通过组策略禁用U盘的使用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 1
场景
USB移动存储给我们带来便利的同时,也带有不少麻烦:信息泄露、病毒传播等。
某单位希望将一些受限的计算机放置在某个OU中,禁用在这些计算机上使用USB存储设备。如果将某台计算机移出受限制的OU后,又可以使用USB存储设备了。
如果需求不复杂,可以不使用第三方移动存储管理软件(多数需要在客户端安装软件),而是使用组策略来达到此目的。
原理
推荐阅读:/default.aspx?scid=kb;en-us;823732
两个要点:
z第一次使用USB存储设备时,主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务,并且将这个服务启动。
z以后要使用USB存储设备,UsbStor服务必须处于启动状态。启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值
来控制。Start值的含义为:
0 Boot
1 System
2 Auto
Load
3 Load On Demand 默认值
4 Disabled
有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。这种做法有一个弱点:
如是一个人将U盘插入到从来没有使用过U盘的计算机时,Windows会自动安装UsbStor服务,并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。在这个时候,这个仍然可以使用USB存储设备!
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 2
解决方案
根据上面的分析,只有两者相结合才是最可靠的解决方案:
1、我们需要防止USBSTOR服务被安装,除非这些用户是可以使用USB存储设备
的。这可以通过在组策略中限制对USBSTOR.INF 和USBSTORE.PNF访问,
来访问即插即用功能自动安装驱动程序。
2、通过管理模板来控制USBSTOR启动类型
组策略1:控制对USBSTOR.INF 和USBSTORE.PNF的访问
1、打开Active Directory用户和计算机;
2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;
3、创建一个针对USB的GPO,比如命名为“只允许指定的用户组安装USB存储驱动
程序”,然后点击编辑,打开组策略编辑器;
4、进入组策略编辑器,依次展开计算机配置ÆWindows设置Æ安全设置Æ文件系统;
5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入
“%systemroot%\inf\usbstor.inf”,确定;
6、在“数据库安全设置”中,删除Users,添加相应组,如下所示。然后,应用、确
定;
7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安
全设置”进行重新设置;确认,退出设置;
8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.pnf”进行设置;
9、关闭组策略编辑器;
3电话:(0371)65706336 65706337 65706339 传真:(0371)65706367
地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002
10、使用“gpupdate /force”,强行刷新策略。
组策略2:控制对USBSTOR.INF 和USBSTORE.PNF的访问
1、创建自定义的管理模板文件。使用记事本创建一个文本文件,保存后缀为.adm文件,如
USBStore.adm
CLASS MACHINE
CATEGORY "Services und Drivers"
POLICY "USB Storage"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Startup type" DROPDOWNLIST
V ALUENAME "Start"
ITEMLIST
NAME "0 - Boot" V ALUE NUMERIC 0
NAME "1 - System" V ALUE NUMERIC 1
NAME "2 - Auto Load" V ALUE NUMERIC 2 DEFAULT
NAME "3 - Load On Demand" V ALUE NUMERIC 3
NAME "4 - Disabled" V ALUE NUMERIC 4
END ITEMLIST
END PART
4电话:(0371)65706336 65706337 65706339 传真:(0371)65706367
地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002
END POLICY
END CATEGORY
2、 如果通过管理模板修改注册表,如果以后是不应用此策略了,这些值也不会恢复原有的
值。所以,为了达到“仅对受限OU 的计算机禁用USB 移动存储设备,当计算机从受限OU 中移除后又恢复USB
移动设备的使用”的目的,所以建议先在域的级别上创建一个组策略--“允许使用USB 移动存储设备”
3、 在组策略编辑器中添加自定义的管理模板
电话:(0371) 65706336 65706337 65706339 传真:(0371)65706367
地址:郑州市丰产路81号思达数码大厦C 座5楼 邮编:450002
5