域组策略下禁用USB和组策略
在域管理中用策略禁止U盘的方法
在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题,有的人是在主板上禁止USB,有的是物理破环USB接口,有的是用软件,如果公司电脑数量上了二百台,呵呵,这还真是件麻烦事,那么作为有域控制的局域网,通过组策略轻松的来解决这个问题呢??经过摸索,得出控制U盘主要是:C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的,U盘连接电脑后,需要加载这两个程序,如果是用权限来控制那就更麻烦了。
编辑一个批处理文件,然后在域中建一个策略设置开机启动,就ok了。
批处理文件:用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是:ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是:echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略,设置开机启动,那样你就可以轻松解决域中U盘使用问题了。
组策略禁用USB
禁止访问USB存储设备
通过组策略设置,可以禁止用户访问和连接USB存储设备, 如U盘、移动硬盘等。
限制USB存储设备的使用
可以设置只允许特定的USB存储设备连接到计算机,或者限 制USB存储设备的读写权限。
禁用USB输入设备
禁止使用USB鼠标和键盘
通过组策略设置,可以禁止用户使用USB鼠标和键盘等输入设备。
限制其他USB输入设备的使用
可以设置只允许特定的USB输入设备连接到计算机,或者限制这些设备的输入 权限。
禁用USB通信设备
禁止使用USB通信设备
通过组策略设置,可以禁止用户使用USB通信设备,如蓝牙适配器、无线网卡等 。
限制其他USB通信设备的使用
可以设置只允许特定的USB通信设备连接到计算机,或者限制这些设备的通信权 限。
创建策略规则
定义规则
设置规则操作
保存并应用策略
右击“软件限制策略”,选 择“创建新的策略规则”。
在规则向导中,选择“程序 ”选项卡,然后单击“下一 步”。在“程序源”下,单 击“浏览”按钮,选择要禁
止的USB存储设备。
在“规则操作”下,选择“ 拒绝”操作。
完成规则设置后,单击“完 成”保存策略。然后,在组 策略编辑器中,应用该策略 到相应的计算机或用户组。
组策略禁用USB
汇报人: 日期:
目录
• 引言 • 组策略概述 • 禁用USB设备策略 • 实施步骤和注意事项 • 常见问题和解决方案 • 总结与展望
01
引言
背景介绍
计算机安全
随着计算机和互联网的普及,计算机 安全问题日益突出。USB设备的使用 也带来了一定的安全风险,如数据泄 露、恶意软件传播等。
提高工作效率
组策略 禁用域用户移动存储U盘
背景:为了避免病毒通过U盘传入内网,为了工作单位的网络安全,通过在域控端创建组策略的形式,实现灵活控制域用户端U盘使用(灵活的原因在于不能禁用所有人的U盘使用权限,只能禁止一部分)。
首先在域控服务器端,打开组策略管理(windows+R gpmc.msc)
灵活选择想要控制的组织单位,右键——在这个域中创建GPO并在此处链接,新建一个GPO,名称为U盘禁用。
在新建的GPO 上右键编辑,依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类:拒绝所有权限进行配置。
选择已启用
点击应用,点击确定。
最后一步:在域控上更新组策略:windows + R 键入gpupdate 或者gpupdate / force ,客户机重启电脑,U盘禁用生效。
至此完成组策略编辑,禁用U盘。
注意事项:1、在新建GPO的组织单位下,必须确保有计算机,域用户登录此类计算机无法访问U盘。
受限制的是计算机,不是用户。
(这里要分清楚)
2、如果还想要控制其他组织单位的计算机,不再需要新建GPO 连接,直接在需要控制的组织单位下,右键,连接现有GPO 选择刚刚创建的GPO名称后,更新组策略即可。
————————————————
版权声明:本文为CSDN博主「站的高,看得远」的原创文章,遵循CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https:///MS_Tony_Shu/article/details/94430234。
利用域策略禁用USB方法
利用域策略禁用USB方法A.在域相关OU里,策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。
屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B.在域里相关OU里,所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。
对域策略生效1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略Settings.各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
域组策略中禁用U盘的使用方法
域组策略中禁用U盘的使用方法
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服务器,再次你要配置域服务器,如下图:
2、找到域控制器(Active Directory),我简称它为AD, 点击管理AD中的用户和计算机,会出现下图:
3、右击Domain Controllers后,点击属性会出现下图:
4、选择“组策略”,点击组策略对象链接,再双击它,会出现下图:
5、照图点击到“注册表”,右击“注册表”后点击“添加项”,照图上的路径添加那两项。
注意添加图上那两项时的前提是你的域服务器注册表(“开始”→“运行”→输入命令“regedit”就会打开注册表)将图上那两项修改了。
我具体说明下它们的修改值。
第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。
第二项如下图:
将其中的Start的值改为“4”,默认值为“3”表示启用。
6、添加完“注册表”的那两项后,关闭所有,在“开始”→“运行”→输入命令“gpupdate”后完成。
7、所有加入域中的计算机的U盘就被禁用了。
另外还有种脚本法也可禁用U盘,我没有采用那种方法,一是它的脚本语言复杂,二是我想用最简单的方法去实现禁止U盘的使用。
上述方法本人在虚拟机中已经实现U盘的禁用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、禁止USB存储设备、光驱、软驱、ZIP软驱
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate/force
/force””来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。
这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled
Enabled””,否则你做的策略是不会生效的。
此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为
“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。
),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止访问注册表”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate/force”命令然再到客户端计算机重启计算机来应用该策略。
此时我们发现我们在客户端计算机点击开始→运行输入“Regdiet”则会提示如下图所示:
到此我们“禁止注册表”策略已经完成。
三、破解“禁止注册表编辑器工具”
这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略,的确,这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了,但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。
如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法,大家也可以再次留言一起讨乱学习。