接,直接在需要控制的组织单位下,右键,连接现有GPO 选择刚刚创建的GPO名称后,更新组策略即可。
————————————————
版权声明:本文为CSDN博主「站的高,看得远」的原创文章,遵循CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https:///MS_Tony_Shu/article/details/94430234。
利用域策略禁用USB方法
利用域策略禁用USB方法A.在域相关OU里,策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。
屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B.在域里相关OU里,所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。
对域策略生效1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略Settings.各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
域组策略中禁用U盘的使用方法
域组策略中禁用U盘的使用方法
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服务器,再次你要配置域服务器,如下图:
2、找到域控制器(Active Directory),我简称它为AD, 点击管理AD中的用户和计算机,会出现下图:
3、右击Domain Controllers后,点击属性会出现下图:
4、选择“组策略”,点击组策略对象链接,再双击它,会出现下图:
5、照图点击到“注册表”,右击“注册表”后点击“添加项”,照图上的路径添加那两项。
注意添加图上那两项时的前提是你的域服务器注册表(“开始”→“运行”→输入命令“regedit”就会打开注册表)将图上那两项修改了。
我具体说明下它们的修改值。
第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。
第二项如下图:
将其中的Start的值改为“4”,默认值为“3”表示启用。
6、添加完“注册表”的那两项后,关闭所有,在“开始”→“运行”→输入命令“gpupdate”后完成。
7、所有加入域中的计算机的U盘就被禁用了。
另外还有种脚本法也可禁用U盘,我没有采用那种方法,一是它的脚本语言复杂,二是我想用最简单的方法去实现禁止U盘的使用。
上述方法本人在虚拟机中已经实现U盘的禁用。
组策略禁用usb
组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R,输入`gpedit.msc`,点击确定。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击本地策略,最后点击安全选项。
在右侧找到并双击打开用户账户控制:管理模板,然后双击打开Windows组件。
在Windows组件下找到并双击打开Windows资源管理器。
在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件,然后选择已启用,点击确定。
开启组策略编辑器配置USB设备策略选择已启用,点击确定。
在右侧找到并双击打开禁用USB 存储设备。
在USB根集线器下找到并双击打开策略选项卡。
在计算机配置下,点击Windows 设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在USB根集线器下找到并双击打开策略选项卡。
在右侧找到并双击打开禁用USB其他设备。
选择已启用,点击确定。
禁用USB存储设备03注意事项在实施组策略禁用USB之前,需要对员工USB设备使用需求进行充分了解,以便制定更加合理的策略配置。
了解员工USB设备使用需求在实施组策略之前,需要充分评估禁用USB的必要性,以及是否有其他更加适合的解决方案。
确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求,可以提供一些安全替代方案,如FTP、SFTP、云存储等。
配置合理的权限和访问控制在提供安全替代方案时,需要配置合理的权限和访问控制,以确保只有授权用户才能访问相应的文件资源。
安全替代方案进行测试和验证在组策略禁用USB之前,需要进行充分的测试和验证,以确保策略配置的正确性和有效性。
利用组策略禁用USB存储器而开放USB设备
利用组策略禁用USB存储器而开放USB设备————————————————————————————————作者:————————————————————————————————日期:利用组策略禁用USB存储器而开放USB设备摘要:如果想要在禁止使用USB存储器的情况下又不影响USB设备的使用,这该怎么办呢?利用组策略让系统可以使用USB接口但不能使用闪存。
作为公司的系统管理员,为方便管理,将电脑的软驱、光驱全部拆除,前置USB口的连接线也拆掉,并在BIOS里禁用了USB端口,设置了密码,使USB端口不能使用,虽说在一定程度上控制了工作人员使用闪存,但也因为USB 口的禁用,而导致不能使用USB鼠标、打印机等设备。
但是这样很不方便,如果想要在禁止使用USB存储器的情况下又不影响USB设备(打印机、手写板)的使用,这该怎么办呢?一、常用的方法不可行首先尝试了以下两个很多人常用的方法,结论是不可行。
1.使用USB控制软件。
下载了几个USB控制软件,试用效果却不尽如人意。
2.隐藏磁盘分区。
若能隐藏并禁止访问磁盘分区,那么也可以达到我想要的效果。
单位采用的是域管理,客户机使用权限较低的用户登录到域,大部分的操作都受到限制。
客户机电脑硬盘共3个分区,C盘跟D盘禁止访问,只有E 盘可供操作人员自由使用,此外还有一个网络驱动器P盘,存放需要访问的公共文件。
可是在组策略中隐藏磁盘的七个选项都不符合我的要求,达不到只能访问E盘跟P盘的效果(图1)。
二、修改组策略文件隐藏驱动器微软网站的页面“使用组策略对象隐藏指定驱动器”(页面链接:/kb/231289/zh-cn),文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果。
方法如下。
1.确定数字与盘符的关系因为需要隐藏及禁用的是除了E、P盘之外的磁盘分区,按照文章所述,需要隐藏的驱动器的值设为1,不隐藏的驱动器的值为0,那么数字与盘符的对应关系如下表:接下来将11111111110111111111101111字符串转换为十进制数字,这个用Windows自带的计算器就可以办到,转换后的十进制数字为:67076079。
AD组策略禁用U盘
AD组策略禁用U盘如果需要禁用U盘的使用,可以通过AD组策略来实现。
下面是详细的步骤,以及一些注意事项:1.创建一个新的组策略对象(GPO):- 打开Group Policy Management Console(GPMC)- 在左侧的树形目录中选择“Group Policy Objects”,右键单击,选择“New”-输入一个描述性的名称,然后点击“OK”-在GPMC中,找到创建的新GPO- 右键单击该GPO,然后选择“Edit”选项3.配置组策略设置:-展开“系统”子节点,然后找到“可移动存储访问”-在右侧的列表中,找到“禁用USB存储设备”,双击打开设置窗口-在设置窗口中,选择“已启用”,然后点击“确定”4.更新组策略:-在GPMC中,找到域对象- 右键单击域对象,然后选择“Group Policy Update...”选项-在弹出的对话框中,选择需要更新的对象,然后点击“OK”5.验证组策略设置:-在域内的计算机上,以域管理员身份登录- 打开命令提示符,输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘,检查是否能够正常访问需要注意的是,禁用U盘使用是一种较为严格的控制措施,可能会对用户的正常操作造成一定的影响。
在实施之前,需要与用户进行充分的沟通和培训,并根据实际情况进行调整和适配。
此外,应注意以下几点:1.仅禁用U盘可能无法完全限制用户从其他途径传输文件(例如通过网络或其他外部存储设备)。
因此,在实施组策略之前,应对其他可能的数据传输途径进行评估和控制。
2.组策略设置将适用于所有用户和计算机。
如果只想限制特定用户或计算机的U盘使用,可以将GPO应用于相应的组织单元(OU)或安全组。
3.在一些情况下,可能需要允许一些特定用户或计算机使用U盘。
可以针对这些特殊情况创建不同的GPO,或者通过安全组的方式进行特权控制。
总结来说,通过AD组策略禁用U盘的使用,可以有效地增强计算机系统的安全性。
域组策略–禁用U盘
域组策略–禁用U盘1、找到您要屏蔽U盘的组织单位,建立“屏蔽U盘”策略,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),“用户配置-管理模板-Windows组件-Windows资源管理器”,“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”。
2、在域控制器上打开Active Directory 用户和计算机,在“屏蔽U盘”策略上单击右键选择查看属性,找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“x:\WINNT\SYSVOL\\Policies”下,注意打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,找到下面这两段代码:* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoDrives"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY第一个!!NoDrive是在我的电脑中不显示指定的驱动器名,第二个!!NoViewOnDrive是阻止用户访问驱动器。
Windows 2003 域控制器 组策略禁止USB的方法
Windows 2003 域控制器组策略禁止USB的方法我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB 存储设备!//////////////////////////////////////////////////////CLASS USERCATEGORY !!ADMDescPOLICY !!MMC_DeviceManagerXKEYNAME"Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640b f}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !!MMC_DeviceManagerKEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7 a}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !!ADMDescPOLICY !!USB_UHCD_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_UHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_EHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbehci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_HUBKEYNAME "SYSTEM\CurrentControlSet\Services\usbhub" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!CD_ROMKEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!Floppy_DiskKEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORY[strings]ADMDesc="自定义策略"MMC_DeviceManagerX="设备管理器扩展插件"MMC_DeviceManager="设备管理器"SUPPORTED_Win2k="至少使用Microsoft Windows 2000"MMC_Restrict_Explain="Disable ——禁用设备管理器扩展插件;Enable ——启用设备管理器扩展插件 "DEVMGR_Restrict_Explain="Disable ——禁用设备管理器;Enable ——启用设备管理器"USB_UHCD_PARAMS="USB通用主控制器驱动器"STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"STARTUPTYPE="启动类型"USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="光驱"Floppy_Disk="软驱"//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件(如何让每台机子开机导入注册表文件,就不用我讲了吧),文件内容为:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"start"=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中,将所有用户删除!只留 domain\administrator用户!一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中,处于保护电脑文件安全和商业机密的需要,我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用,防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。
那么,具体如何管理电脑USB接口、禁用U盘呢?笔者以为,可以通过以下方式实现,一种是通过注册表和组策略的方式来实现(如果你觉得这种方法复杂,可以直接看文章底部第二种方法),另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现,相对更为简单:一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。
注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB 设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。
找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。
如下图确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
组策略禁用usb
用A D组策略-----彻低禁止U S B存储设备USB, ZIP, 软驱, 光驱, 设备USB, Update, 设备本帖最后由 zh_cxl 于 2009-2-4 15:36 编辑原2008-10-13的更新有误,主要是和的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的和的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\文件,单击确定;4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;5、出现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\添加进去,如下图;7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;8、查看客户端计算机c:\windows\inf\及的NTFS权限,发现里面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----管理模板中,3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾4、右键管理模板--点添加删除模板--添加的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。
用AD组策略-----禁止屏蔽USB存储设备
用AD组策略-----禁止屏蔽USB 存储设备用AD组策略-----彻低禁止USB存储设备两种方法2008-10-13更新为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定;4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;5、出现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去,如下图;7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限,发现里面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的usb.adm文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----管理模板中,3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.为了方便大家阅读重新更新了一下图片.正确的使用方法是在要设置的驱动器里选择”Disabled”或”Enabled”例1:禁用软驱;“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。
利用组策略关闭域用户usb接口
利用组策略关闭域用户usb接口最近因安全审查,需要关闭公司内所有办公电脑的usb接口,使用户无法使用U盘等usb存储器。
考虑到所有办公电脑都接受域的管理,因而想到用域的组策略来实现该目的。
因组策略实施起来比较简单方便,事后恢复起来也很方便。
整个操作思路如下:1.通过注册表修改的方式实现客户端电脑USB接口不能用。
2.利用BAT批处理文件自动执行的方式,实现客户端注册表的自动修改。
3.通过域组策略指派客户端电脑自动运行制定的批处理文件。
下面就如何实现上述操作以及可能碰到的问题进行阐述;1.文件准备。
本次操作需要准备两个文件,我将两个文件分别命名为usb.bat 和usb.reg 。
文件内容分别如下:Usb.bat内容:@echo off@regedit /s \\xxx.xxx.xxx.xxx\netlogon\usbstor.reg@echo onExit(备注:xxx.xxx.xxx.xxx代表域服务器的IP地址,使用时修改为自己域服务器的ip地址即可)usb.reg内容:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00, \52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存储设备"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00以上内容可以直接拷贝到txt记事本文件内,然后将后缀名修改为bat和reg保存就可以了。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻底禁止USB存储设备在如今信息化时代,数据的安全性越来越受到重视。
越来越多的企业、机构和组织都意识到,内部数据的泄漏可能会给他们带来巨大的损失和影响。
因此,为了确保信息的安全性,限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。
Active Directory(AD)组策略是微软Windows操作系统中重要的安全管理工具,它通过集中管理和配置网络中的用户和计算机,提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。
本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用,从而确保企业的信息安全。
为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性,但也带来了潜在的安全风险。
一旦员工可以随意使用USB存储设备,他们就可以轻松地将敏感数据复制到移动存储设备中,这可能导致数据泄漏、知识产权侵权等问题。
此外,病毒和恶意软件也可以通过感染USB存储设备来传播。
一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机,整个网络都可能受到威胁。
因此,禁止USB存储设备的使用是确保企业数据安全的重要一环。
使用AD组策略禁止USB存储设备步骤一:创建组策略对象1.打开组策略管理器,选择要应用AD组策略的组织单位或域。
2.右键单击选择“新建GPO”(组策略对象)。
3.输入适当的名称,例如“禁止USB存储设备”。
步骤二:编辑组策略设置1.在组策略管理器中,右键单击新创建的组策略对象,并选择“编辑”。
2.在组策略管理编辑器中,展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。
3.找到并双击“可移动存储访问”策略。
步骤三:配置“可移动存储访问”策略1.在“可移动存储访问”策略中,选择“已禁用”。
2.单击“确定”保存更改。
步骤四:将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。
组策略禁用usb
在组策略编辑器中展开“计算机配置”
在左侧窗格中选择“计算机配置” 。
VS
展开“计算机配置”后,选择“管 理模板”。
展开“管理模板”
在左侧窗格中选择“管理模板”。
展开“管理模板”后,选择“系统”。
展开“系统”
在左侧窗格中选择“系统”。
VS
展开“系统”后,找到“USB设备 策略”并双击打开。
找到“USB设备策略”并双击打开
THANKS
在右侧窗格中找到“USB设备策略”。
双击打开“USB设备策略”。
选择“已禁用”选项
在右侧窗格中选择“已禁用”选项。 点击右下角的“应用”按钮,然后点击“确定”按钮保存更改。
关闭本地组策略编辑器。
04
组策略禁用USB的效果
USB设备无法被识别
当组策略禁用USB后,连接到计算机 的USB设备将无法被正确识别。
提高安全性
集中管理
禁用USB可以减少不必要的权限和访问控制 ,从而提高计算机的安全性和可靠性。
使用组策略可以集中管理和控制计算机或本 地用户的配置和权限,提高管理效率和管理 安全性。
02
组策略禁用USB的方法
打开组策略
按下Win+R组合键打开“运行”对话框。
输入gpedit.msc并点击“确定”打开组策略。
组策略可以设置应用程序的配置,包括软件安装、卸 载、运行、更新等。
组策略可以设置网络安全和访问控制,包括防火墙、 密码策略、访问控制列表等。
为什么要使用组策略禁用USBຫໍສະໝຸດ 保护计算机安全数据保护
禁用USB可以防止恶意软件通过USB设备传 播,从而保护计算机的安全。
禁用USB可以防止未经授权的用户访问计算 机中的数据,从而保护数据的机密性和完整 性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、禁止USB存储设备、光驱、软驱、ZIP软驱
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate/force
/force””来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。
这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled
Enabled””,否则你做的策略是不会生效的。
此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为
“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。
),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止访问注册表”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate/force”命令然再到客户端计算机重启计算机来应用该策略。
此时我们发现我们在客户端计算机点击开始→运行输入“Regdiet”则会提示如下图所示:
到此我们“禁止注册表”策略已经完成。
三、破解“禁止注册表编辑器工具”
这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略,的确,这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了,但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。
如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法,大家也可以再次留言一起讨乱学习。