AD组策略规划禁用U盘
U盘被禁止使用的破解方法
U盘被禁止使用的破解方法U盘的使用被禁止可能是由于一些电脑系统或网络管理策略所限制。
为了破解U盘的禁止使用,以下是几种方法可以尝试。
1.检查注册表设置:- 打开“运行”对话框(按下Win + R键)- 输入“regedit”然后点击“确定”按钮- 导航到注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ USBSTOR- 在右侧窗格内找到"Start"键值,双击以修改数值-将数值更改为4(默认值为3)-重新启动计算机后,应该可以使用U盘了2.修改组策略设置:- 打开“运行”对话框(按下Win + R键)- 输入“gpedit.msc”然后点击“确定”按钮-导航到:计算机配置→管理模板→系统→可移动存储访问-在右侧窗格内找到“禁止使用存储设备”的设置项,双击以修改-将设置项更改为“未配置”或“已禁用”-重新启动计算机后,应该可以使用U盘了3.使用命令提示符:- 打开命令提示符(按下Win + R键,输入“cmd”并点击“确定”按钮)-输入以下命令并按下回车键:- reg addHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f-重新启动计算机后,应该可以使用U盘了4.使用U盘破解工具:-将U盘插入计算机并打开破解工具-按照工具提供的操作指引进行破解-重新启动计算机后,应该可以使用U盘了5.修改设备管理器设置:-打开“设备管理器”-展开“通用串行总线控制器”或“通用串行总线设备”-右键点击U盘或USB存储设备,并选择“属性”-关闭设备管理器窗口-拔出并重新插入U盘,应该可以使用U盘了。
组策略 禁用域用户移动存储U盘
背景:为了避免病毒通过U盘传入内网,为了工作单位的网络安全,通过在域控端创建组策略的形式,实现灵活控制域用户端U盘使用(灵活的原因在于不能禁用所有人的U盘使用权限,只能禁止一部分)。
首先在域控服务器端,打开组策略管理(windows+R gpmc.msc)
灵活选择想要控制的组织单位,右键——在这个域中创建GPO并在此处链接,新建一个GPO,名称为U盘禁用。
在新建的GPO 上右键编辑,依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类:拒绝所有权限进行配置。
选择已启用
点击应用,点击确定。
最后一步:在域控上更新组策略:windows + R 键入gpupdate 或者gpupdate / force ,客户机重启电脑,U盘禁用生效。
至此完成组策略编辑,禁用U盘。
注意事项:1、在新建GPO的组织单位下,必须确保有计算机,域用户登录此类计算机无法访问U盘。
受限制的是计算机,不是用户。
(这里要分清楚)
2、如果还想要控制其他组织单位的计算机,不再需要新建GPO 连接,直接在需要控制的组织单位下,右键,连接现有GPO 选择刚刚创建的GPO名称后,更新组策略即可。
————————————————
版权声明:本文为CSDN博主「站的高,看得远」的原创文章,遵循CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https:///MS_Tony_Shu/article/details/94430234。
AD策略禁止USB
一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。
公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。
首先我们在企业网络环境要想实现以上目的,必须要有域环境。
这里肯定有朋友会说,没有域环境也能实现。
是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。
所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。
其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
组策略设置阻止用户访问U盘
组策略设置阻止用户访问本地磁盘
在本机设置,包括管理员的所有用户生效。
1.以管理员登录,关闭写保护
2.在开始运行中输入gpedit.msc
3.嵌入式Windows XP, 选择用户配置-管理模板-Windows Components- Windows Explorer
4.在右边选择Hide these specified drives in my computer, 按下表选择
5.在右边选择Prevent access to drives from my computer策略,按下面选择
6.策略编辑完成后,重启系统生效。
所有用户无法访问C盘和U盘。
7.如果管理员需要访问磁盘,可以把策略禁止。
8.如果是嵌入式Windows7, 则依次展开“计算机配置"一“管理摸板”—“系统”—“可移动存
储访问”,并在右侧的窗格中选择“所有可移动存储类拒绝所有权限”项。
在机器加入域的情况下,在域控制器上进行组策略的编辑。
AD组策略禁用U盘
ad组策略的作用
01
AD组策略可帮助企业实现以 下目标
02
03
04
统一管理:通过定义组策略对 象,企业可以实现对网络中计 算机和用户的统一管理和控制 ,减少管理员的工作量,提高 管理效率。
安全加固:AD组策略可以定 义各种安全设置,如密码策略 、账户策略、防火墙设置等, 以提高网络的安全性。
计算机配置是指定组策略设置,以禁 用或启用U盘的使用。
在计算机配置中,我们需要更改设备策略 来禁用USB存储设备。
我们可以通过在设备管理器中禁用 USB存储设备来禁止用户使用U盘 。
用户配置
用户配置是指定组策略设置,以禁用或启用U盘的使用。 在用户配置中,我们需要更改设备策略来禁用USB存储设备。 我们可以通过在设备管理器中禁用USB存储设备来禁止用户使用U盘。
ad组策略禁用u盘
xx年xx月xx日
目 录
• 介绍 • ad组策略禁用u盘的方法 • ad组策略禁用u盘的优缺点 • ad组策略禁用u盘的适用场景 • ad组策略禁用u盘的实践案例
01
介绍
什么是ad组策略
AD组策略是一种企业级集中管理工具,用于在Active Directory(AD)域中管理和控制用户、计算机和其他网络 资源的策略。
问题描述
由于政务网内涉及大量敏感信息,如果U盘使用不当,可能导致敏感信息泄漏,对政府形 象和公众利益造成损害。
解决方案
通过AD组策略禁用U盘,严格控制员工使用U盘的范围和功能,确保敏感信息的安全性和 保密性。同时,可以防止病毒和恶意软件在政务网内传播,提高网络安全性。
THANKS
AD禁用U盘方法1
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服
务器,再次你要配置域服务器,如下图:
2、找到域控制器(Active Directory),我简称它为AD, 点击管理AD中的用户和计算机,会出现下图:
3、右击Domain Controllers后,点击属性会出现下图:
4、选择“组策略”,点击组策略对象链接,再双击它,会出现下图:
5、照图点击到“注册表”,右击“注册表”后点击“添加项”,照图上的路径添加那两项。
注意添加图上那两项时的前提是你的域服务器注册表(“开始”→“运行”→输入命令“regedit”就会打开注册表)将图上那两项修改了。
我具体说明下它们的修改值。
第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。
第二项如下图:
将其中的Start的值改为“4”,默认值为“3”表示启用。
6、添加完“注册表”的那两项后,关闭所有,在“开始”→“运行”→输入命令“gpupdate”后完成。
7、所有加入域中的计算机的U盘就被禁用了。
另外还有种脚本法也可禁用U盘,我没有采用那种方法,一是它的脚本语言复杂,二是我想用最简单的方法去实现禁止U盘的使用。
上述方法本人在虚拟机中已经实现U盘的禁用。
通过组策略禁用U盘的使用
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 1场景USB移动存储给我们带来便利的同时,也带有不少麻烦:信息泄露、病毒传播等。
某单位希望将一些受限的计算机放置在某个OU中,禁用在这些计算机上使用USB存储设备。
如果将某台计算机移出受限制的OU后,又可以使用USB存储设备了。
如果需求不复杂,可以不使用第三方移动存储管理软件(多数需要在客户端安装软件),而是使用组策略来达到此目的。
原理推荐阅读:/default.aspx?scid=kb;en-us;823732两个要点:z第一次使用USB存储设备时,主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务,并且将这个服务启动。
z以后要使用USB存储设备,UsbStor服务必须处于启动状态。
启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值来控制。
Start值的含义为:0 Boot1 System2 AutoLoad3 Load On Demand 默认值4 Disabled有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。
这种做法有一个弱点:如是一个人将U盘插入到从来没有使用过U盘的计算机时,Windows会自动安装UsbStor服务,并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。
在这个时候,这个仍然可以使用USB存储设备!电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 2解决方案根据上面的分析,只有两者相结合才是最可靠的解决方案:1、我们需要防止USBSTOR服务被安装,除非这些用户是可以使用USB存储设备的。
AD组策略禁用U盘
AD组策略禁用U盘如果需要禁用U盘的使用,可以通过AD组策略来实现。
下面是详细的步骤,以及一些注意事项:1.创建一个新的组策略对象(GPO):- 打开Group Policy Management Console(GPMC)- 在左侧的树形目录中选择“Group Policy Objects”,右键单击,选择“New”-输入一个描述性的名称,然后点击“OK”-在GPMC中,找到创建的新GPO- 右键单击该GPO,然后选择“Edit”选项3.配置组策略设置:-展开“系统”子节点,然后找到“可移动存储访问”-在右侧的列表中,找到“禁用USB存储设备”,双击打开设置窗口-在设置窗口中,选择“已启用”,然后点击“确定”4.更新组策略:-在GPMC中,找到域对象- 右键单击域对象,然后选择“Group Policy Update...”选项-在弹出的对话框中,选择需要更新的对象,然后点击“OK”5.验证组策略设置:-在域内的计算机上,以域管理员身份登录- 打开命令提示符,输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘,检查是否能够正常访问需要注意的是,禁用U盘使用是一种较为严格的控制措施,可能会对用户的正常操作造成一定的影响。
在实施之前,需要与用户进行充分的沟通和培训,并根据实际情况进行调整和适配。
此外,应注意以下几点:1.仅禁用U盘可能无法完全限制用户从其他途径传输文件(例如通过网络或其他外部存储设备)。
因此,在实施组策略之前,应对其他可能的数据传输途径进行评估和控制。
2.组策略设置将适用于所有用户和计算机。
如果只想限制特定用户或计算机的U盘使用,可以将GPO应用于相应的组织单元(OU)或安全组。
3.在一些情况下,可能需要允许一些特定用户或计算机使用U盘。
可以针对这些特殊情况创建不同的GPO,或者通过安全组的方式进行特权控制。
总结来说,通过AD组策略禁用U盘的使用,可以有效地增强计算机系统的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
W i n d o w s组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U 盘。
我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用。
对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。
其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。
客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的网络管理带来不便。
特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。
只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供一点借鉴。
基本原理组策略实现的原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。
实现方法1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。
可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。
我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘,呵呵!)。
那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的NAME !!ABCDOnly VALUE NUMERIC 15下插入一行NAME !!ABCFGHIOnly VALUE NUMERIC 487随后,移到文件的末尾,在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据,ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。
保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!其他注意事项:1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。
2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domain users 组,这对于大多数软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机的Power user组的权限,即可解决。
3、注意这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。
当然U盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!如果实在要访问,可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。
4、OU是可以嵌套的,客户端组策略的应用是从域根到OU再到子OU,而且是可以覆盖的,除非您选定了“阻止策略继承”。
如果您在父OU上设置了屏蔽U盘,但在子OU中又取消了屏蔽,那么客户端的U盘是不会被屏蔽的。
5、如果您在一个OU中设置了此屏蔽策略,但您又要在其他同级的OU中要开放一些用户的U盘时,您需要重新建一个策略,而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘,因为这是个链接到“屏蔽U盘”的策略,您实际修改的是“屏蔽U盘”策略,这会影响到他管理下的所有的OU,他们都将会应用您修改后的策略。
6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个的用户或者计算机指定组策略,在实际应用的时候,可多建立几个组织单位来管理用户。