域策略禁用usb

本文轉載自查看原文 2016-09-12 20:49 1434

文檔及模板可在 http://pan.baidu.com/s/1qYTcjTy 下載

pro_usb_users.adm 此模板可禁用到指定盤符，針對用戶策略

pro_usb_computers.adm 此模板針對計算機，一般只要它就好了。

可以從 3 個方面下手

adm 配置文件。
注冊表
usb驅動

其實 adm配置文件，看起來是修改了本地組策略，其實最后還是通過修改注冊表實現的。

我們只保留可以查看ABCDE 盤。其他的盤符，不可查看，不可讀寫。

服務端 Server 2003 \

客戶端 XP 的版本為 sp3, E盤為光驅，F盤為U盤

第一種方法（不推薦這種，雖可圖像化訪問，但可以用DOS訪問）

要用到兩個鍵

NoDrives 禁止顯示(不顯示在我的電腦里、如果NoViewOnDrive設置為訪問時，可以通過直接訪問完全路徑進行訪問)

NoViewOnDrive 禁止訪問(其實可以通過命令行訪問的)，

值為0 時，為啟用功能，為1時是不啟用。

可以在 excel 中弄好自己想要隱藏的，復制到計算器內，轉成16進制就好了

結果為 3FFFFE0

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"=dword:03ffffe0

"NoViewOnDrive"=dword:03ffffe0

這樣，除了ABCDE 其他磁盤，為不顯示，不可讀寫(但命令行可以訪問)

第二種呢、就是修改 usbhub(舊系統) USBSTOR 現在的系統

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]

"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]

"Start"=dword:00000004

https://support.microsoft.com/zh-cn/kb/823732 官方文檔

此處需要注意一下

修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

的Start為4時，每次接入新設備時，還會變為3,只有策略再次刷新過后，下次接入該USB才不可被識別.

當然清理過USB 痕跡，就也再次被識別， 例如使用 usbviewer 工具

知道注冊表修改了什么，我們就開始寫 adm 文件

https://support.microsoft.com/en-us/kb/555324 可以下載模板文件，但注意開頭為CLASS MACHINE 也就是說，它是計算機配置的模板，針對計算機的配置，需要重啟PC的。

第一種禁用到盤符的，是針對用戶的，注銷用戶就可，adm文件編碼請使用UCS-2,否則會亂碼

之前修改注冊表的 16進制、在adm文件要轉為10進制。

在域控上建立一個 GPO 用戶模板引用此規則，保存為 xx.adm 即可

----------------復制以下----------------------------

CLASS USER

CATEGORY !!category

CATEGORY !!categoryname

KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

POLICY !!policyNoDrives

EXPLAIN !!explaindrives

PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

;此處隱藏除ABCDE外所有的盤符

NAME !!ExceptABCDE VALUE NUMERIC 67108832

END ITEMLIST

END PART

END POLICY

POLICY !!policyNoViewOnDrives

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

;此處禁用除ABCDE外所有的盤符

NAME !!ExceptABCDE VALUE NUMERIC 67108832

END ITEMLIST

END PART

END POLICY

END CATEGORY

[strings]

ABOnly="僅限制驅動器 A 和 B"

ABCDOnly="僅限制驅動器 A、B、C 和 D"

COnly="僅限制驅動器 C"

DOnly="僅限制驅動器 D"

ABConly="僅限制驅動器 A、B 和 C"

ALLDrives="限制所有驅動器"

ExceptABCDE="限制除A、B、C、D、E外所有驅動器"

category="禁用盤符"

categoryname="Restrict Drives"

policyNoDrives="在我的電腦中隱藏這些盤符"

explaindrives="請根據自己的情況選擇要禁用的盤符"

labeltextusb="選擇禁用盤符"

policyNoViewOnDrives="防止從“我的電腦”訪問驅動器"

NoViewOnDrive_Help="防止用戶使用我的電腦訪問所選驅動器的內容。

NoDrivesDropdown="選擇下列組合中的一個"

----------------復制以上----------------------------

然后，我們啟用禁用 "限制除A、B、C、D、E外所有驅動器" ，客戶端gpupdate /force ,然后 rsop.msc 查看獲取策略的結果

此策略再配上 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Start 等於4 的策略，能應付一般的使用人員了。

---------------復制以下—這是計算機策略----

CLASS MACHINE

CATEGORY !!category

CATEGORY !!categoryname

POLICY !!policynameusb

KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"

EXPLAIN !!explaintextusb

PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!Allusb_usbhub

KEYNAME "SYSTEM\ControlSet001\Services\usbhub"

EXPLAIN !!explain_USBSTOR

PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!Allusb_USBSTOR

KEYNAME "SYSTEM\ControlSet001\Services\USBSTOR"

EXPLAIN !!explain_USBSTOR

PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynamecd

KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"

EXPLAIN !!explaintextcd

PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 1 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynameflpy

KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"

EXPLAIN !!explaintextflpy

PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynamels120

KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"

EXPLAIN !!explaintextls120

PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

END CATEGORY

[strings]

category="Disable_USB"

categoryname="Restrict Drives"

Allusb_USBSTOR="disable USBSTOR"

Allusb_usbhub="disable usbhub"

policynameusb="Disable USB"

policynamecd="Disable CD-ROM"

policynameflpy="Disable Floppy"

policynamels120="Disable High Capacity Floppy"

explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"

explain_USBSTOR="Disables usb"

explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"

explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"

explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"

labeltextusb="Disable USB Ports"

labusb_USBSTOR="Disable USB Ports"

labeltextcd="Disable CD-ROM Drive"

labeltextflpy="Disable Floppy Drive"

labeltextls120="Disable High Capacity Floppy Drive"

Enabled="Enabled"

Disabled="Disabled"

---------------復制以上----------

其實都是修改注冊表也可以用批處理來完成、個人喜歡寫 adm文件，寫好后，可動態選擇,不死板。

------------用戶-------

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t reg_dword /d 67108832 /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t reg_dword /d 67108832 /f

-----------計算機---------

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f

第二種，就是從驅動下手啦，這要放到計算機配置下手。

從文件系統中，禁用下面兩個文件

(我只留下administrators 與system 這兩個組可讀取，其他的都沒讀取權限，但一定要加入Everyone這個組，並拒絕讀取 普通域用戶為 power user)

%SystemRoot%\inf\usbstor.inf

%SystemRoot%\inf\usbstor.PNF

然后去客戶端看看結果

不過此方案下，如果換usb的鍵盤、鼠標、打印機，也會彈出此窗體，輸入有讀取 usbstor.inf、usbstor.PNF文件權限的用戶及密碼即可。

第二種方案 在win7 的客戶端 下不能生效，要注意。

但第一種可以 在win7下生效

當啟用計算機配置后，就可以在win7上禁用 usb了

--------------------------我是分割線-----------------------------

現在換成

服務器2008 r2

客戶端xp sp3

然后用禁用 usb的計算機模板，可以禁用 xp上的 usb

我們在2008 r2 設置一個禁用usb 驅動的 gpo （如下圖）

然后看XP 的結果集，是生效的，如下圖

但當 win7 做為客戶端時，就不會有效禁用 usb.

2008 r2 對移動存儲新加入了新功能選項，我們可以用它來禁用USB.

此處應該把 策略 掛在用戶OU下，(我掛在計算機OU下，gpresult /v 沒查看到獲取成功)

XP 可以接收到域策略，卻不能執行，估計是版本太老，沒這功能。

可是win7 的效果就很好。

所以、如果想兼容xp 與win7還是寫模板文件好點。。

請選擇 pro_usb_computers.adm 模板，掛在計算機策略下，不論服務器是 2003 或是2008 r2 ，客戶端是 xp 還是win7 都會生效。

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 用AD域組策略來實現USB 只讀、讀寫、禁用的管控 Windows Server 2008 R2域控組策略設置禁用USB 2008R2域控環境中　應用組策略　實現禁用USB設備使用 server 2012 域空禁用usb權限操作禁用Chrome安全策略，以允許跨域 centos禁用usb驅動在Windows Server 2012 R2域環境中禁用（取消）密碼復雜策略在Windows Server 2012 R2域環境中禁用（取消）密碼復雜策略禁用linux的密碼策略通過域組策略禁用U盤（只允許部份許可U盤可在客戶端讀取）