组策略禁用usb
域组策略下禁用USB和组策略
一、禁止USB存储设备、光驱、软驱、ZIP软驱第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
电脑禁用USB存储
一、修改组策略或注册表通过修改组策略或注册表,可以禁止访问某些特定盘符的U盘。
但是懂点组策略和注册表知识的员工可以轻轻松松地取消对U盘的限制。
所以实际上没什么用处。
老板不会采取这种办法。
二、修改BIOS设置,禁止使用USB设备在BIOS里面,把USB设备设置为disable。
然后为BIOS设一个登录密码,员工就无法使用优盘了。
这一招很猛,老板比较满意。
但是,这么一来,USB鼠标和USB键盘也不能用了,这是不可接受的。
因此,这一招由于太狠,也没有哪个会老板采用。
三、干掉Windows自带的USB设备驱动,这样U盘插进去找不到驱动,自然就不能用了。
具体操作:将Window系统中的i386文件夹下的设备压缩包彻底删除,或者停用usb 总线控制器。
这种办法的弱点显而易见:一是不能使用USB鼠标和USB键盘了;二是高手可以重装驱动或者启用usb总线控制器。
总之,这种防备办法也是聋子的耳朵--摆设!四、微软官方提出了一个适合于高手操作的解决方案。
但这种办法也没有什么效果,因为高手同样可以反其道而行之,把对U盘的限制统统取消掉。
因此,这只是一种只能防菜鸟不能防高手的办法。
启动Windows 资源管理器,然后找到%SystemRoot%\Inf 文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。
注意:此外,还需将系统帐户添加到“拒绝”列表中。
在“组或用户名称”列表中,选择“系统”帐户。
在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
组策略禁用USB
禁止访问USB存储设备
通过组策略设置,可以禁止用户访问和连接USB存储设备, 如U盘、移动硬盘等。
限制USB存储设备的使用
可以设置只允许特定的USB存储设备连接到计算机,或者限 制USB存储设备的读写权限。
禁用USB输入设备
禁止使用USB鼠标和键盘
通过组策略设置,可以禁止用户使用USB鼠标和键盘等输入设备。
限制其他USB输入设备的使用
可以设置只允许特定的USB输入设备连接到计算机,或者限制这些设备的输入 权限。
禁用USB通信设备
禁止使用USB通信设备
通过组策略设置,可以禁止用户使用USB通信设备,如蓝牙适配器、无线网卡等 。
限制其他USB通信设备的使用
可以设置只允许特定的USB通信设备连接到计算机,或者限制这些设备的通信权 限。
创建策略规则
定义规则
设置规则操作
保存并应用策略
右击“软件限制策略”,选 择“创建新的策略规则”。
在规则向导中,选择“程序 ”选项卡,然后单击“下一 步”。在“程序源”下,单 击“浏览”按钮,选择要禁
止的USB存储设备。
在“规则操作”下,选择“ 拒绝”操作。
完成规则设置后,单击“完 成”保存策略。然后,在组 策略编辑器中,应用该策略 到相应的计算机或用户组。
组策略禁用USB
汇报人: 日期:
目录
• 引言 • 组策略概述 • 禁用USB设备策略 • 实施步骤和注意事项 • 常见问题和解决方案 • 总结与展望
01
引言
背景介绍
计算机安全
随着计算机和互联网的普及,计算机 安全问题日益突出。USB设备的使用 也带来了一定的安全风险,如数据泄 露、恶意软件传播等。
提高工作效率
利用域策略禁用USB方法
利用域策略禁用USB方法A.在域相关OU里,策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。
屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B.在域里相关OU里,所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。
对域策略生效1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略Settings.各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。
组策略禁用USB存储器但开放其他USB设备方法 原创文章 图片教程
组策略禁用USB存储器但开放其他USB设备方法利用组策略让系统可以使用USB接口但无法使用USB存储器。
笔者是企业的IT,管理80台左右的电脑。
为方便管理,将电脑的软驱、光驱全部拆除,前置USB口的连接在BIOS里禁用了USB端口,设置了密码,使USB端口不能使用,虽说在一定程度上控制了科室工作人员使用闪USB口的禁用,而导致不能使用USB鼠标、手写板等设备。
最近有部门要求使用激光打印机及手写板,激光打印机勉强找到了能连接的COM口,而手写板设备只能使用以想在禁止使用USB存储器的情况下又不影响USB设备(打印机、键盘、鼠标)的使用,怎么办呢?在多次实验一个方法了。
步骤如下1、确定数字与盘符的关系我需要隐藏及禁用的是除了C、D、E盘之外的磁盘分区,据微软相关资料所述,需要隐藏的驱动器的值设驱动器的值为0,那么数字与盘符的对应关系如下表:接下来将11111111111111111111100011字符串转换为十进制数字,这个用Windows自带的计算器就可以办十进制数字为:671088352.修改system.adm文件搜索域控制器C盘下的system.adm文件,一下搜出来好几个,且分布在不同的文件夹,大小及修改日期都制了其中1个文件并用记事本打开,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67108835”,如下图。
接着继续查找“Strings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除C、D、E外其他驱动器"”,修改后进行保存并覆盖掉原来的文件。
3. 编辑域用户的组策略重新启动域控制器,打开“Active Directory用户和计算机”编辑域用户的组策略,在“用户配置”→“板”→“Windows组件”→“Windows资源管理器”的隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑的选项中果然就出现了“除C、D、E外的驱动器”选项,如下图。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
AD组策略禁用U盘
ad组策略的作用
01
AD组策略可帮助企业实现以 下目标
02
03
04
统一管理:通过定义组策略对 象,企业可以实现对网络中计 算机和用户的统一管理和控制 ,减少管理员的工作量,提高 管理效率。
安全加固:AD组策略可以定 义各种安全设置,如密码策略 、账户策略、防火墙设置等, 以提高网络的安全性。
计算机配置是指定组策略设置,以禁 用或启用U盘的使用。
在计算机配置中,我们需要更改设备策略 来禁用USB存储设备。
我们可以通过在设备管理器中禁用 USB存储设备来禁止用户使用U盘 。
用户配置
用户配置是指定组策略设置,以禁用或启用U盘的使用。 在用户配置中,我们需要更改设备策略来禁用USB存储设备。 我们可以通过在设备管理器中禁用USB存储设备来禁止用户使用U盘。
ad组策略禁用u盘
xx年xx月xx日
目 录
• 介绍 • ad组策略禁用u盘的方法 • ad组策略禁用u盘的优缺点 • ad组策略禁用u盘的适用场景 • ad组策略禁用u盘的实践案例
01
介绍
什么是ad组策略
AD组策略是一种企业级集中管理工具,用于在Active Directory(AD)域中管理和控制用户、计算机和其他网络 资源的策略。
问题描述
由于政务网内涉及大量敏感信息,如果U盘使用不当,可能导致敏感信息泄漏,对政府形 象和公众利益造成损害。
解决方案
通过AD组策略禁用U盘,严格控制员工使用U盘的范围和功能,确保敏感信息的安全性和 保密性。同时,可以防止病毒和恶意软件在政务网内传播,提高网络安全性。
THANKS
组策略禁用usb
组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R,输入`gpedit.msc`,点击确定。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击本地策略,最后点击安全选项。
在右侧找到并双击打开用户账户控制:管理模板,然后双击打开Windows组件。
在Windows组件下找到并双击打开Windows资源管理器。
在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件,然后选择已启用,点击确定。
开启组策略编辑器配置USB设备策略选择已启用,点击确定。
在右侧找到并双击打开禁用USB 存储设备。
在USB根集线器下找到并双击打开策略选项卡。
在计算机配置下,点击Windows 设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在USB根集线器下找到并双击打开策略选项卡。
在右侧找到并双击打开禁用USB其他设备。
选择已启用,点击确定。
禁用USB存储设备03注意事项在实施组策略禁用USB之前,需要对员工USB设备使用需求进行充分了解,以便制定更加合理的策略配置。
了解员工USB设备使用需求在实施组策略之前,需要充分评估禁用USB的必要性,以及是否有其他更加适合的解决方案。
确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求,可以提供一些安全替代方案,如FTP、SFTP、云存储等。
配置合理的权限和访问控制在提供安全替代方案时,需要配置合理的权限和访问控制,以确保只有授权用户才能访问相应的文件资源。
安全替代方案进行测试和验证在组策略禁用USB之前,需要进行充分的测试和验证,以确保策略配置的正确性和有效性。
通过组策略禁用U盘的使用
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 1场景USB移动存储给我们带来便利的同时,也带有不少麻烦:信息泄露、病毒传播等。
某单位希望将一些受限的计算机放置在某个OU中,禁用在这些计算机上使用USB存储设备。
如果将某台计算机移出受限制的OU后,又可以使用USB存储设备了。
如果需求不复杂,可以不使用第三方移动存储管理软件(多数需要在客户端安装软件),而是使用组策略来达到此目的。
原理推荐阅读:/default.aspx?scid=kb;en-us;823732两个要点:z第一次使用USB存储设备时,主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务,并且将这个服务启动。
z以后要使用USB存储设备,UsbStor服务必须处于启动状态。
启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值来控制。
Start值的含义为:0 Boot1 System2 AutoLoad3 Load On Demand 默认值4 Disabled有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。
这种做法有一个弱点:如是一个人将U盘插入到从来没有使用过U盘的计算机时,Windows会自动安装UsbStor服务,并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。
在这个时候,这个仍然可以使用USB存储设备!电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 2解决方案根据上面的分析,只有两者相结合才是最可靠的解决方案:1、我们需要防止USBSTOR服务被安装,除非这些用户是可以使用USB存储设备的。
AD组策略禁用U盘
AD组策略禁用U盘如果需要禁用U盘的使用,可以通过AD组策略来实现。
下面是详细的步骤,以及一些注意事项:1.创建一个新的组策略对象(GPO):- 打开Group Policy Management Console(GPMC)- 在左侧的树形目录中选择“Group Policy Objects”,右键单击,选择“New”-输入一个描述性的名称,然后点击“OK”-在GPMC中,找到创建的新GPO- 右键单击该GPO,然后选择“Edit”选项3.配置组策略设置:-展开“系统”子节点,然后找到“可移动存储访问”-在右侧的列表中,找到“禁用USB存储设备”,双击打开设置窗口-在设置窗口中,选择“已启用”,然后点击“确定”4.更新组策略:-在GPMC中,找到域对象- 右键单击域对象,然后选择“Group Policy Update...”选项-在弹出的对话框中,选择需要更新的对象,然后点击“OK”5.验证组策略设置:-在域内的计算机上,以域管理员身份登录- 打开命令提示符,输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘,检查是否能够正常访问需要注意的是,禁用U盘使用是一种较为严格的控制措施,可能会对用户的正常操作造成一定的影响。
在实施之前,需要与用户进行充分的沟通和培训,并根据实际情况进行调整和适配。
此外,应注意以下几点:1.仅禁用U盘可能无法完全限制用户从其他途径传输文件(例如通过网络或其他外部存储设备)。
因此,在实施组策略之前,应对其他可能的数据传输途径进行评估和控制。
2.组策略设置将适用于所有用户和计算机。
如果只想限制特定用户或计算机的U盘使用,可以将GPO应用于相应的组织单元(OU)或安全组。
3.在一些情况下,可能需要允许一些特定用户或计算机使用U盘。
可以针对这些特殊情况创建不同的GPO,或者通过安全组的方式进行特权控制。
总结来说,通过AD组策略禁用U盘的使用,可以有效地增强计算机系统的安全性。
AD组策略禁用U盘
“自动播放”。 • 在右侧窗格中,双击“关闭自动播放”。 • 在“关闭自动播放属性”对话框中,选择“已启用”,然后在“选项”下选择“所有驱动器”,然后单击
“确定”。 • 重新启动计算机以使更改生效。
2023
《AD组策略禁用U盘》
目录
• 引言 • AD组策略禁用U盘的方法 • 禁用U盘的影响及注意事项 • 案例分析与应用 • 总结与展望
01
引言
背景介绍
随着信息技术的不断发展,企业数据安全问题日益受到重视 。U盘作为一种常用的数据传输工具,也可能成为企业数据泄 露的潜在风险。为了保护企业数据安全,需要采取措施禁用 或限制使用U盘。
05
总结与展望
AD组策略禁用U盘的优势
提高安全性
通过禁用U盘,可以减少病毒、恶意软件和未经授权的数据传输的风险,提高整个网络的 安全性。
控制数据访问
通过AD组策略,可以精确地控制哪些用户或组可以访问特定的文件和文件夹,从而更好 地保护敏感数据。
减少不必要的麻烦
禁用U盘可以避免因U盘使用不当而导致的数据丢失、病毒感染等问题,减少了管理员的 维护工作量。
使用第三方软件阻止U盘使用
安装完成后,打开软件并找到“禁止USB存 储设备”、“禁止USB随身设备”、“禁止
USB驱动程序”等功能。 保存设置并重新启动计算机以使更改生效。
下载并安装第三方软件,例如“大势至USB 监控系统”。
根据需要选择相应的选项,并设置禁止的设 备或驱动程序。
03
禁用U盘的影响及注意事项
组策略通过将管理和配置任务集中到一个中央位置,简化 了网络管理员的工作,并提高了管理效率。
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中,处于保护电脑文件安全和商业机密的需要,我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用,防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。
那么,具体如何管理电脑USB接口、禁用U盘呢?笔者以为,可以通过以下方式实现,一种是通过注册表和组策略的方式来实现(如果你觉得这种方法复杂,可以直接看文章底部第二种方法),另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现,相对更为简单:一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。
注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB 设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。
找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。
如下图确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
Windows 2003 域控制器 组策略禁止USB的方法
Windows 2003 域控制器组策略禁止USB的方法我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB 存储设备!//////////////////////////////////////////////////////CLASS USERCATEGORY !!ADMDescPOLICY !!MMC_DeviceManagerXKEYNAME"Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640b f}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !!MMC_DeviceManagerKEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7 a}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !!ADMDescPOLICY !!USB_UHCD_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_UHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_EHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbehci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_HUBKEYNAME "SYSTEM\CurrentControlSet\Services\usbhub" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!CD_ROMKEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!Floppy_DiskKEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORY[strings]ADMDesc="自定义策略"MMC_DeviceManagerX="设备管理器扩展插件"MMC_DeviceManager="设备管理器"SUPPORTED_Win2k="至少使用Microsoft Windows 2000"MMC_Restrict_Explain="Disable ——禁用设备管理器扩展插件;Enable ——启用设备管理器扩展插件 "DEVMGR_Restrict_Explain="Disable ——禁用设备管理器;Enable ——启用设备管理器"USB_UHCD_PARAMS="USB通用主控制器驱动器"STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"STARTUPTYPE="启动类型"USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="光驱"Floppy_Disk="软驱"//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件(如何让每台机子开机导入注册表文件,就不用我讲了吧),文件内容为:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"start"=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中,将所有用户删除!只留 domain\administrator用户!一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。
AD组策略禁用U盘
AD组策略是一种基于Active Directory(活动目录)的组策略服务,它用于管理和控制组织内部的IT环境。它允许管理员通过组策略对象(GPO)来集中管理和配置网络中的计算机和用户。AD组策略是一种非常强大的工具,可以用于实现各种策略,包括禁用USB存储设备的使用。
AD组策略的定义
AD组策略的功能和作用
背景介绍
03
提高工作效率
禁止U盘使用可以避免员工在使用U盘时浪费时间和精力,提高工作效率。
目的和意义
01
减少病毒和恶意软件传播的风险
通过禁用U盘,可以减少病毒和恶意软件通过U盘传播的机会。
02
保护企业数据的安全
禁用U盘可以防止员工随意拷贝企业数据,从而降低数据泄露的风险。
02
AD组策略介绍
Chapter
ad组策略禁用u盘
2023-11-06
contents
目录
引言AD组策略介绍禁用U盘的必要性AD组策略禁用U盘的方法禁用U盘的注意事项结论
01
引言
Chapter
在企业环境中,通常会通过各种方式限制员工对U盘的使用,以防止潜在的安全风险和数据泄露。
在Windows操作系统中,通过Active Directory(AD)组策略可以实现对U盘的禁用。
AD组策略的优点
易于管理:管理员可以在中央位置统一管理和监控AD组策略的应用情况。
保护数据:可以防止未经授权的数据传输和泄露。
安全性高:可以避免U盘带来的病毒和恶意软件攻击风险。
使用AD组策略禁用U盘有以下优点
方便快捷:通过AD组策略禁用U盘可以快速、简便地实现组织内部计算机的统一管理。
03
禁用U盘的必要性
组策略是Active Directory(AD)中的一种功能,它允许管理员定义规则和策略,以便在组织中管理和控制计算机和用户的行为。
利用组策略关闭域用户usb接口
利用组策略关闭域用户usb接口最近因安全审查,需要关闭公司内所有办公电脑的usb接口,使用户无法使用U盘等usb存储器。
考虑到所有办公电脑都接受域的管理,因而想到用域的组策略来实现该目的。
因组策略实施起来比较简单方便,事后恢复起来也很方便。
整个操作思路如下:1.通过注册表修改的方式实现客户端电脑USB接口不能用。
2.利用BAT批处理文件自动执行的方式,实现客户端注册表的自动修改。
3.通过域组策略指派客户端电脑自动运行制定的批处理文件。
下面就如何实现上述操作以及可能碰到的问题进行阐述;1.文件准备。
本次操作需要准备两个文件,我将两个文件分别命名为usb.bat 和usb.reg 。
文件内容分别如下:Usb.bat内容:@echo off@regedit /s \\xxx.xxx.xxx.xxx\netlogon\usbstor.reg@echo onExit(备注:xxx.xxx.xxx.xxx代表域服务器的IP地址,使用时修改为自己域服务器的ip地址即可)usb.reg内容:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00, \52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存储设备"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00以上内容可以直接拷贝到txt记事本文件内,然后将后缀名修改为bat和reg保存就可以了。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻底禁止USB存储设备在如今信息化时代,数据的安全性越来越受到重视。
越来越多的企业、机构和组织都意识到,内部数据的泄漏可能会给他们带来巨大的损失和影响。
因此,为了确保信息的安全性,限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。
Active Directory(AD)组策略是微软Windows操作系统中重要的安全管理工具,它通过集中管理和配置网络中的用户和计算机,提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。
本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用,从而确保企业的信息安全。
为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性,但也带来了潜在的安全风险。
一旦员工可以随意使用USB存储设备,他们就可以轻松地将敏感数据复制到移动存储设备中,这可能导致数据泄漏、知识产权侵权等问题。
此外,病毒和恶意软件也可以通过感染USB存储设备来传播。
一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机,整个网络都可能受到威胁。
因此,禁止USB存储设备的使用是确保企业数据安全的重要一环。
使用AD组策略禁止USB存储设备步骤一:创建组策略对象1.打开组策略管理器,选择要应用AD组策略的组织单位或域。
2.右键单击选择“新建GPO”(组策略对象)。
3.输入适当的名称,例如“禁止USB存储设备”。
步骤二:编辑组策略设置1.在组策略管理器中,右键单击新创建的组策略对象,并选择“编辑”。
2.在组策略管理编辑器中,展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。
3.找到并双击“可移动存储访问”策略。
步骤三:配置“可移动存储访问”策略1.在“可移动存储访问”策略中,选择“已禁用”。
2.单击“确定”保存更改。
步骤四:将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。
组策略禁用usb
在组策略编辑器中展开“计算机配置”
在左侧窗格中选择“计算机配置” 。
VS
展开“计算机配置”后,选择“管 理模板”。
展开“管理模板”
在左侧窗格中选择“管理模板”。
展开“管理模板”后,选择“系统”。
展开“系统”
在左侧窗格中选择“系统”。
VS
展开“系统”后,找到“USB设备 策略”并双击打开。
找到“USB设备策略”并双击打开
THANKS
在右侧窗格中找到“USB设备策略”。
双击打开“USB设备策略”。
选择“已禁用”选项
在右侧窗格中选择“已禁用”选项。 点击右下角的“应用”按钮,然后点击“确定”按钮保存更改。
关闭本地组策略编辑器。
04
组策略禁用USB的效果
USB设备无法被识别
当组策略禁用USB后,连接到计算机 的USB设备将无法被正确识别。
提高安全性
集中管理
禁用USB可以减少不必要的权限和访问控制 ,从而提高计算机的安全性和可靠性。
使用组策略可以集中管理和控制计算机或本 地用户的配置和权限,提高管理效率和管理 安全性。
02
组策略禁用USB的方法
打开组策略
按下Win+R组合键打开“运行”对话框。
输入gpedit.msc并点击“确定”打开组策略。
组策略可以设置应用程序的配置,包括软件安装、卸 载、运行、更新等。
组策略可以设置网络安全和访问控制,包括防火墙、 密码策略、访问控制列表等。
为什么要使用组策略禁用USBຫໍສະໝຸດ 保护计算机安全数据保护
禁用USB可以防止恶意软件通过USB设备传 播,从而保护计算机的安全。
禁用USB可以防止未经授权的用户访问计算 机中的数据,从而保护数据的机密性和完整 性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用AD组策略-----彻低禁止USB存储设备
USB, ZIP, 软驱, 光驱, 设备USB, Update, 设备
本帖最后由 zh_cxl 于 2009-2-4 15:36 编辑
原2008-10-13的更新有误,主要是usbstor.inf和usbstor.pnf的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB 存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),
注意事项:
(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户
1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;
2、在右边单击鼠标右键选择--添加文件;
3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定;
4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;
5、出现如下对话框,继续单确定;
6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去,如下图;
7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;
8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限,发现里
面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10
先下载附件里的usb.adm文件
详细操作如下:
1,在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中,
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。