组策略禁用USB存储器但开放其他USB设备方法 原创文章 图片教程
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
AD组策略禁用U盘
Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)ChinaITLab收集整理笔者在一家区级法院网络中心工作,为确保局域网内的计算机安然,省高院要求全省联网的法院客户端的机器光软驱都要撤消,而且禁止在局域网内使用U盘。
我们知道,此刻局域网中使用的操作系统绝大大都都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,撤消了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用。
对于大大都用户来说,这确实很便利,但对于单元有要求的网管来说,就头疼了,此刻新买的机器不克不及总是安装Windows 98吧,毕竟Windows 98就要“下岗〞了,但面对U 盘,却没有好的方法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不克不及放过一个〞的方法,如果您的单元客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不外您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管本身用,哈哈!那有没有简单易行的方法呢?颠末一段时间摸索和试验,笔者终于找到了使用点窜组策略模板的方法实现此目标。
实现条件当然这是有前提条件的,首先,您的局域网必需以域为架构〔我们知道Windows 2000、Windows XP本身都自带有组策略编纂器,使用组策略编纂器可单独编纂每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在效劳器端点窜一次,就可以在全域实现办理目标,如果不采用域模式,您需要每台都要设置组策略,掉去了效率,也就没有采用的必要了〕。
其次,客户端必需以域用户的身份登录网络,且不克不及被赋予客户端本机办理员的权限。
客户端操作系统保举使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的撑持并不完全,且需要采用两种完全不同的方法别离办理他们,会对您以后的网络办理带来不便。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
组策略禁用usb
组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R,输入`gpedit.msc`,点击确定。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击本地策略,最后点击安全选项。
在右侧找到并双击打开用户账户控制:管理模板,然后双击打开Windows组件。
在Windows组件下找到并双击打开Windows资源管理器。
在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件,然后选择已启用,点击确定。
开启组策略编辑器配置USB设备策略选择已启用,点击确定。
在右侧找到并双击打开禁用USB 存储设备。
在USB根集线器下找到并双击打开策略选项卡。
在计算机配置下,点击Windows 设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在USB根集线器下找到并双击打开策略选项卡。
在右侧找到并双击打开禁用USB其他设备。
选择已启用,点击确定。
禁用USB存储设备03注意事项在实施组策略禁用USB之前,需要对员工USB设备使用需求进行充分了解,以便制定更加合理的策略配置。
了解员工USB设备使用需求在实施组策略之前,需要充分评估禁用USB的必要性,以及是否有其他更加适合的解决方案。
确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求,可以提供一些安全替代方案,如FTP、SFTP、云存储等。
配置合理的权限和访问控制在提供安全替代方案时,需要配置合理的权限和访问控制,以确保只有授权用户才能访问相应的文件资源。
安全替代方案进行测试和验证在组策略禁用USB之前,需要进行充分的测试和验证,以确保策略配置的正确性和有效性。
如何禁用U盘,但可以使用USB鼠标
方法二:修改系统文件/注册表 与第一种方法所不同的是,这种方法仅能禁用USB储存设备,如移动硬盘或优盘,对于其他USB设备,如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。 该方法分两种情况:如果电脑尚未使用过USB设备(比如刚重装好系统),可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。 对于已经使用过USB设备的电脑,要禁用电脑的USB功能,就得通过注册表来实现。如果你对电脑并不熟悉,修改前请先备份注册表。
【未使用过USB设备的电脑】 1、启动资源管理器,依次打开Windows文件夹下面的子目录Inf。 2、在Inf文件夹里,找到“Usbstor.pnf”文件,右键单击该文件,然后选择“属性”。 3、再“属性”对话框里单击“安全”选项卡。 4、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 注意:此外,还需将系统账户添加到“拒绝”列表中。 6、右键单击“Usbstor.inf”文件,然后单击“属性”。 7、单击“安全”选项卡。 8、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
如果自己不用的话,就把光驱的数据线拔掉。usb的话,我知道一个软件可以屏蔽usb的固件,但是前提是你要知道自己主板usb的device id和port id,但是难度较大。 下面这段是copy的:
方法一:修改BIOS设置 这种方法虽然比较“原始”、简单,但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能,所以比较适合长期不使用USB设备(包括USB键盘及鼠标)的用户。 具体操作如下:在电脑开机或重新启动出现主板开机画面的时候,迅速按键盘上的“Delete”键(或根据画面上的提示按相应的键盘按键)进入BIOS设置界面,选择“Integrated Peripherals”选项,展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”,即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码,这样其他人就无法随意进入BIOS更改设置了。
通过组策略禁用U盘的使用
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 1场景USB移动存储给我们带来便利的同时,也带有不少麻烦:信息泄露、病毒传播等。
某单位希望将一些受限的计算机放置在某个OU中,禁用在这些计算机上使用USB存储设备。
如果将某台计算机移出受限制的OU后,又可以使用USB存储设备了。
如果需求不复杂,可以不使用第三方移动存储管理软件(多数需要在客户端安装软件),而是使用组策略来达到此目的。
原理推荐阅读:/default.aspx?scid=kb;en-us;823732两个要点:z第一次使用USB存储设备时,主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务,并且将这个服务启动。
z以后要使用USB存储设备,UsbStor服务必须处于启动状态。
启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值来控制。
Start值的含义为:0 Boot1 System2 AutoLoad3 Load On Demand 默认值4 Disabled有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。
这种做法有一个弱点:如是一个人将U盘插入到从来没有使用过U盘的计算机时,Windows会自动安装UsbStor服务,并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。
在这个时候,这个仍然可以使用USB存储设备!电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 2解决方案根据上面的分析,只有两者相结合才是最可靠的解决方案:1、我们需要防止USBSTOR服务被安装,除非这些用户是可以使用USB存储设备的。
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总
组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中,处于保护电脑文件安全和商业机密的需要,我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用,防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。
那么,具体如何管理电脑USB接口、禁用U盘呢?笔者以为,可以通过以下方式实现,一种是通过注册表和组策略的方式来实现(如果你觉得这种方法复杂,可以直接看文章底部第二种方法),另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现,相对更为简单:一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。
注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB 设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。
找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。
如下图确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
组策略禁用usb
用A D组策略-----彻低禁止U S B存储设备USB, ZIP, 软驱, 光驱, 设备USB, Update, 设备本帖最后由 zh_cxl 于 2009-2-4 15:36 编辑原2008-10-13的更新有误,主要是和的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的和的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\文件,单击确定;4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;5、出现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\添加进去,如下图;7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;8、查看客户端计算机c:\windows\inf\及的NTFS权限,发现里面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----管理模板中,3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾4、右键管理模板--点添加删除模板--添加的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略禁用USB存储器但开放其他USB设备方法
利用组策略让系统可以使用USB接口但无法使用USB存储器。
笔者是企业的IT,管理80台左右的电脑。
为方便管理,将电脑的软驱、光驱全部拆除,前置USB口的连接在BIOS里禁用了USB端口,设置了密码,使USB端口不能使用,虽说在一定程度上控制了科室工作人员使用闪USB口的禁用,而导致不能使用USB鼠标、手写板等设备。
最近有部门要求使用激光打印机及手写板,激光打印机勉强找到了能连接的COM口,而手写板设备只能使用以想在禁止使用USB存储器的情况下又不影响USB设备(打印机、键盘、鼠标)的使用,怎么办呢?在多次实验一个方法了。
步骤如下
1、确定数字与盘符的关系
我需要隐藏及禁用的是除了C、D、E盘之外的磁盘分区,据微软相关资料所述,需要隐藏的驱动器的值设驱动器的值为0,那么数字与盘符的对应关系如下表:
接下来将11111111111111111111100011字符串转换为十进制数字,这个用Windows自带的计算器就可以办十进制数字为:67108835
2.修改system.adm文件
搜索域控制器C盘下的system.adm文件,一下搜出来好几个,且分布在不同的文件夹,大小及修改日期都制了其中1个文件并用记事本打开,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67108835”
,如下图。
接着继续查找“Strings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除C、D、E外其他驱动器"”,
修改后进行保存并覆盖掉原来的文件。
3. 编辑域用户的组策略
重新启动域控制器,打开“Active Directory用户和计算机”编辑域用户的组策略,在“用户配置”→“板”→“Windows组件”→“Windows资源管理器”的隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑的选项中果然就出现了“除C、D、E外的驱动器”选项,如下图。
4、选择该项并确定后,找了台客户机,开放其USB口,登录到域后,插入闪存,右下角系统托盘区显示了是在我的电脑里却显示不出闪存盘符,在地址栏中输入闪存盘符也提示不允许访问,此时使用USB鼠标等设备却功地达到了禁用USB储存器而不影响USB设备的使用。
最后,为保险起见,在组策略中禁用了自动播放。
不过通行界面仍然可以正常访问。
还需要再作最后一步。