域策略禁用usb
?
文檔及模板可在 http://pan.baidu.com/s/1qYTcjTy? 下載
pro_usb_users.adm? 此模板可禁用到 指定盤符,針對用戶策略
pro_usb_computers.adm? 此模板 針對計算機(jī),一般只要它就好了。
可以從 3 個方面下手
?
其實 adm配置文件,看起來是修改了本地組策略,其實最后還是通過修改注冊表實現(xiàn)的。
我們只保留可以查看ABCDE 盤。其他的盤符,不可查看,不可讀寫。
服務(wù)端? Server 2003 \
客戶端? XP 的版本為 sp3, ?E盤為光驅(qū),F盤為U盤
第一種方法 (不推薦這種,雖 可圖像化訪問,但可以用DOS訪問)
要用到兩個鍵
NoDrives? 禁止顯示(不顯示在我的電腦里、如果NoViewOnDrive設(shè)置為訪問時,可以通過直接訪問完全路徑進(jìn)行訪問)
NoViewOnDrive? 禁止訪問(其實可以通過命令行訪問的),
?
值為0 時,為啟用功能, 為1時是不啟用。
可以在 excel 中弄好自己想要隱藏的,復(fù)制到計算器內(nèi),轉(zhuǎn)成16進(jìn)制就好了
結(jié)果為? 3FFFFE0
?
?
?
Windows Registry Editor Version 5.00
?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03ffffe0
"NoViewOnDrive"=dword:03ffffe0
?
這樣,除了ABCDE 其他磁盤,為不顯示,不可讀寫(但命令行可以訪問)
?
?
?
第二 種呢、就是 修改?? usbhub(舊系統(tǒng))?? USBSTOR 現(xiàn)在的系統(tǒng)
?
Windows Registry Editor Version 5.00
?
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004
?
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]
"Start"=dword:00000004
?
https://support.microsoft.com/zh-cn/kb/823732 官方文檔
?
此處需要注意一下
修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
的Start為4時,每次接入新設(shè)備時,還會變?yōu)?,只有策略再次刷新過后,下次接入該USB才不可被識別.
當(dāng)然清理過USB 痕跡,就也再次被識別, 例如使用 usbviewer 工具
?
知道 注冊表修改了 什么,我們就開始寫 adm 文件
https://support.microsoft.com/en-us/kb/555324? 可以下載模板文件,但注意開頭為CLASS MACHINE 也就是說,它是計算機(jī)配置的模板,針對計算機(jī)的配置,需要重啟PC的。
?
第一種禁用到盤符的,是針對用戶的,注銷用戶就可,adm文件編碼請使用UCS-2,否則會亂碼
?
之前 修改注冊表的 16進(jìn)制、在adm文件要轉(zhuǎn)為10進(jìn)制。
?
在 域控上 建立一個 GPO 用戶模板引用 此規(guī)則 ,保存為 xx.adm 即可
?
----------------復(fù)制以下----------------------------
CLASS USER
CATEGORY !!category
?CATEGORY !!categoryname
?KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
? POLICY !!policyNoDrives
??
?? EXPLAIN !!explaindrives
???? PART !!labeltextusb DROPDOWNLIST REQUIRED
?
?????? VALUENAME "NoDrives"
?????? ITEMLIST
?????????????????????????????????????????????? NAME !!ABOnly?????????? VALUE NUMERIC???? 3
?????????????????????????????????????????????? NAME !!COnly??????????? VALUE NUMERIC????? 4
?????????????????????????????????????????????? NAME !!DOnly??????????? VALUE NUMERIC ?? 8
?????????????????????????????????????????????? NAME !!ABConly????????? VALUE NUMERIC ?? 7
?????????????????????????????????????????????? NAME !!ABCDOnly???????? VALUE NUMERIC??? 15
?????????????????????????????????????????????? NAME !!ALLDrives??????? VALUE NUMERIC?????? 67108863 DEFAULT
?????????????????????????????????????????????? ;此處隱藏除ABCDE外所有的盤符
?????????????????????????????????????????????? NAME !!ExceptABCDE????? VALUE NUMERIC???? 67108832
?????? END ITEMLIST
???? END PART
???????? END POLICY????
?????????????????? POLICY !!policyNoViewOnDrives
??????????????????????????? EXPLAIN !!NoViewOnDrive_Help
??????????????????????????? PART !!NoDrivesDropdown???? DROPDOWNLIST NOSORT REQUIRED
???????????????????????????????????? VALUENAME "NoViewOnDrive"
???????????????????????????????????? ITEMLIST
?????????????????????????????????????????????? NAME !!ABOnly?????????? VALUE NUMERIC???? 3
?????????????????????????????????????????????? NAME !!COnly??????????? VALUE NUMERIC????? 4
?????????????????????????????????????????????? NAME !!DOnly??????????? VALUE NUMERIC ?? 8
?????????????????????????????????????????????? NAME !!ABConly????????? VALUE NUMERIC ?? 7
?????????????????????????????????????????????? NAME !!ABCDOnly???????? VALUE NUMERIC??? 15
?????????????????????????????????????????????? NAME !!ALLDrives??????? VALUE NUMERIC?????? 67108863 DEFAULT
?????????????????????????????????????????????? ; low 26 bits on (1 bit per drive)
?????????????????????????????????????????????? ;此處禁用除ABCDE外所有的盤符
?????????????????????????????????????????????? NAME !!ExceptABCDE????? VALUE NUMERIC???? 67108832
???????????????????????????????????? END ITEMLIST
??????????????????????????? END PART
?????????????????? END POLICY???? ???
?END CATEGORY
END CATEGORY
?
[strings]
ABOnly="僅限制驅(qū)動器 A 和 B"
ABCDOnly="僅限制驅(qū)動器 A、B、C 和 D"
COnly="僅限制驅(qū)動器 C"
DOnly="僅限制驅(qū)動器 D"
ABConly="僅限制驅(qū)動器 A、B 和 C"
ALLDrives="限制所有驅(qū)動器"
ExceptABCDE="限制除A、B、C、D、E外所有驅(qū)動器"
?
category="禁用盤符"
categoryname="Restrict Drives"
policyNoDrives="在我的電腦中隱藏這些盤符"
explaindrives="請根據(jù)自己的情況選擇要禁用的盤符"
labeltextusb="選擇禁用盤符"
?
policyNoViewOnDrives="防止從“我的電腦”訪問驅(qū)動器"
NoViewOnDrive_Help="防止用戶使用我的電腦訪問所選驅(qū)動器的內(nèi)容。
NoDrivesDropdown="選擇下列組合中的一個"
?
----------------復(fù)制以上----------------------------
?
?
然后,我們啟用禁用 "限制除A、B、C、D、E外所有驅(qū)動器" , 客戶端gpupdate /force ,然后 rsop.msc 查看獲取策略的結(jié)果
?
此 策略 再 配上 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Start 等于4 的策略,能應(yīng)付一般的 使用人員了。
?
---------------復(fù)制以下—這是 計算機(jī)策略----
CLASS MACHINE
CATEGORY !!category
?CATEGORY !!categoryname
? POLICY !!policynameusb
?? KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
?? EXPLAIN !!explaintextusb
???? PART !!labeltextusb DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??????? NAME !!Disabled VALUE NUMERIC 3 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
?????? END ITEMLIST
???? END PART
?? END POLICY??????
? POLICY !!Allusb_usbhub
?? KEYNAME "SYSTEM\ControlSet001\Services\usbhub"
?? EXPLAIN !!explain_USBSTOR
???? PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??????? NAME !!Disabled VALUE NUMERIC 3 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
? ?????END ITEMLIST
???? END PART
?? END POLICY?????? ??
? POLICY !!Allusb_USBSTOR
?? KEYNAME "SYSTEM\ControlSet001\Services\USBSTOR"
?? EXPLAIN !!explain_USBSTOR
???? PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??????? NAME !!Disabled VALUE NUMERIC 3 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
?????? END ITEMLIST
???? END PART
?? END POLICY?????? ??
? POLICY !!policynamecd
?? KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
?? EXPLAIN !!explaintextcd
???? PART !!labeltextcd DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??????? NAME !!Disabled VALUE NUMERIC 1 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
?????? END ITEMLIST
???? END PART
?? END POLICY
? POLICY !!policynameflpy
?? KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
?? EXPLAIN !!explaintextflpy
???? PART !!labeltextflpy DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??????? NAME !!Disabled VALUE NUMERIC 3 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
?????? END ITEMLIST
???? END PART
?? END POLICY
? POLICY !!policynamels120
?? KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
?? EXPLAIN !!explaintextls120
???? PART !!labeltextls120 DROPDOWNLIST REQUIRED
?
?????? VALUENAME "Start"
?????? ITEMLIST
??? ????NAME !!Disabled VALUE NUMERIC 3 DEFAULT
??????? NAME !!Enabled VALUE NUMERIC 4
?????? END ITEMLIST
???? END PART
?? END POLICY
?END CATEGORY
END CATEGORY
?
[strings]
category="Disable_USB"
categoryname="Restrict Drives"
Allusb_USBSTOR="disable USBSTOR"
Allusb_usbhub="disable usbhub"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explain_USBSTOR="Disables usb"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labusb_USBSTOR="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
?
---------------復(fù)制以上----------
?
其實 都是 修改注冊表 也可以用 批處理 來完成、個人喜歡寫 adm文件,寫好后,可動態(tài)選擇,不死板。
?
------------用戶-------
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t reg_dword /d 67108832 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t reg_dword /d 67108832 /f
?
-----------計算機(jī)---------
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f
?
?
第二種,就是從驅(qū)動下手啦,這要放到 計算機(jī) 配置下手。
從文件系統(tǒng)中 ,禁用下面兩個文件
(我只留下administrators 與system 這兩個組可讀取,其他的都沒讀取權(quán)限,但一定要加入Everyone這個組,并拒絕讀取 ?普通域用戶為 power user)
%SystemRoot%\inf\usbstor.inf?
%SystemRoot%\inf\usbstor.PNF
?
?
?
?
然后去 客戶端 看看結(jié)果
?
不過此 方案下,如果換usb的鍵盤、鼠標(biāo)、打印機(jī),也會彈出此窗體,輸入有讀取 usbstor.inf、usbstor.PNF文件權(quán)限的 用戶及密碼即可。
?
?
?
?
第二種方案 在win7 的客戶端 下不能生效,要注意。
但第一種可以 在win7下生效
?
?
當(dāng)啟用 計算機(jī)配置后, 就可以在win7上禁用 usb了
?
??
?
--------------------------我是分割線-----------------------------
現(xiàn)在 換成
服務(wù)器2008 r2
客戶端xp sp3
?
然后用禁用 usb的 計算機(jī)模板,可以禁用 xp上的 usb
?
?
?
我們在2008 r2 設(shè)置一個禁用usb 驅(qū)動的 gpo (如下圖)
?
?
然后看XP 的結(jié)果集 ,是生效的,如下圖
?
?
?
但 當(dāng) win7 做為客戶端時,就不會有效禁用 usb.
?
?
2008 r2 對移動存儲 新加入了新功能選項,我們可以用它來禁用USB.
?
此處應(yīng)該把 策略 掛在用戶OU下,(我掛在計算機(jī)OU下,gpresult /v 沒查看到獲取成功)
?
?
XP 可以 接收到域策略,卻不能執(zhí)行,估計是版本太老,沒這功能。
?
?
可是win7 的效果就很好。
?
?
?
所以、如果想兼容xp 與win7還是寫模板文件好點。。
?
請選擇? pro_usb_computers.adm? 模板,掛在 計算機(jī)策略下,不論服務(wù)器是 2003 或是2008 r2 ,客戶端是 xp 還是win7 都會生效。
轉(zhuǎn)載于:https://www.cnblogs.com/likehc/p/5866226.html
總結(jié)
- 上一篇: Analyzing Storage Pe
- 下一篇: Js的 继承