域中禁用USB等移动硬盘

在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题，有的人是在主板上禁止USB，有的是物理破环USB接口，有的是用软件，如果公司电脑数量上了二百台，呵呵，这还真是件麻烦事，那么作为有域控制的局域网，通过组策略轻松的来解决这个问题呢？？经过摸索，得出控制U盘主要是：C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的，U盘连接电脑后，需要加载这两个程序，如果是用权限来控制那就更麻烦了。

编辑一个批处理文件，然后在域中建一个策略设置开机启动，就ok了。

批处理文件：用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是：ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是：echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略，设置开机启动，那样你就可以轻松解决域中U盘使用问题了。

一、禁止USB存储设备、光驱、软驱、ZIP软驱第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB”属性对话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

在域环境中利用组策略禁止使用USBUSB, 环境刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千，不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路：当计算机插入Ｕ盘后，系统会自动增加一个盘符，如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。

打開Active Directory用户和计算机，建立一个名为NOＵＳＢ的组织单位，也就是OU，如图:右键--属性－组策略，新建一个名为nousb的策略.如图:点编辑后出现组策略，我们来设置。

定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。

而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符，这就需要手动的为组策略来添加我们需要的选项。

我们重新回到nousb属性对话框，选择nousb组策略，点下面的属性，记下弹出的又一个nousb 属性对话框中的常规选项卡—摘要---唯一的名称（{C04ED8BO。

禁用USB方法一、A.在域相关OU里，策略计算机配置 /Windows 设置 /脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。

屏蔽注册表USB的键值 START=4[localimg=400,294]1[/localimg]B．在域里相关OU里，所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。

对域策略生效1、打开Active Directory用户和计算机；2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略；3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器；4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”；5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定；6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”；应用、确定；7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置；确认，退出设置；8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置；9、关闭组策略编辑器；10、使用“gpupdate /force”，强行刷新策略Settings.DisableUSB.vbs1.' ------------------------------------------------------------------2.'START = "4" 'Enable/Disable USB Device3.4.'Script Begin5.' ------------------------------------------------------------------6.'On Error Resume Next7.ConststrComputer = "."8.Const HKLM = &H800000029.Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer&"\root\cimv2")10.Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer& "\root\default:StdRegProv")11.oReg.SetDWORDValue HKLM, "SYSTEM\CurrentControlSet\Services\UsbStor","START", START12.13.Function GetStartEnable(Index)14.Select Case Index15.Case 3 GetStartEnable = "3 - Enable USB Device"16.Case 4 GetStartEnable = "4 - Disable USB Device"17.Case Else GetStartEnable = "Error in this value"18.End Select19.End Function复制代码EnableUSB.vbs1.' Settings2.' ------------------------------------------------------------------3.START = "3" 'Enable/Disable USB Device4.5.'Script Begin6.' ------------------------------------------------------------------7.'On Error Resume Next8.ConststrComputer = "."9.Const HKLM = &H8000000210.Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer& "\root\cimv2")11.Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer& "\root\default:StdRegProv")12.oReg.SetDWORDValue HKLM, "SYSTEM\CurrentControlSet\Services\UsbStor","START", START13.14.Function GetStartEnable(Index)15.Select Case Index16.Case 3 GetStartEnable = "3 - Enable USB Device"17.Case 4 GetStartEnable = "4 - Disable USB Device"18.Case Else GetStartEnable = "Error in this value"19.End Select20.End Function复制代码本主题由管理员洛洛于 2009/1/22 14:32:57 执行设置精华/取消操作。

公司禁用U盘和移动硬盘的方法1.技术层面控制：a.硬件限制：在公司电脑上禁止识别U盘和移动硬盘，可以通过操作系统权限设置或者硬件屏蔽的方法实现。

例如，操作系统可以通过设置权限控制读写U盘和移动硬盘的操作，或者通过硬件设置将相关接口禁用。

同时，公司可以配置USB接口限制设备，只允许特定的设备连接。

b.移动媒体控制软件：安装一些第三方软件，如DLP（数据丢失预防）软件，可以监控和控制数据的传输。

这些软件可以对文件进行加密、限制复制和粘贴，甚至可以对端点设备进行监控，以及禁用USB存储设备。

c.数据备份与恢复：为了避免因为用户无法使用U盘和移动硬盘而导致数据丢失，公司需要提供其他替代方式来备份和恢复数据，例如通过云存储或网络共享文件夹。

2.策略管理层面控制：a.信息安全政策：公司应制定明确的信息安全政策，明确规定禁止员工使用U盘和移动硬盘。

将该政策纳入员工手册，并要求员工签署同意。

同时，公司应该明确说明违反政策的处罚措施，例如对违规者进行警告、罚款或停职等处理。

b.员工培训：对员工进行相关安全意识培训，加强他们对信息安全的重视和责任感。

培训内容应包括使用U盘和移动硬盘的潜在风险和公司禁用的原因，同时提供替代方案和操作指南。

c.网络行为监控：通过网络行为管理和审计软件，监控员工在公司网络上的行为，确保员工遵守禁用U盘和移动硬盘的规定。

这种软件可以记录员工输入的关键词、网站访问记录等，以及监控文件传输与复制操作。

3.文化氛围层面控制：a.建立信息安全文化：公司应该积极倡导信息安全文化，鼓励员工从根本上保护公司的机密信息。

可以通过员工奖励计划、信息安全活动和讲座等方式加强信息安全的认识和教育。

b.建立有效沟通渠道：公司应该为员工提供反馈和沟通渠道，员工可以报告任何安全漏洞或风险。

同时，公司应该定期组织安全会议，讨论最新的信息安全威胁和解决方案，并提醒员工遵守规定。

综上所述，禁用U盘和移动硬盘涉及到技术层面、策略管理层面和文化氛围层面的控制，需要综合运用硬件限制、软件管控、信息安全政策、员工培训和有效沟通等多方面方法。

域环境屏蔽U盘、禁用USB端口、限制USB接口使用的方法作者：大飞日期：2013/12/13随着USB存储设备的不断发展，当前通过U盘、移动硬盘、手机存储文件的方式越来越普遍，同时这些USB存储空间也越来越大，动辄几十G的存储空间司空见惯。

这些USB存储设备一方面在方便信息存储、信息传递的同时，另一方面也带来了巨大的信息泄露的风险，尤其是员工可以轻易地将公司重要的文件私自拷贝、存储到个人的U盘、移动硬盘或手机里面携带出去，从而给公司带来重大的商业机密泄密的风险。

为此，我们必须采取有效的举措禁止员工私自使用USB存储设备的行为。

当然，最有效的方式是通过部署专业的USB控制软件，如“大势至USB控制系统”（百度搜索“大势至USB控制系统”即可下载），只需要点点鼠标就可以完全屏蔽USB 存储设备的使用，完全禁用U盘、移动硬盘、手机等USB存储设备；同时还可以禁止蓝牙、红外、串口和并口，以及禁止无线网卡、限制修改计算机重要配置等，如注册表、组策略等，从而可以满足国内非专业网管员的需要，而对于我现在的网络环境中是用脚本做的，只对USB存储设备，如U盘、移动硬盘、USB光驱等，对USB的键盘、鼠标等无影响！原理就是对USB存储设备所需要的驱动文件进行删除或恢复，是参考Microsoft KB:823732 而来的！如下：在GPO中按不同的要求分调用下面两脚本，说明如下：比如说默认情况下，所有电脑都是在Computer OU下面，为了禁用或开启的需要，我另建两个OU: Disable USB/Enable USB,1、禁止使用（将下面的代码copy到记事本，然后另存为.vbs），将需要禁止的电脑，移到禁用USB的Disable USB OU中，然后在此OU中的GPO调用下面的脚本Set objFSO = CreateObject("Scripting.FileSystemObject")If objFSO.FileExists("C:\windows\inf\usbstor.pnf") ThenobjFSO.DeleteFile("C:\windows\inf\usbstor.pnf")End IfIf objFSO.FileExists("C:\windows\inf\usbstor.inf") ThenobjFSO.DeleteFile("C:\windows\inf\usbstor.inf")End IfIf objFSO.FileExists("C:\windows\system32\drivers\usbstor.sys") ThenobjFSO.DeleteFile("C:\windows\system32\drivers\usbstor.sys")End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.pnf") ThenobjFSO.DeleteFile("C:\winnt\inf\usbstor.pnf")End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.inf") ThenobjFSO.DeleteFile("C:\winnt\inf\usbstor.inf")End IfIf objFSO.FileExists("C:\winnt\system32\drivers\usbstor.sys") ThenobjFSO.DeleteFile("C:\winnt\system32\drivers\usbstor.sys")End IfConst HKEY_LOCAL_MACHINE = &H80000002strComputer = "."Set objRegistry = GetObject("winmgmts:\\" & strComputer &"\root\default:StdRegProv")strKeyPath = "SYSTEM\CurrentControlSet\Services\UsbStor"strValueName = "Start"dwValue = 4objRegistry.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue2、解除禁止（将下面的代码copy到记事本，然后另存为.vbs），对于已禁用的电脑，需要解除的，将需要解除的电脑移到：Enable USB的OU中，然后在OU中的GPO调用，待可以用后，再移到正常使用的OU中(Computer),红色部分是具体文件及路径，需要依你实际情况而定，可以预先将几个文件COPY在某个隐藏的共享目录下！Set objFSO = CreateObject("Scripting.FileSystemObject")IF objFSO.FolderExists("C:\windows") ThenIf objFSO.FileExists("C:\windows\inf\usbstor.pnf") ThenElseobjFSO.CopyFile "Usbstor.pnf" , "C:\windows\inf\usbstor.pnf"End IfIf objFSO.FileExists("C:\windows\inf\usbstor.Inf") ThenElseobjFSO.CopyFile "Usbstor.Inf" , "C:\windows\inf\usbstor.Inf"End IfIf objFSO.FileExists("C:\windows\system32\drivers\usbstor.sys") ThenElseobjFSO.CopyFile "Usbstor.sys" , "C:\windows\system32\drivers\usbstor.sys" End IfEnd IfIF objFSO.FolderExists("C:\winnt") ThenIf objFSO.FileExists("C:\winnt\inf\usbstor.pnf") ThenElseobjFSO.CopyFile "Usbstor.pnf" , "C:\winnt\inf\usbstor.pnf"End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.inf") ThenElseobjFSO.CopyFile "Usbstor.Inf" , "C:\winnt\inf\usbstor.Inf"End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.sys") ThenElseobjFSO.CopyFile "Usbstor.sys" , "C:\winnt\system32\drivers\usbstor.sys" End IfEnd IfConst HKEY_LOCAL_MACHINE = &H80000002strComputer = "."Set objRegistry = GetObject("winmgmts:\\" & strComputer &"\root\default:StdRegProv")strKeyPath = "SYSTEM\CurrentControlSet\Services\UsbStor"strValueName = "Start"dwValue = 3objRegistry.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue说明：以上在Windows 2000/XP/Vista/Win7 32位的环境中都能正常，解除禁用的部分，因XP 64/Vista 64/Win7 64的驱动不一样，所以不保证能正常运行！总之，企业局域网禁用U盘、屏蔽USB存储设备的方法很多，但是对于大多数企业来说，由于缺乏专业的网络管理人员，通过USB控制软件来限制员工用U盘、禁用USB端口的方式较为直接和有效，具体可以根据自己的需要进行选择。

背景：为了避免病毒通过U盘传入内网，为了工作单位的网络安全,通过在域控端创建组策略的形式，实现灵活控制域用户端U盘使用（灵活的原因在于不能禁用所有人的U盘使用权限，只能禁止一部分）。

首先在域控服务器端，打开组策略管理（windows+R gpmc.msc）
灵活选择想要控制的组织单位，右键——在这个域中创建GPO并在此处链接，新建一个GPO,名称为U盘禁用。

在新建的GPO 上右键编辑，依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类：拒绝所有权限进行配置。

选择已启用
点击应用，点击确定。

最后一步：在域控上更新组策略：windows + R 键入gpupdate 或者gpupdate / force ，客户机重启电脑，U盘禁用生效。

至此完成组策略编辑，禁用U盘。

注意事项：1、在新建GPO的组织单位下，必须确保有计算机，域用户登录此类计算机无法访问U盘。

受限制的是计算机，不是用户。

（这里要分清楚）
2、如果还想要控制其他组织单位的计算机，不再需要新建GPO 连接，直接在需要控制的组织单位下，右键，连接现有GPO 选择刚刚创建的GPO名称后，更新组策略即可。

————————————————
版权声明：本文为CSDN博主「站的高，看得远」的原创文章，遵循CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。

原文链接：https:///MS_Tony_Shu/article/details/94430234。

windows 禁用U盘和移动硬盘的四种方法来源：网络作者：发布时间：2010-01-22 查看次数：66方法一，BIOS设置法（快刀斩乱麻法）进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“U SB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BI OS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此法过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的启动（适用于Windows XP/2000/2003）打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCn trolSet\Services\USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

方法三，隐藏盘符和禁止查看（适用于Windows系统）打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\ Windows\CurrentVersion\Ploicies\Explorer]，新建二进制值“NoDrives”，其缺省值均是00 0 0 00 00，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。

这是微软官方网站知识库，上面的文章。

有人专门写了一个关于usb及移动存储的adm管理程序，添加到域安全模版就可以了，就可以进行enable或者disable 操作了。

大家可以找找概要本文讨论两种可用于防止用户连接 USB 存储设备的方法。

禁用 USB 存储设备要禁用 USB 存储设备，请根据您的具体情况使用下面的一个或多个步骤：如果计算机上尚未安装 USB 存储设备如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限：复制内容到剪贴板代码:%SystemRoot%\Inf\Usbstor.pnf%SystemRoot%\Inf\Usbstor.inf这样，用户将无法在计算机上安装 USB 存储设备。

要向用户或组分配对Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作：1. 启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。

2. 右键单击“Usbstor.pnf”文件，然后单击“属性”。

3. 单击“安全”选项卡。

4. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

5. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

注意：此外，还需将系统帐户添加到“拒绝”列表中。

6. 右键单击“Usbstor.inf”文件，然后单击“属性”。

7. 单击“安全”选项卡。

8. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

9. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

如果计算机上已经安装了 USB 存储设备警告：注册表编辑器或其他方法使用不当可能导致严重问题。

这些问题可能需要重新安装操作系统。

Microsoft 不能保证您可以解决这些问题。

Windows 2003 域控制器组策略禁止USB的方法2010-10-22 17:25我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU 的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!//////////////////////////////////////////////////////CLASS USERCATEGORY !!ADMDescPOLICY !!MMC_DeviceManagerXKEYNAME "Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !!MMC_DeviceManagerKEYNAME "Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !!ADMDescPOLICY !!USB_UHCD_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\uhcd" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_UHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_EHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbehci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_HUBKEYNAME "SYSTEM\CurrentControlSet\Services\usbhub" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!CD_ROMKEYNAME "SYSTEM\CurrentControlSet\Services\cdrom" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!Floppy_DiskKEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORY[strings]ADMDesc="自定义策略"MMC_DeviceManagerX="设备管理器扩展插件"MMC_DeviceManager="设备管理器"SUPPORTED_Win2k="至少使用Microsoft Windows 2000"MMC_Restrict_Explain="Disable ——禁用设备管理器扩展插件；Enable ——启用设备管理器扩展插件 "DEVMGR_Restrict_Explain="Disable ——禁用设备管理器；Enable ——启用设备管理器"USB_UHCD_PARAMS="USB通用主控制器驱动器"STARTUPTYPE_HELP="启动类型，3-手动，4-禁用"STARTUPTYPE="启动类型"USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver" USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver" USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="光驱"Floppy_Disk="软驱"//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件（如何让每台机子开机导入注册表文件，就不用我讲了吧），文件内容为：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "start"=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中，将所有用户删除！只留 domain\administrator用户！一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。

域组策略中禁用U盘的使用方法
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服务器，再次你要配置域服务器，如下图：
2、找到域控制器（Active Directory）,我简称它为AD, 点击管理AD中的用户和计算机，会出现下图：
3、右击Domain Controllers后，点击属性会出现下图：
4、选择“组策略”，点击组策略对象链接，再双击它，会出现下图：
5、照图点击到“注册表”，右击“注册表”后点击“添加项”，照图上的路径添加那两项。

注意添加图上那两项时的前提是你的域服务器注册表（“开始”→“运行”→输入命令“regedit”就会打开注册表）将图上那两项修改了。

我具体说明下它们的修改值。

第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。

第二项如下图：
将其中的Start的值改为“4”,默认值为“3”表示启用。

6、添加完“注册表”的那两项后，关闭所有，在“开始”→“运行”→输入命令“gpupdate”后完成。

7、所有加入域中的计算机的U盘就被禁用了。

另外还有种脚本法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂，二是我想用最简单的方法去实现禁止U盘的使用。

上述方法本人在虚拟机中已经实现U盘的禁用。

如何用涉密移动存储介质管理系统来禁用移动存储设备、U盘呢？U盘、移动硬盘等USB存储设备在文件保存、传递等方是非常方便的，但也使得企业局域网用户可以轻松通过U盘、移动硬盘甚至手机等USB存储设备来大量拷贝电脑文件，从而使得企业文件安全面临着巨大的风险。

那么，企业局域网如何禁止U盘使用、禁用USB存储设备呢？方法一、通过BIOS禁用移动存储设备或者通过安全机箱的方式来屏蔽移动存储介质的使用。

通过BIOS禁用移动存储设备是一种简单有效的方法，设置也相对简单。

一般是在电脑开机的时候按住Del键即可进入BIOS里面，然后就可以通过BIOS 禁用USB端口、BIOS禁用光驱、BIOS禁用PCI卡等，这样就可以完全禁止USB 存储设备、禁用光驱等移动存储介质（尤其是USB移动光驱）。

进入BIOS里面进行设置，默认是Enable，在这里回车，即可选择“Disabled”，然后就可以完全禁用USB端口了.但是通过上述禁用USB端口的方式，虽然可以完全禁用USB存储设备，但同时也会导致USB鼠标键盘、U盾、USB打印机等无法使用，而现在电脑主板通常只支持USB鼠标键盘而不再支持PS2鼠标键盘，因此上述禁用USB端口的方法存在一定的缺憾，会导致非USB存储设备也无法使用，比较适合那些对USB存储设备的控制极为严密的单位使用。

方法二、通过专门的移动存储介质禁用软件、屏蔽USB存储设备的软件来实现。

例如可以用磁盘加锁专家的禁止使用USB存储功能来实现。

安装软件后，设置了只读或禁止使用USB设备后就可以防止别人通过U盘或移动存储设备来拷贝自己的文件，避免数据的泄漏。

总之，无论是通过BIOS还是通过专门的移动存储设备禁用软件都可以实现对移动存储设备的使用，只不过通过禁用移动存储介质的软件，可以相对更为简单、严密。

具体采用何种举措，企事业单位可以根据自己的需要进行抉择。

禁止在电脑上使用U盘和移动硬盘的简单方法1.禁止使用USB端口最简单的方法是完全禁用电脑上的USB端口。

可以通过系统设置或BIOS设置来实现。

但是这种方法会导致无法连接其他USB设备，对于需要使用其他USB设备的用户来说可能不太实用。

2.使用物理锁定装置可以在电脑的USB接口上安装物理锁定装置，例如USB锁或端口锁。

这种装置可以阻止U盘和移动硬盘的插入和拔出，但不影响其他USB设备的连接。

这种方法比较便捷，但需要购买和安装额外的设备。

3.使用软件限制通过软件来限制U盘和移动硬盘的使用是比较常见的方法。

可以使用安全管理软件或系统管理工具来设置禁用USB存储设备的权限。

这种方法可以灵活地控制哪些设备可以连接和使用，并可以根据需要进行调整。

4.禁用USB驱动程序可以通过禁用电脑上的USB驱动程序来阻止U盘和移动硬盘的使用。

可以通过设备管理器或系统注册表进行设置。

但是需要注意，这种方法也会禁用其他USB设备的使用。

5.使用网络存储替代为了确保数据的安全和便捷的文件共享，可以使用网络存储代替U盘和移动硬盘。

可以搭建一个内部文件共享服务器或使用云存储服务，这样可以方便地在不同的设备上访问和共享文件，同时也可以避免使用U盘和移动硬盘带来的安全隐患。

6.员工培训和意识提高除了以上的技术手段，还应该进行员工培训和意识提高。

通过教育员工有关数据安全和病毒防护的知识，告知他们使用U盘和移动硬盘可能带来的风险，并制定相关的公司政策和规范，明确禁止在工作计算机上使用U盘和移动硬盘。

7.安装杀毒软件和防火墙为了进一步保护电脑的安全，可以安装杀毒软件和防火墙。

这些安全软件可以检测并阻止病毒的传播，确保数据的安全。

总结起来，禁止在电脑上使用U盘和移动硬盘需要结合硬件设备、软件配置、员工培训和意识提高等多方面进行综合考虑。

通过合理的措施和方法，可以有效地确保数据的安全和防止病毒的传播。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB 设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

用域控来禁止公司局域网的U盘、禁止移动硬盘等USB存储设备制作背景:在公司局域网中，有时候处于网络安全的考虑，需要禁止电脑USB接口使用，尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用，而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法制作方法及工具:在Windows server 2003 sp2下建立一个Active Directory域控制器，通过域控制器来控制域里的所有电脑的USB接口使用，在域控下建立一个组织单元（OU），给OU一个组策略控制，在组策略里控制USB接口的使用，需要一个usb.adm文件来实现，需将局域网内的所有用户都加入所建的域。

关键词：服务器，AD，OU，USB使用需求及目的：公司局域网中，对于网络安全的考虑，信息安全的维护，以及病毒的防止，所以采用AD来实现禁止USB的使用。

来实现内网安全，防信息泄露及防病毒入侵。

内容及实现方法：1 域控制器的安装：1.1安装条件：1.1.1 域的定义：在网络环境中，有很多台计算机，每台计算机里面都有一定的资源，为了便于管理这些分散的资源所以要使用域环境进行集中的管理。

那么什么是域？域是一种有多台计算机上组成的逻辑环境，所有域中的重要资源都保存在域控的数据库中，并且进行集中管理。

1.1.2 采用windows server 2003域的特点：windows 2003域采用活动目录（Active Directory，AD）技术，集中管理资源，便捷的网络访问，良好的可扩展性是他最大的特点。

安装域实际上就是安装活动目录（AD），他有6点重要的安装条件。

（1）必须以管理员的身份安装（2）windows 2003版本的系统，除web版之外（3）硬盘中至少有一个分区为NTFS分区（4）配置好IP地址（5）网络中有相应的DNS服务器（6）有足够的可用空间1.1.3 安装前需配好IP地址及ＤＮＳ服务器：如何配置好IP地址和网络中没有DNS服务器的支持：由于是要安装域控制器。

用AD组策略之彻底禁止USB存储设备在如今信息化时代，数据的安全性越来越受到重视。

越来越多的企业、机构和组织都意识到，内部数据的泄漏可能会给他们带来巨大的损失和影响。

因此，为了确保信息的安全性，限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。

Active Directory（AD）组策略是微软Windows操作系统中重要的安全管理工具，它通过集中管理和配置网络中的用户和计算机，提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。

本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用，从而确保企业的信息安全。

为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性，但也带来了潜在的安全风险。

一旦员工可以随意使用USB存储设备，他们就可以轻松地将敏感数据复制到移动存储设备中，这可能导致数据泄漏、知识产权侵权等问题。

此外，病毒和恶意软件也可以通过感染USB存储设备来传播。

一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机，整个网络都可能受到威胁。

因此，禁止USB存储设备的使用是确保企业数据安全的重要一环。

使用AD组策略禁止USB存储设备步骤一：创建组策略对象1.打开组策略管理器，选择要应用AD组策略的组织单位或域。

2.右键单击选择“新建GPO”（组策略对象）。

3.输入适当的名称，例如“禁止USB存储设备”。

步骤二：编辑组策略设置1.在组策略管理器中，右键单击新创建的组策略对象，并选择“编辑”。

2.在组策略管理编辑器中，展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。

3.找到并双击“可移动存储访问”策略。

步骤三：配置“可移动存储访问”策略1.在“可移动存储访问”策略中，选择“已禁用”。

2.单击“确定”保存更改。

步骤四：将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。

如何在域控中禁用客户端U盘
如何在AD域控中禁用客户端U盘呢？在百度中一搜，答案多得很，可照着他们的步骤，却屡次失败，经过翻阅许多资料，和自己许多次实验，终于成功呢，现分享如下：
整个过程包括三个步骤：
1、新建OU，并将AD中computer目录下的计算机移到此OU下（关键）。

2、在此OU新建组策略，编辑，并在“计算机配置―――》系统文件中”添加两个u盘驱
动文件，且将这两个文件的权限设置为domain user 拒绝所有
3、在刚才新建的组策略上，编辑，并在“计算机配置―――》登陆――》启动中添加一个
U盘启动文件批处理
现将详细步骤如下：
第一步
1、新建OU，名为disable u disk
2、将AD中的computer目录下的所有计算机移至OU下，如图所示
第二步
1、在此OU上新建组策略名为disk u disk(名可以反应出组策略)
2、右击OU――》属性――》组策略――》编辑
3、打开计算机配置―――》系统文件――》右击添加文件系统2个
（%systemroot%\inf\usbstor.inf）(%systemroot%\inf\usbstor.pnf)
4、为此两个文件设置权限即domain user为拒绝所有，
5、如图所示：
第三步
1、在此组策略中，打开计算机配置――》windows设置――》脚本―――》启动，添
加脚本，脚本内容如图
2、最后用gpupdate /force刷新
如果大家有疑问，可QQ我（1136893285）。

Win2003建立的域控，如何控制用户不能使用USB储存？Win2003建立的域控，如何控制用户不能使用USB储存？方法一，BIOS设置法（快刀斩乱麻法）进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此法过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的启动（适用于Windows XP/2000/2003）打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

方法三，隐藏盘符和禁止查看（适用于Windows系统）打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentV ersionPloic iesExplorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑” 中相应的驱动器就被隐藏了。

第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。

巧用组策略禁用U盘,禁止访问实现方法1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示如图1所示。

我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。

2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。

3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“C:Policies”下（盘符依赖于您安装的操作系统所在的分区），注意其中是您的Windows 2000的域名，打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !!NoDrives EXPLAIN !!NoDrives_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED V ALUENAME "NoDrives" ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY* POLICY !!NoViewOnDrive EXPLAIN !!NoViewOnDrive_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED V ALUENAME "NoViewOnDrive" ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT ; low 26bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!!NoViewOnDrive 的作用是阻止用户访问驱动器。