组策略彻底禁止USB等存储设备
组策略彻底禁止USB等存储设备
[上海央邦]学一送一,超值!
21世纪IT人才网热门招聘职位
系统集成系统维护工程师系统分析员【安博亚威】CCIE考试通过率第一!
[OPENLAB]RHCE+架构师优惠2200元
贺深圳北大青鸟信狮学校学员100%就业
周海鹏微软技术社区” 博客周海鹏2008-10-22 12:28:48 保存本文推荐给好友收藏本页
欢迎进入Windows社区论坛,与300万技术人员互动交流 >>进入
用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱
附件下载:https://www.360docs.net/doc/4d13465655.html,/thread-301183-1-1.html
一、禁止USB存储设备、光驱、软驱、ZIP软驱
在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。首先我们在企业网络环境要想实现以上目的,必须要有域环境。这里肯定有朋友会说,没有域环境也能实现。是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击https://www.360docs.net/doc/4d13465655.html,→点击“创建并链接(GPO)” →输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf 目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。)双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB 接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB” 属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate /force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”,否则你做的策略是不会生效的。
此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,
我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击https://www.360docs.net/doc/4d13465655.html,→点击“创建并链接(GPO)” →输入组策略名称“禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO 组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate /force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机点击开始→运行输入“Regdiet”则会提示如下图所示:
到此我们“禁止注册表”策略已经完成。
三、破解“禁止注册表编辑器工具”
这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略,的确,这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了,但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法,大家也可以再次留言一起讨乱学习。
但是这里我要奉劝大家一句,我们在做一个系统管理员或是网络管员理的时候,不要认为技术是万能的,我们要技术手段加行政手段来综合的管理我们的网络,毕竟我们的岗位上都套有管理员这三个字,我们不单单是一个技术的执行者,更是一个管理者。这个又谈到如何成为一个合格的网络管理员或是系统管理员了,今天很晚了,在这里我就不多说了。
教你用电脑禁用U盘软件、U盘禁用工具全面管理USB端口使用
电脑禁用U盘软件、U盘禁用工具之大势至USB监控软件——全面管理USB端口使用 作者:Isharesoftware 现在用户对USB的接口的利用已经非常普及,从当时的只针对U盘使用而慢慢演变成移动硬盘、USB充电、各种SD、TF卡的种种使用,当然随之而来的USB安全问题相信也困扰着用户、企业等,例如进入企业中各种保密资料的拷贝,粘贴、删除,普通用户的一些隐私问题(呵呵,比如XX照)。当外来人员进入企业中最怕的就是将其保密资料拷贝走或者直接删除,之前写过上网行为管理的监控使用例如聚生网管便可监控其用户,但是如果说某员工带着自己的移动硬盘在闲暇之余拷贝电影到办公室的电脑中观看这也影响到正常的上班秩序。 这时是不是可以想到对其电脑上的USB禁用这样就可以禁止其观看,我曾经就遇到一个问题其他公司的一个员工在我去WC的空档,在我电脑上拷贝了份资料,当然资料不是很重要也不是保密的,但是想想当时如果我安装了某种软件,对其进行限制无法将我电脑上的资料拷贝到他的U盘上,这样岂不是两全其美,那么今天将分享一款由大势至出品的对USB接口进行监控的软件,现在就看看它的庐山真面目吧。 软件界面非常简单易懂,但是功能相当强大,接下来我会举几个实用的例子给大家演示一下它的功能,当然还是那句话不是所有的功能我都能来一遍,更多的功能还需要使用者自己的去体验。 软件名称:大势至USB控制系统V2.0 软件语言:简体中文 软件类型:国产软件 运行环境:Win9X,Win2003,Win2000,WinXP,Win7 软件简介: 大势至USB控制系统(百度搜索“大势至USB控制系统”)是国内唯一可以完全禁用一切USB存储设备(U盘、移动硬盘、手机……),还可以实现对USB设备的精确控制(例如只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件),同时还可以全面禁止修改操作系统关键设置(禁止修改注册表、组策略、开机启动项、计算机管理……);此外,还可以禁止电脑运行某些程序,以及禁止电脑打开某些网址等功能,是当前国内控制电脑信息安全、保护商业机密最强大的电脑安全管理软件。 软件预览:
如何禁用U盘,但可以使用USB鼠标
方法一:修改BIOS设置这种方法虽然比较“原始”、简单,但却很有效。因为是在Windows 启动前就从硬件层面关闭了电脑的USB功能,所以比较适合长期不使用USB设备(包括USB键盘及鼠标)的用户。具体操作如下:在电脑开机或重新启动出现主板开机画面的时候,迅速按键盘上的“Delete”键(或根据画面上的提示按相应的键盘按键)进入BIOS设置界面,选择“Integrated Peripherals”选项,展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”,即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码,这样其他人就无法随意进入BIOS更改设置了。 方法二:修改系统文件/注册表与第一种方法所不同的是,这种方法仅能禁用USB储存设备,如移动硬盘或优盘,对于其他USB设备,如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。该方法分两种情况:如果电脑尚未使用过USB设备(比如刚重装好系统),可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。对于已经使用过USB设备的电脑,要禁用电脑的USB功能,就得通过注册表来实现。如果你对电脑并不熟悉,修改前请先备份注册表。 【未使用过USB设备的电脑】1、启动资源管理器,依次打开Windows文件夹下面的子目录Inf。2、在Inf文件夹里,找到“Usbstor.pnf”文件,右键单击该文件,然后选择“属性”。 3、再“属性”对话框里单击“安全”选项卡。 4、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。注意:此外,还需将系统账户添加到“拒绝”列表中。 6、右键单击“Usbstor.inf”文件,然后单击“属性”。 7、单击“安全”选项卡。 8、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 【使用过USB设备的电脑】1、单击“开始”,然后单击“运行”。2、在“打开”框中,键入“regedit”,然后单击“确定”。3、找到并单击下面的注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 4、在右边窗格中,双击“Start”。5、在“数值数据”框中,将原始数值“3”改成“4”。(如果想恢复对USB 设备的支持,只需将该值改回“3”即可。)6、退出注册表编辑器。 -------------------------------------------------------------------------------- 改注册表在开始----程序----运行,输入regedit 就进入注册表了找到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor,将右边的“Start”数值数据改为4(注意必须为16进制),确定并重新启动后生效。这样就可以简单 --------------------------------------------------------------------------------
USB端口禁用
一.此种状况多半是在BIOS中屏蔽了USB端口,通过复位BIOS 默认设置即可解决。 又及,一般说来会想到这一点的老师通常也会为BIOS设置口令,可按如下方式清除: 进入DOS界面或WINDOWS的DOS窗口执行如下命令: debug o 70 10 o 71 11 q 请勿滥用 最佳答案 禁止使用闪存 出于某种特殊的原因,有些单位或公司不允许使用闪存。其实禁止使用闪存的方法较多,一般情况下可采用两种方法,一种是BIOS设置,另一种是修改注册表。 BIOS设置:进入BIOS设置,选择“Integrated Peripherals”选项,展开后将USB选项的属性设置为“Disabled”,即可禁用USB接口。需要说明的是,为了安全性,一定要给BIOS设置密码。不过,通过上面的修改完全禁止了USB接口,也就是说各种USB接口的设备均不能用了。
修改注册表:打开注册表编辑器,依次展开如下分支 [HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSB STOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中,将数值修改为十六进制数值“4”。点“确定”按钮并关闭注册表编辑器,重新启动计算机,设置即可生效。不过此法仅适用于Windows XP/2000/2003操作系统。 ---------------------------------------------------------------------- “第三者”休插足——利用Vista系统,禁用外来MP3设备 (2007年5月14日第19期) 编者按:在使用电脑时,我们往往担心他人MP3播放机的病毒,也不希望外来的MP3机越权进入自己的系统。为解决这个问题,往往通过在BIOS中设置禁用USB端口的方式来实现,可如此一来,会让自己的MP3播放机或其它USB设备也无从发挥自己的“功力”。究竟有何良方去解决这个问题呢?看看本期救护员的高招吧。 读者曾广武:寝室里就只有一台电脑,同学们经常从我这里拷贝流行歌曲,我非常担心别人把MP3闪存上的病毒文件感染到我的电脑中,也不希望别人“偷取”我的下载成果。请问,有什么方法能让系统禁用别人的MP3?另外,我使用的是Vista系统,希望能在Vista系统下解决问题。
AD组策略规划禁用U盘
W i n d o w s组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U 盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安 装驱动,U盘即插即用。 对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件 当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。 其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的 网络管理带来不便。 特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供 一点借鉴。 基本原理
怎样使USB接口锁住或不可用
怎样使USB接口锁住或不可用 https://www.360docs.net/doc/4d13465655.html,/270731/viewspace-69641.html 方法一:修改BIOS设置 这种方法虽然比较“原始”、简单,但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能,所以比较适合长期不使用USB设备(包括USB键盘及鼠标)的用户。 具体操作如下:在电脑开机或重新启动出现主板开机画面的时候,迅速按键盘上的“Delete”键(或根据画面上的提示按相应的键盘按键)进入BIOS设置界面,选择“Integrated Perip herals”选项,展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”,即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码,这样其他人就无法随意进入BIOS更改设置了。 方法二:修改系统文件/注册表 与第一种方法所不同的是,这种方法仅能禁用USB储存设备,如移动硬盘或优盘,对于其他USB设备,如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。 该方法分两种情况:如果电脑尚未使用过USB设备(比如刚重装好系统),可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。对于已经使用过USB设备的电脑,要禁用电脑的USB功能,就得通过注册表来实现。如果你对电脑并不熟悉,修改前请先备份注册表。 【未使用过USB设备的电脑】 1、启动资源管理器,依次打开Windows文件夹下面的子目录Inf。 2、在Inf文件夹里,找到“Usbstor.pnf”文件,右键单击该文件,然后选择“属性”。 3、再“属性”对话框里单击“安全”选项卡。 4、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 注意:此外,还需将系统账户添加到“拒绝”列表中。 6、右键单击“Usbstor.inf”文件,然后单击“属性”。 7、单击“安全”选项卡。 8、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 【使用过USB设备的电脑】 1、单击“开始”,然后单击“运行”。 2、在“打开”框中,键入“regedit”,然后单击“确定”。 3、找到并单击下面的注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 4、在右边窗格中,双击“Start”。 5、在“数值数据”框中,将原始数值“3”改成“4”。(如果想恢复对USB设备的支持,只需将该值改回“3”即可。) 6、退出注册表编辑器。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/4d13465655.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/4d13465655.html,\Site Map https://www.360docs.net/doc/4d13465655.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
禁用和解除USB 多方法
USB 禁用与解除 法一: 禁用主板usb设备。管理员在CMOS设置里将USB设备禁用,并且设置BIOS密码,这样U 盘插到电脑上以后,电脑也不会识别。这种方法有它的局限性,就是不仅禁用了U盘,同时也禁用了其他的usb设备,比如usb鼠标,usb 光驱等。所以这种方法管理员一般不会用,除非这台电脑非常重要,值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解,即便设置了密码。整个BIOS设置都存放在CMOS 芯片里,而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池,所以,只要把主板电池卸下来,用一根导线将原来装电池的地方正负极短接,瞬间就能清空整个CMOS设置,包括BIOS的密码。随后只需安回电池,自己重新设置一下CMOS,就可以使用usb设备了。(当然,这需要打开机箱,一般众目睽睽之下不大适用~~) 方法二: 修改注册表项,禁用usb移动存储设备。打开注册表文件,依次展开 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键,把编辑窗口中的“数值数据”改为“4”,把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解,我们可以删除或者改名注册表编辑器程序。 提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。 方法三:隐藏盘符和禁止查看(适用于Windows系统)打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer],新建二进制值“NoDrives”,其缺省值均是00000000,表示不隐藏任何驱动器。 键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。 第一个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04000000;要关闭D盘,则改为08000000,若要关闭C盘和D盘,则改为0C000000(C 是十六进制,转成十进制就是12)。 理解了原理后,下面以我的电脑为例说明如何操作:我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以我的“NoDrives”值为“02ffffff”,隐藏了B、I到Z盘。重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为“02ffffff”,也就是说其值与“NoDrives”相同。这样一来,既看不到U盘符也访问不到U盘了。 方法四:禁止安装USB驱动程序在Windows资源管理器中,进入到“系统盘:WINDOWSinf”目录,找到名为“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权
国内主流的usb管理软件-usb禁用工具介绍
为了方便数据交换,企业部网络使用了大量的移动存储介质,例如U盘,移动硬盘等。但很多企业对于移动存储介质的管理很不规:没有严格的管理措施,或者是管理措施不具体,有的甚至根本未被纳入管理畴:如对涉密软盘、磁盘、移动硬盘等没有授权注册,与普通磁盘混合使用,出现故障后随便丢弃等。这些现象无疑给单位部的涉密和敏感信息资源带来了相当大的安全隐患。 一、捍卫者usb管理系统 捍卫者USB管理系统全面管理各种类型的移动存储介质、光驱、软驱、蓝牙、红外、串口、并口、磁带机、1394、PCMCIA、手机同步等多种端口。提供多种移动存储介质授权机制,未经授权的存储介质不能在授权的计算机里使用。提供灵活的企业部门管理策略,对移动存储介质和计算机分组管理。采用透明的加密技术,客户端遵循windows操作规,不改变用户使用习惯。提供详细的安全记录包括授权信息,使用信息和文件操作信息,做到非认证介质进不来,涉密文件拿不走,部数据外出读不懂,移动介质操作跑不了,介质丢失信息丢不掉。同时捍卫者软件还有高强度自身防护能力,域推送安装、服务器级联管理等特色 1、设置USB端口为开放,只读,禁用三种状态,只禁止USB存储设备,允许USB鼠标、USB键盘和加密狗等非存储设备使用。
2、只允许从U盘、移动硬盘向电脑拷贝资料,禁止从电脑向U盘、移动硬盘拷贝资料。 3、可以允许从电脑向U盘、移动硬盘拷贝资料,但必须输入授权密码否则无法拷贝。 4、捍卫者USB不但能有效管控U盘、移动硬盘,同时还支持管控其他USB移动存储介质。 5、捍卫者USB管理软件、禁用其他端口光驱、软驱、蓝牙、红外、串口、并口、磁带机等多种端口和存储设备。 6、卸载本软件必须输入授权密码,否则无法卸载;同时无法通过结束进程而终止程序。 7、授权U盘的使用权限管理:累计使用天数、使用次数、几天后失效、授权只读等 8、国唯一可以有效防止被安全软件(如360安全卫士、金山卫士、QQ管家)、杀毒软件所干扰、查杀和拦截,从而保证监控的实时有效、永不中断和固若金汤。 9、捍卫者USB管控软件是国唯一使用底层驱动技术的安全软件,目前市面上绝大多数USB管控软件都是使用注册表驱动级别,安全模式下失效,极易容易被破解。
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
五种方法限制计算机禁用USB接口
首先说明,某家不是教大家使用这种为大众所不耻的方法来忽悠草根级的电脑用户,而是本着以学习、技术交流为目的,发出此文与大家共享! 那么,我们为什么要禁用USB接口啊? 原因太多了,如果您在公用办公室上班,那么您就惨洛,会莫名其妙的有一大堆人来使用您的电脑,您所使用的计算机,就像被“千人压、万人骑”,插一次,有80%的概率会导致计算机中病毒!一天没被压几次,计算机准挂! 还有哦,如果您身为计算机教师,您也应该有所体会,有些学生非智力过人,而是耍小聪明习惯恶搞,经常偷偷的把游戏放在他们的U盘里面,之后带到计算机教室,趁阁下不注意,就安装到电脑里面玩小小游戏! 叽叽歪歪的原因就不多说了!下面进入正题! 要想禁用计算机的USB接口,方法有如下五个! ①通过注册表注册 “开始菜单”→“运行”,输入“regedit”,然后按回车键,之后就打开注册表了,在里面找到注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor,将右边的“Start”数值数据改为4(注意必须为16进制),确定并重新启动后生效。 评析:此方法不容易操作,但是能起到一劳永逸的效果!同理,别人想解除USB接口的限制,也挺麻烦的! ②修改用户权限 如果USB接口并没有接入USB设备,可以直接修改用户或组对系统目录下“inf”目录中Usbstor.pnf 和Usbstor.inf的“拒绝”权限。 方法是:启动资源管理器,找到%SystemRoot%Inf文件夹,右键单击Usbstor.pnf文件,单击“属性-安全”,在“组或用户名称”列表中选中要设置“拒绝”权限的用户或组,然后复选“用户名或组名的权限-完全控制”旁边的“拒绝”,确定后生效。 评析:这种方法比较符合常人的逻辑思维,但是操作麻烦,并且,有点平庸! ③通过设备管理器禁用USB接口 在桌面上右键“我的电脑”图标,执行“管理”或“设备管理”,打开设备管理器! 如下图!
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
Windows7使用组策略禁用移动存储设备
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
通过组策略可以实现禁止安装软件
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.360docs.net/doc/4d13465655.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
组策略禁用盘符
Windows 中有了组策略对象后,就有了下面这个让您隐藏指定的驱动器的选项:隐藏“我的电脑”中的这些指定的驱动器。但是,可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象(GPO) 的System.adm 文件来添加其他限制。七个默认选项是: 仅限制驱动器A、B、C 和D 仅限制驱动器A、B 和C 仅限制驱动器A 和 B 限制所有驱动器 仅限制驱动器C 只限制D 驱动器 不限制驱动器 Microsoft 建议您不要更改System.adm 文件,而要创建一个新的.adm 文件并将此.adm 文件导入到GPO 中。原因是:如果您要对system.adm 文件应用更改,则当Microsoft 在Service Pack 中发布新版本的system.adm 文件时,这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”(实现基于注册表的组策略)这一白皮书介绍了如何编写自定义.ADM 文件。要查看此白皮书,请访问下面的Microsoft 网站:https://www.360docs.net/doc/4d13465655.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppape r.doc (https://www.360docs.net/doc/4d13465655.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppap er.doc) 默认域策略的System.adm 文件的默认位置是:%SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm 这些文件夹的内容会通过文件复制服务(FRS) 复制到整个域中。注意,Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略,请执行下面的操作步骤: 启动Microsoft 管理控制台。在“控制台”菜单上,单击添加/删除管理单元。 为默认域策略添加组策略管理单元。为此,在屏幕提示您选择组策略对象(GPO) 时,请单击浏览。默认GPO 是本地计算机。您也可以为其他的域分区(具体来说就是组织单位)添加GPO。 打开下面的区域:用户配置、管理模板、Windows 组件和Windows 资源管理器。 单击“隐藏‘我的电脑’中的这些指定的驱动器”。 单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。 在下拉框中,单击相应的选项。 这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外,这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器(包括软盘驱动器),防止它们被滥用。它也可以用于指引用户
利用专业管理工具教你如何禁用U盘、屏蔽USB接口
利用专业管理工具教你如何禁用U盘、屏蔽USB接口? 作者:大使日期:2013/11/28 现在很多企事业单位处于保护单位商业机密和信息安全的需要,同时也为了防止U盘病毒等原因,需要禁止电脑使用U盘,但是又不能完全屏蔽USB接口,因为现在很多鼠标键盘都是USB接口。禁用U盘的方法很多,可以通过注册表禁用U盘、通过组策略禁用U盘等方法。但是这些方法需要对每台电脑进行操作,公司电脑数量较多的情况下会使得网管的工作量很大,同时通过操作系统来限制U盘的使用,也容易被一些具有一定技术水平的员工反向操作而重新启用U盘,这使得这种屏蔽U盘使用的方法存在某种漏洞,不利于全方位的保护单位的电脑安全和商业机密。本文介绍两款专业的USB监控软件来有效禁用电脑U盘使用的方法。 第一款:Microsoft Fixit50061。这是微软公司开发的一款专业禁用U盘、屏蔽移动硬盘的软件。通过测试发现,这个程序的原理就是修改注册表。而且这个程序只是禁用U 盘等USB存储设备,不会禁用其它的USB设备,可以起到限制U盘使用的作用。 图:微软Microsoft Fixit 但是,微软提供的这款U盘禁用软件,是针对U盘的一种控制方法。而目前由于USB 存储设备很多,并且很多并不是以U盘或移动硬盘的方式出现的,而是基于各种存储卡,例如手机存储卡。由于手机都支持USB数据线充电和数据读取,同时现在手机存储卡的容量很大,动辄几十G的大小,这使得通过手机复制和存储公司文件变得十分便利,只需要将手机的USB数据线插到电脑上就可以了。这使得,微软提供的这款屏蔽U盘使用的软件
无法针对手机存储卡进行屏蔽,这使得企业的商业机密面临巨大的风险。 第二款:大势至USB监控软件。大势至USB监控软件是一款专业的USB管理软件,其核心功能是禁用U盘、移动硬盘、手机存储卡等所有USB存储设备。和微软的屏蔽U盘使用的软件相比,这款国产的软件操作更为简单,所有的功能启用关闭只需要点点鼠标勾选就可以了,非常简单。同时,通过有效禁用操作系统的一些关键设置,也可以防止员工通过反向修改注册表或反向修改组策略的方式重新启用USB存储设备。目前,大势至USB控制软件可以禁用注册表、禁用组策略、禁用设备管理器、禁用开机启动项、禁用计算机管理,甚至还可以禁止电脑从U盘启动、禁止光驱软驱(同时禁止从光驱启动)以及禁止程序运行等(通过黑名单的方式),从而可以完全保护电脑自身的安全和USB接口的安全。 图:大势至USB监控软件 此外,大势至USB监控软件还提供了网络版,这样在公司电脑数量较多的情况下,可以通过管理端来随时打开或关闭局域网电脑的USB接口,从而达到禁用U盘或启用U盘的目的。同时,大势至USB控制软件也完全不影响非USB设备的使用,如USB鼠标键盘和加密狗等,实现了精确管理USB接口的目的。 总之,企业禁用U盘、监控U盘使用有很多方法,网管员可以根据自己的需要而选择相应的USB控制软件,从而更好地实现电脑安全管理和商业机密保护的目的。
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图: