组策略彻底禁止USB存储设备

usb接口的键盘和鼠标能用，禁用usb接口的存储设备可以采用下面的四种方法。

一、修改注册表项，禁用usb移动存储设备点击开始在运行对话框中输入regedi t打开注册表编辑器，依次展开[HKEY_LOCAL MACHINE\SYSTEM\currentControlSet\Services \usbehci]双击右面的“Start”键，把编辑窗口中的“数值数据“改为“4”(提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用)，把基数选择为“十六进制”就可以了。

这时再插入usb移动存储设备，在“我的电脑”里显示不出usb移动存储设备的盘符，在地址栏内输入盘符也提示无法访问。

二、隐藏可分配给usb移动存储设备的盘符并禁止查看首先打开注册表编辑器，依次展开如下分支：[HKEY_CURRENT_U SER\Software\Microsoft\\CurrentVersion\Policies\Explorer]，新建dword(双字)值“NoDrives”。

键值由四个字节(32位二进制数)组成，其中由低到高的二十六位二进制数代表了电脑中可供分配的2 6个驱动器符号，每个字节的每一位(bit)对应从A：到Z：的一个盘。

当相应位为l时，“我的电脑”中相应的驱动器就被隐藏了。

当相应位为0时，“我的电脑”中相应的驱动器不被隐藏。

其缺省值是00 00 00 00，表示不隐藏任何驱动器。

假定学生机的硬盘有五个分区分别用C：、D：、E：、F：、G：来表示，如果插入usb移动存储设备分配给它的盘符将是G：以后的符号，可以将G：以后可用的盘符隐藏起来，这样就可以禁止访问usb移动存储设备。

数字与盘符的对应关系，如表1所示。

表1将二进制数“1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0”转换成十六进制(用 Xp自带的计算器进行转换)为3FFFF8 0，将”NoDriyes”的值改为3FFFF80．改好后重新启动电脑，再插入移动存储设备。

一、修改组策略或注册表通过修改组策略或注册表，可以禁止访问某些特定盘符的U盘。

但是懂点组策略和注册表知识的员工可以轻轻松松地取消对U盘的限制。

所以实际上没什么用处。

老板不会采取这种办法。

二、修改BIOS设置，禁止使用USB设备在BIOS里面，把USB设备设置为disable。

然后为BIOS设一个登录密码，员工就无法使用优盘了。

这一招很猛，老板比较满意。

但是，这么一来，USB鼠标和USB键盘也不能用了，这是不可接受的。

因此，这一招由于太狠，也没有哪个会老板采用。

三、干掉Windows自带的USB设备驱动，这样U盘插进去找不到驱动，自然就不能用了。

具体操作：将Window系统中的i386文件夹下的设备压缩包彻底删除，或者停用usb 总线控制器。

这种办法的弱点显而易见：一是不能使用USB鼠标和USB键盘了；二是高手可以重装驱动或者启用usb总线控制器。

总之，这种防备办法也是聋子的耳朵--摆设！四、微软官方提出了一个适合于高手操作的解决方案。

但这种办法也没有什么效果，因为高手同样可以反其道而行之，把对U盘的限制统统取消掉。

因此，这只是一种只能防菜鸟不能防高手的办法。

启动Windows 资源管理器，然后找到%SystemRoot%\Inf 文件夹。

右键单击“Usbstor.pnf”文件，然后单击“属性”。

单击“安全”选项卡。

在“组或用户名称”列表中，添加要为其设置“拒绝”权限的用户或组。

在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框。

注意：此外，还需将系统帐户添加到“拒绝”列表中。

在“组或用户名称”列表中，选择“系统”帐户。

在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

右键单击“Usbstor.inf”文件，然后单击“属性”。

单击“安全”选项卡。

在“组或用户名称”列表中，添加要为其设置“拒绝”权限的用户或组。

用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具，它允许管理员在组织级别上定义和实施IT策略，以控制和规范用户行为和计算机行为。

它基于Windows Server操作系统，是活动目录（AD）的一部分，可以用于管理和配置网络中的计算机和用户。

AD组策略的定义通过AD组策略，管理员可以在组织级别上定义和实施IT策略，从而实现对整个网络中计算机和用户的集中化管理。

AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能，可以根据组织的需求进行灵活的配置和扩展。

灵活性和可扩展性AD组策略可以用于定义和实施安全性策略，包括用户身份验证、访问控制和数据保护等，从而提高网络的安全性。

安全性•AD组策略适用于各种规模的企业和组织，特别是那些需要集中化管理、灵活性和安全性需求的组织。

它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。

AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备，减少公司信息泄露和数据安全风险。

确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换，从而专注于工作。

满足公司政策或行业规定，确保公司数据安全和合规性。

030201加密USB存储设备对于公司提供的加密USB存储设备，可以设置AD组策略来强制加密这些设备，以保护数据安全。

监控和报告建立监控机制，记录任何违反策略的行为，并采取适当的行动，例如报告给IT部门或管理层。

禁止USB存储设备通过AD组策略，将USB存储设备的使用完全禁止。

在实施策略之前，先在小范围内测试策略，以确保没有未预见的问题。

测试策略实施在实施策略后，密切关注员工的反应和策略的实际效果，并根据需要进行调整和改进。

组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R，输入`gpedit.msc`，点击确定。

在计算机配置下，点击Windows设置，然后点击安全设置，再点击本地策略，最后点击安全选项。

在右侧找到并双击打开用户账户控制：管理模板，然后双击打开Windows组件。

在Windows组件下找到并双击打开Windows资源管理器。

在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件，然后选择已启用，点击确定。

开启组策略编辑器配置USB设备策略选择已启用，点击确定。

在右侧找到并双击打开禁用USB 存储设备。

在USB根集线器下找到并双击打开策略选项卡。

在计算机配置下，点击Windows 设置，然后点击安全设置，再点击设备管理器，最后点击通用串行总线控制器。

在通用串行总线控制器下找到并双击打开USB根集线器。

在计算机配置下，点击Windows设置，然后点击安全设置，再点击设备管理器，最后点击通用串行总线控制器。

在通用串行总线控制器下找到并双击打开USB根集线器。

在USB根集线器下找到并双击打开策略选项卡。

在右侧找到并双击打开禁用USB其他设备。

选择已启用，点击确定。

禁用USB存储设备03注意事项在实施组策略禁用USB之前，需要对员工USB设备使用需求进行充分了解，以便制定更加合理的策略配置。

了解员工USB设备使用需求在实施组策略之前，需要充分评估禁用USB的必要性，以及是否有其他更加适合的解决方案。

确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求，可以提供一些安全替代方案，如FTP、SFTP、云存储等。

配置合理的权限和访问控制在提供安全替代方案时，需要配置合理的权限和访问控制，以确保只有授权用户才能访问相应的文件资源。

安全替代方案进行测试和验证在组策略禁用USB之前，需要进行充分的测试和验证，以确保策略配置的正确性和有效性。

用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下，由于企业网络越来越大环境越来越复杂。

公司内员工素质参差不齐，公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。

首先我们在企业网络环境要想实现以上目的，必须要有域环境。

这里肯定有朋友会说，没有域环境也能实现。

是的没有域环境我们可以通过修改每个客户端的注册表来实现，大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。

所以我们在域环境下就可以通过在DC上建立策略，客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。

好的言归正传，大家先下载我博文中的附件，附件内是该文中的核心。

其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具，来方便我们大家来对组策略管理已经排错。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

AD组策略禁用U盘如果需要禁用U盘的使用，可以通过AD组策略来实现。

下面是详细的步骤，以及一些注意事项：1.创建一个新的组策略对象（GPO）：- 打开Group Policy Management Console（GPMC）- 在左侧的树形目录中选择“Group Policy Objects”，右键单击，选择“New”-输入一个描述性的名称，然后点击“OK”-在GPMC中，找到创建的新GPO- 右键单击该GPO，然后选择“Edit”选项3.配置组策略设置：-展开“系统”子节点，然后找到“可移动存储访问”-在右侧的列表中，找到“禁用USB存储设备”，双击打开设置窗口-在设置窗口中，选择“已启用”，然后点击“确定”4.更新组策略：-在GPMC中，找到域对象- 右键单击域对象，然后选择“Group Policy Update...”选项-在弹出的对话框中，选择需要更新的对象，然后点击“OK”5.验证组策略设置：-在域内的计算机上，以域管理员身份登录- 打开命令提示符，输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘，检查是否能够正常访问需要注意的是，禁用U盘使用是一种较为严格的控制措施，可能会对用户的正常操作造成一定的影响。

在实施之前，需要与用户进行充分的沟通和培训，并根据实际情况进行调整和适配。

此外，应注意以下几点：1.仅禁用U盘可能无法完全限制用户从其他途径传输文件（例如通过网络或其他外部存储设备）。

因此，在实施组策略之前，应对其他可能的数据传输途径进行评估和控制。

2.组策略设置将适用于所有用户和计算机。

如果只想限制特定用户或计算机的U盘使用，可以将GPO应用于相应的组织单元（OU）或安全组。

3.在一些情况下，可能需要允许一些特定用户或计算机使用U盘。

可以针对这些特殊情况创建不同的GPO，或者通过安全组的方式进行特权控制。

总结来说，通过AD组策略禁用U盘的使用，可以有效地增强计算机系统的安全性。

Windows7通过组策略禁止使用移动存储设备现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。

虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。

因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。

在Windows 7中使用组策略就可以完全解决这一问题。

但在继续阅读下文之前，请首先确认你的Windows 7版本。

带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。

如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。

(1)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本地组策略编辑器”窗口。

(2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安装—设备安装限制”项，如图1所示。

图1(3)双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。

这里一共有10条可用的策略，含义分别如下。

允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。

如果启用这条策略，那么不管其他策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。

如果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将受到其余几条策略的限制。

⏹允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定允许安装的设备类型。

简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。

⏹阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定禁止安装的设备类型。

简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB 设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

Windows 2003 域控制器组策略禁止USB的方法我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB 存储设备!//////////////////////////////////////////////////////CLASS USERCATEGORY !!ADMDescPOLICY !!MMC_DeviceManagerXKEYNAME"Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640b f}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !!MMC_DeviceManagerKEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7 a}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !!ADMDescPOLICY !!USB_UHCD_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_UHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_EHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbehci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_HUBKEYNAME "SYSTEM\CurrentControlSet\Services\usbhub" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!CD_ROMKEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!Floppy_DiskKEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORY[strings]ADMDesc="自定义策略"MMC_DeviceManagerX="设备管理器扩展插件"MMC_DeviceManager="设备管理器"SUPPORTED_Win2k="至少使用Microsoft Windows 2000"MMC_Restrict_Explain="Disable ——禁用设备管理器扩展插件；Enable ——启用设备管理器扩展插件 "DEVMGR_Restrict_Explain="Disable ——禁用设备管理器；Enable ——启用设备管理器"USB_UHCD_PARAMS="USB通用主控制器驱动器"STARTUPTYPE_HELP="启动类型，3-手动，4-禁用"STARTUPTYPE="启动类型"USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="光驱"Floppy_Disk="软驱"//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件（如何让每台机子开机导入注册表文件，就不用我讲了吧），文件内容为：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"start"=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中，将所有用户删除！只留 domain\administrator用户！一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。

用AD组策略-----禁止屏蔽USB 存储设备用AD组策略-----彻低禁止USB存储设备两种方法2008-10-13更新为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下（这两个文件是USB存储设备的驱动文件，本策略的原理是利用NTFS权限阻止普通用户加载驱动），注意事项：（1）使用前请确认你的系统盘使用的是NTFS权限，否则此策略将无效。

(2) 此策略只能对计算机，不针对用户1、打开组策略编辑器gpmc，选择计算机配置--安全设置--文件系统；2、在右边单击鼠标右键选择－－添加文件；3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；4、出现权限设置对话框，注意这一步很重要一定要删除所有的组；5、出现如下对话框，继续单确定；6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如下图；7、找一台客户端计算机验证策略，强制刷新策略,重新启动计算机；8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安全组已被删除。

策略应用成功，普通用户无法再使用USB存储设备。

2007-09-10先下载附件里的usb.adm文件详细操作如下:１，在DC里的OU里新建一条GPO组策略２、添加至组策略----计算机配置----管理模板中，３、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾４、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.为了方便大家阅读重新更新了一下图片.正确的使用方法是在要设置的驱动器里选择”Ｄisabled”或”Enabled”例1：禁用软驱;“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB 存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

用AD组策略之彻底禁止USB存储设备在如今信息化时代，数据的安全性越来越受到重视。

越来越多的企业、机构和组织都意识到，内部数据的泄漏可能会给他们带来巨大的损失和影响。

因此，为了确保信息的安全性，限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。

Active Directory（AD）组策略是微软Windows操作系统中重要的安全管理工具，它通过集中管理和配置网络中的用户和计算机，提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。

本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用，从而确保企业的信息安全。

为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性，但也带来了潜在的安全风险。

一旦员工可以随意使用USB存储设备，他们就可以轻松地将敏感数据复制到移动存储设备中，这可能导致数据泄漏、知识产权侵权等问题。

此外，病毒和恶意软件也可以通过感染USB存储设备来传播。

一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机，整个网络都可能受到威胁。

因此，禁止USB存储设备的使用是确保企业数据安全的重要一环。

使用AD组策略禁止USB存储设备步骤一：创建组策略对象1.打开组策略管理器，选择要应用AD组策略的组织单位或域。

2.右键单击选择“新建GPO”（组策略对象）。

3.输入适当的名称，例如“禁止USB存储设备”。

步骤二：编辑组策略设置1.在组策略管理器中，右键单击新创建的组策略对象，并选择“编辑”。

2.在组策略管理编辑器中，展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。

3.找到并双击“可移动存储访问”策略。

步骤三：配置“可移动存储访问”策略1.在“可移动存储访问”策略中，选择“已禁用”。

2.单击“确定”保存更改。

步骤四：将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。

通过组策略及注册表如何禁用USB设备还没有休完假，就接到头的电话，说要在办公室里部分机器上，禁用USB设备，唉，命苦啊，不得不开始实验过程，还好，我有二台台式的，二台手提，可供做实验，不然，死翘翘了。

这些是废话，可略过不看也！！1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:Windows 2000下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub或是winxp ,win2k3下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

如果，使用过了USB设备了，（或者不是域控怎么办？）呵呵，当然是通过注册表键值来搞定了！找到键值所在的注册表位置，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub（2000系统下）或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor（XP or 2K3），在对应的usbhub（或USBSTOR）分支右边子窗口中，双击一下“Start”键值，在弹出的数值设置窗口中，检查一下其中的数字是多少，如果是4，表明该计算机的USB端口使用权限已经被限制起来了;如果是3，表明该计算机的USB端口使用权限已经被启用起来了，这里确保是4！！！如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c ,00,44,00,\52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,5 4,00,4f,\00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存储驱动程序"重启机器吧，就可以了。