组策略禁用usb
域组策略下禁用USB和组策略
一、禁止USB存储设备、光驱、软驱、ZIP软驱第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
组策略禁用USB
禁止访问USB存储设备
通过组策略设置,可以禁止用户访问和连接USB存储设备, 如U盘、移动硬盘等。
限制USB存储设备的使用
可以设置只允许特定的USB存储设备连接到计算机,或者限 制USB存储设备的读写权限。
禁用USB输入设备
禁止使用USB鼠标和键盘
通过组策略设置,可以禁止用户使用USB鼠标和键盘等输入设备。
限制其他USB输入设备的使用
可以设置只允许特定的USB输入设备连接到计算机,或者限制这些设备的输入 权限。
禁用USB通信设备
禁止使用USB通信设备
通过组策略设置,可以禁止用户使用USB通信设备,如蓝牙适配器、无线网卡等 。
限制其他USB通信设备的使用
可以设置只允许特定的USB通信设备连接到计算机,或者限制这些设备的通信权 限。
创建策略规则
定义规则
设置规则操作
保存并应用策略
右击“软件限制策略”,选 择“创建新的策略规则”。
在规则向导中,选择“程序 ”选项卡,然后单击“下一 步”。在“程序源”下,单 击“浏览”按钮,选择要禁
止的USB存储设备。
在“规则操作”下,选择“ 拒绝”操作。
完成规则设置后,单击“完 成”保存策略。然后,在组 策略编辑器中,应用该策略 到相应的计算机或用户组。
组策略禁用USB
汇报人: 日期:
目录
• 引言 • 组策略概述 • 禁用USB设备策略 • 实施步骤和注意事项 • 常见问题和解决方案 • 总结与展望
01
引言
背景介绍
计算机安全
随着计算机和互联网的普及,计算机 安全问题日益突出。USB设备的使用 也带来了一定的安全风险,如数据泄 露、恶意软件传播等。
提高工作效率
利用域策略禁用USB方法
利用域策略禁用USB方法A.在域相关OU里,策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。
屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B.在域里相关OU里,所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。
对域策略生效1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略Settings.各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。
组策略禁用USB存储器但开放其他USB设备方法 原创文章 图片教程
组策略禁用USB存储器但开放其他USB设备方法利用组策略让系统可以使用USB接口但无法使用USB存储器。
笔者是企业的IT,管理80台左右的电脑。
为方便管理,将电脑的软驱、光驱全部拆除,前置USB口的连接在BIOS里禁用了USB端口,设置了密码,使USB端口不能使用,虽说在一定程度上控制了科室工作人员使用闪USB口的禁用,而导致不能使用USB鼠标、手写板等设备。
最近有部门要求使用激光打印机及手写板,激光打印机勉强找到了能连接的COM口,而手写板设备只能使用以想在禁止使用USB存储器的情况下又不影响USB设备(打印机、键盘、鼠标)的使用,怎么办呢?在多次实验一个方法了。
步骤如下1、确定数字与盘符的关系我需要隐藏及禁用的是除了C、D、E盘之外的磁盘分区,据微软相关资料所述,需要隐藏的驱动器的值设驱动器的值为0,那么数字与盘符的对应关系如下表:接下来将11111111111111111111100011字符串转换为十进制数字,这个用Windows自带的计算器就可以办十进制数字为:671088352.修改system.adm文件搜索域控制器C盘下的system.adm文件,一下搜出来好几个,且分布在不同的文件夹,大小及修改日期都制了其中1个文件并用记事本打开,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67108835”,如下图。
接着继续查找“Strings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除C、D、E外其他驱动器"”,修改后进行保存并覆盖掉原来的文件。
3. 编辑域用户的组策略重新启动域控制器,打开“Active Directory用户和计算机”编辑域用户的组策略,在“用户配置”→“板”→“Windows组件”→“Windows资源管理器”的隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑的选项中果然就出现了“除C、D、E外的驱动器”选项,如下图。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略禁用u s b Final approval draft on November 22, 2020
用A D组策略-----彻低禁止U S B存储设备
, , , , , ,
本帖最后由 zh_cxl 于 2009-2-4 15:36 编辑
原2008-10-13的更新有误,主要是和的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的和的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配
置--安全设置--文件系统;
2、在右边单击鼠标右键选择--添加文件;
3、选择系统目录下的C:\windows\inf\文件,单击确定;
4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;
5、出现如下对话框,继续单确定;
6、按照如上方法再把C:\windows\inf\添加进去,如下图;
7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;
8、查看客户端计算机c:\windows\inf\及的NTFS权限,发现里面所有安全组
已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10
先下载附件里的文件详细操作如下:1,在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中,
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前
面的勾
4、右键管理模板--点添加删除模板--添加的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其
它设备也是同样的操
作.。