组策略彻底禁止USB存储设备
禁用usb存储设备-usb键盘和鼠标可用
usb接口的键盘和鼠标能用,禁用usb接口的存储设备可以采用下面的四种方法。
一、修改注册表项,禁用usb移动存储设备点击开始在运行对话框中输入regedi t打开注册表编辑器,依次展开[HKEY_LOCAL MACHINE\SYSTEM\currentControlSet\Services \usbehci]双击右面的“Start”键,把编辑窗口中的“数值数据“改为“4”(提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用),把基数选择为“十六进制”就可以了。
这时再插入usb移动存储设备,在“我的电脑”里显示不出usb移动存储设备的盘符,在地址栏内输入盘符也提示无法访问。
二、隐藏可分配给usb移动存储设备的盘符并禁止查看首先打开注册表编辑器,依次展开如下分支:[HKEY_CURRENT_U SER\Software\Microsoft\\CurrentVersion\Policies\Explorer],新建dword(双字)值“NoDrives”。
键值由四个字节(32位二进制数)组成,其中由低到高的二十六位二进制数代表了电脑中可供分配的2 6个驱动器符号,每个字节的每一位(bit)对应从A:到Z:的一个盘。
当相应位为l时,“我的电脑”中相应的驱动器就被隐藏了。
当相应位为0时,“我的电脑”中相应的驱动器不被隐藏。
其缺省值是00 00 00 00,表示不隐藏任何驱动器。
假定学生机的硬盘有五个分区分别用C:、D:、E:、F:、G:来表示,如果插入usb移动存储设备分配给它的盘符将是G:以后的符号,可以将G:以后可用的盘符隐藏起来,这样就可以禁止访问usb移动存储设备。
数字与盘符的对应关系,如表1所示。
表1将二进制数“1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0”转换成十六进制(用 Xp自带的计算器进行转换)为3FFFF8 0,将”NoDriyes”的值改为3FFFF80.改好后重新启动电脑,再插入移动存储设备。
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
电脑禁用USB存储
一、修改组策略或注册表通过修改组策略或注册表,可以禁止访问某些特定盘符的U盘。
但是懂点组策略和注册表知识的员工可以轻轻松松地取消对U盘的限制。
所以实际上没什么用处。
老板不会采取这种办法。
二、修改BIOS设置,禁止使用USB设备在BIOS里面,把USB设备设置为disable。
然后为BIOS设一个登录密码,员工就无法使用优盘了。
这一招很猛,老板比较满意。
但是,这么一来,USB鼠标和USB键盘也不能用了,这是不可接受的。
因此,这一招由于太狠,也没有哪个会老板采用。
三、干掉Windows自带的USB设备驱动,这样U盘插进去找不到驱动,自然就不能用了。
具体操作:将Window系统中的i386文件夹下的设备压缩包彻底删除,或者停用usb 总线控制器。
这种办法的弱点显而易见:一是不能使用USB鼠标和USB键盘了;二是高手可以重装驱动或者启用usb总线控制器。
总之,这种防备办法也是聋子的耳朵--摆设!四、微软官方提出了一个适合于高手操作的解决方案。
但这种办法也没有什么效果,因为高手同样可以反其道而行之,把对U盘的限制统统取消掉。
因此,这只是一种只能防菜鸟不能防高手的办法。
启动Windows 资源管理器,然后找到%SystemRoot%\Inf 文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。
注意:此外,还需将系统帐户添加到“拒绝”列表中。
在“组或用户名称”列表中,选择“系统”帐户。
在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
组策略禁用USB
禁止访问USB存储设备
通过组策略设置,可以禁止用户访问和连接USB存储设备, 如U盘、移动硬盘等。
限制USB存储设备的使用
可以设置只允许特定的USB存储设备连接到计算机,或者限 制USB存储设备的读写权限。
禁用USB输入设备
禁止使用USB鼠标和键盘
通过组策略设置,可以禁止用户使用USB鼠标和键盘等输入设备。
限制其他USB输入设备的使用
可以设置只允许特定的USB输入设备连接到计算机,或者限制这些设备的输入 权限。
禁用USB通信设备
禁止使用USB通信设备
通过组策略设置,可以禁止用户使用USB通信设备,如蓝牙适配器、无线网卡等 。
限制其他USB通信设备的使用
可以设置只允许特定的USB通信设备连接到计算机,或者限制这些设备的通信权 限。
创建策略规则
定义规则
设置规则操作
保存并应用策略
右击“软件限制策略”,选 择“创建新的策略规则”。
在规则向导中,选择“程序 ”选项卡,然后单击“下一 步”。在“程序源”下,单 击“浏览”按钮,选择要禁
止的USB存储设备。
在“规则操作”下,选择“ 拒绝”操作。
完成规则设置后,单击“完 成”保存策略。然后,在组 策略编辑器中,应用该策略 到相应的计算机或用户组。
组策略禁用USB
汇报人: 日期:
目录
• 引言 • 组策略概述 • 禁用USB设备策略 • 实施步骤和注意事项 • 常见问题和解决方案 • 总结与展望
01
引言
背景介绍
计算机安全
随着计算机和互联网的普及,计算机 安全问题日益突出。USB设备的使用 也带来了一定的安全风险,如数据泄 露、恶意软件传播等。
提高工作效率
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
组策略禁用usb
组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R,输入`gpedit.msc`,点击确定。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击本地策略,最后点击安全选项。
在右侧找到并双击打开用户账户控制:管理模板,然后双击打开Windows组件。
在Windows组件下找到并双击打开Windows资源管理器。
在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件,然后选择已启用,点击确定。
开启组策略编辑器配置USB设备策略选择已启用,点击确定。
在右侧找到并双击打开禁用USB 存储设备。
在USB根集线器下找到并双击打开策略选项卡。
在计算机配置下,点击Windows 设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在USB根集线器下找到并双击打开策略选项卡。
在右侧找到并双击打开禁用USB其他设备。
选择已启用,点击确定。
禁用USB存储设备03注意事项在实施组策略禁用USB之前,需要对员工USB设备使用需求进行充分了解,以便制定更加合理的策略配置。
了解员工USB设备使用需求在实施组策略之前,需要充分评估禁用USB的必要性,以及是否有其他更加适合的解决方案。
确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求,可以提供一些安全替代方案,如FTP、SFTP、云存储等。
配置合理的权限和访问控制在提供安全替代方案时,需要配置合理的权限和访问控制,以确保只有授权用户才能访问相应的文件资源。
安全替代方案进行测试和验证在组策略禁用USB之前,需要进行充分的测试和验证,以确保策略配置的正确性和有效性。
用组策略彻底禁止USB存储设备
用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。
公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。
首先我们在企业网络环境要想实现以上目的,必须要有域环境。
这里肯定有朋友会说,没有域环境也能实现。
是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。
所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。
其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱
一、禁止USB存储设备、光驱、软驱、ZIP软驱
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
此时我们就可以看到“计算机配置”下的“管理模板”中多了一个
“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate /force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。
这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为
“Enabled”,否则你做的策略是不会生效的。
此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。
),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止访问注册表”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。