组策略禁止USB最好的方法
用AD组策略之彻低禁止USB存储设备
04
具体操作步骤
计算机配置禁止USB存储设备操作步骤
在“组策略管理”窗口中,展开“计算机配 置”->“Windows设置”->“安全设置 ”->“设备管理器”。
特定计算机或用户的USB存储设备禁止
打开注册表编辑器
按下“win+r”组合键,输入 “regedit”并回车。
定位到注册表
依次展开 “HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\USBS TOR”。
禁用特定计算机或用 户的USB存储设备
解决方法
在组策略中启用该策略。
问题二:禁止后仍能访问USB存储设备
原因
可能未禁止所有USB存储设备的访问权限。
解决方法
在组策略中禁止所有USB存储设备的访问权限。
问题三:策略无法正常应用
原因
可能是管理员账户未设置密码,或者密码不符合复杂性要求。
解决方法
为管理员账户设置密码,并确保密码符合复杂性要求。
2023
用AD组策略之彻低禁止 USB存储设备
contents
目录
• 介绍 • AD组策略基础 • 如何禁止USB存储设备 • 具体操作步骤 • 可能出现的问题及解决方案 • 总结与展望
01
介绍
什么是AD组策略
AD组策略是一种基于Active Directory的集中式安全管理工 具,可以用于管理和配置网络中的计算机和用户。
06
总结与展望
使用AD组策略禁止USB存储设备的优势
域策略禁用usb
域禁用usb模板.zippro_usb_users.adm此模板可禁用到指定盘符,针对用户策略pro_usb_computers.adm此模板针对计算机,一般只要它就好了。
可以从3 个方面下手1.adm 配置文件。
2.注册表b驱动其实adm配置文件,看起来是修改了本地组策略,其实最后还是通过修改注册表实现的。
我们只保留可以查看ABCDE 盘。
其他的盘符,不可查看,不可读写。
服务端Server 2003 \客户端XP 的版本为sp3, E盘为光驱,F盘为U盘第一种方法(不推荐这种,虽可图像化访问,但可以用DOS访问)要用到两个键NoDrives禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时,可以通过直接访问完全路径进行访问)NoViewOnDrive禁止访问(其实可以通过命令行访问的),值为0 时,为启用功能,为1时是不启用。
可以在excel 中弄好自己想要隐藏的,复制到计算器内,转成16进制就好了结果为3FFFFE0Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"=dword:03ffffe0"NoViewOnDrive"=dword:03ffffe0这样,除了ABCDE 其他磁盘,为不显示,不可读写(但命令行可以访问)第二种呢、就是修改usbhub(旧系统) USBSTOR现在的系统Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]"Start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]"Start"=dword:00000004https:///zh-cn/kb/823732官方文档此处需要注意一下修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start为4时,每次接入新设备时,还会变为3,只有策略再次刷新过后,下次接入该USB 才不可被识别.当然清理过USB 痕迹,就也再次被识别,例如使用usbviewer工具知道注册表修改了什么,我们就开始写adm 文件https:///en-us/kb/555324可以下载模板文件,但注意开头为CLASS MACHINE也就是说,它是计算机配置的模板,针对计算机的配置,需要重启PC的。
利用域策略禁用USB方法
利用域策略禁用USB方法A.在域相关OU里,策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。
屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B.在域里相关OU里,所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。
对域策略生效1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”,强行刷新策略Settings.各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。
如何禁用usb接口
如何禁用usb接口如何禁用usb接口如何禁用usb接口1方法一利用软件实现USB端口的禁用管理,打开搜狗搜索USB端口监控软件。
然后选择一款评价高的`下载安装。
打开软件,开始会设置密码,建议简单好记的免得忘记了。
然后进入软件设置页面按照如图操作。
最后点击后台运行,就OK了。
第二种方法是改变组策略来实现禁用USB端口,这个一般适用于专业一点的人,不适合大多数DIY爱好者,所以这里不详细讲解了。
如何禁用usb接口201、使用快捷键win键+r,输入regedit.exe,点击确定打开注册表编辑器。
02、依次展开HKEY-LOCAL-MACHINESYSTEMCurrentControlSetServices,找到USBSTOR,选中。
03、在右侧对话框中找到start,双击进入。
04、把数值数据中的3修改成4,然后点击确定。
如何禁用usb接口301、重启电脑,不停点击del键(不同品牌主板的'快捷键不同,常用的有del,Esc,F1,F2,F8,F9,F10,F11,F12等具体请参考开机提示信息)进入BIOS。
02、使用键盘左右键控制选中高级,然后使用上下键选中USB配置。
03、点击回车键进入,通过上下键选中USB控制器。
04、点击回车键,通过键盘上下键选中关闭,然后再次点击回车键。
05、点击快捷键F10,在弹出的对话框中使用键盘左右键选中保存或者SAVE,然后点击回车键,电脑自动保存刚才的配置并重启就实现BIOS禁用USB接口的操作了。
如何禁用usb接口402、搜狗搜索下载大势至电脑文件防泄密系统,解压并运行大势至电脑文件防泄密系统V14.2.exe,按照提示一步步安装,如果遇到安全提示信息,均选择允许即可,直至安装完成。
03、使用快捷键alt+f2唤出登录界面,按照提示输入初始默认账号admin和密码123,点击确定登录。
04、在主界面找到存储设备控制,勾选禁止USB存储设备(如U 盘、移动硬盘,允许使用USB鼠标、键盘和加密狗)。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
组策略禁用usb
用户配置安全性
保护敏感数据
禁用USB可以防止用户将敏感数据存储在USB设备中,从而减少数据泄露的风险。
避免不必要的权限提升
某些USB设备可能会要求用户具有管理员权限才能安装和使用,禁用USB可以避免用户通过使用USB 设备来提升权限。
组策略规则的安全性
集中管理
通过使用组策略,管理员可以对整个域或组织中的计算 机进行统一的USB禁用配置,实现集中管理和安全策略 的统一实施。
2023
组策略禁用USB
contents
目录
• 介绍 • 组策略禁用USB设备的方法 • 组策略禁用USB的安全性 • 组策略禁用USB的优缺点 • 组策略禁用USB的未来发展
01
介绍
背景
1
随着移动设备的普及,USB接口已成为计算机 与外部设备之间最常用的连接方式之一。
2
但同时也带来了安全风险,例如USB设备可能 成为病毒和恶意软件的传播途径。
规则的灵活配置
组策略提供了丰富的配置选项,可以根据需要灵活配置 禁用USB的规则,例如禁用特定USB设备、禁用特定 USB端口等。
04
组策略禁用USB的优缺点
优点
提高安全性
禁用USB可以减少外部存储设备 (如USB驱动器)的攻击面,从 而降低内部网络受到攻击的风险 。
数据保护
限制USB设备的使用可以防止敏 感数据通过USB设备泄漏出去, 从而保护公司的数据安全。
在计算机配置中,可以设置计算机的各个方 面的参数,例如操作系统、网络设置、安全 设置等,以及进行系统优化和个性化定制。
用户配置
用户配置指的是对特定用户账号进行的设置,以满足该用 户账号的特定需求。
在用户配置中,可以设置该用户账号的权限、安全策略、 桌面设置、开始菜单设置等,以及为该用户账号指定特定 的应用程序和文件。
AD组策略禁用U盘
ad组策略的作用
01
AD组策略可帮助企业实现以 下目标
02
03
04
统一管理:通过定义组策略对 象,企业可以实现对网络中计 算机和用户的统一管理和控制 ,减少管理员的工作量,提高 管理效率。
安全加固:AD组策略可以定 义各种安全设置,如密码策略 、账户策略、防火墙设置等, 以提高网络的安全性。
计算机配置是指定组策略设置,以禁 用或启用U盘的使用。
在计算机配置中,我们需要更改设备策略 来禁用USB存储设备。
我们可以通过在设备管理器中禁用 USB存储设备来禁止用户使用U盘 。
用户配置
用户配置是指定组策略设置,以禁用或启用U盘的使用。 在用户配置中,我们需要更改设备策略来禁用USB存储设备。 我们可以通过在设备管理器中禁用USB存储设备来禁止用户使用U盘。
ad组策略禁用u盘
xx年xx月xx日
目 录
• 介绍 • ad组策略禁用u盘的方法 • ad组策略禁用u盘的优缺点 • ad组策略禁用u盘的适用场景 • ad组策略禁用u盘的实践案例
01
介绍
什么是ad组策略
AD组策略是一种企业级集中管理工具,用于在Active Directory(AD)域中管理和控制用户、计算机和其他网络 资源的策略。
问题描述
由于政务网内涉及大量敏感信息,如果U盘使用不当,可能导致敏感信息泄漏,对政府形 象和公众利益造成损害。
解决方案
通过AD组策略禁用U盘,严格控制员工使用U盘的范围和功能,确保敏感信息的安全性和 保密性。同时,可以防止病毒和恶意软件在政务网内传播,提高网络安全性。
THANKS
组策略禁用usb
组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R,输入`gpedit.msc`,点击确定。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击本地策略,最后点击安全选项。
在右侧找到并双击打开用户账户控制:管理模板,然后双击打开Windows组件。
在Windows组件下找到并双击打开Windows资源管理器。
在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件,然后选择已启用,点击确定。
开启组策略编辑器配置USB设备策略选择已启用,点击确定。
在右侧找到并双击打开禁用USB 存储设备。
在USB根集线器下找到并双击打开策略选项卡。
在计算机配置下,点击Windows 设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在计算机配置下,点击Windows设置,然后点击安全设置,再点击设备管理器,最后点击通用串行总线控制器。
在通用串行总线控制器下找到并双击打开USB根集线器。
在USB根集线器下找到并双击打开策略选项卡。
在右侧找到并双击打开禁用USB其他设备。
选择已启用,点击确定。
禁用USB存储设备03注意事项在实施组策略禁用USB之前,需要对员工USB设备使用需求进行充分了解,以便制定更加合理的策略配置。
了解员工USB设备使用需求在实施组策略之前,需要充分评估禁用USB的必要性,以及是否有其他更加适合的解决方案。
确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求,可以提供一些安全替代方案,如FTP、SFTP、云存储等。
配置合理的权限和访问控制在提供安全替代方案时,需要配置合理的权限和访问控制,以确保只有授权用户才能访问相应的文件资源。
安全替代方案进行测试和验证在组策略禁用USB之前,需要进行充分的测试和验证,以确保策略配置的正确性和有效性。
安全管理禁用USB最简单最有效的方法
安全管理禁用USB最简单最有效的方法1.硬件层面的限制:这是最简单且最常见的方法。
通过USB端口的物理封锁或移除来阻止USB设备的插入。
这可以通过禁用主板上的USB接口、使用USB端口锁或封口胶等工具来实现。
这种方法非常有效,但也可能不方便,因为员工可能需要使用USB设备来传输数据或连接其他设备。
3.安全策略和权限控制:通过企业级安全策略和权限控制,可以对USB设备的使用进行更细粒度的控制。
企业可以设定策略,只允许特定的USB设备类型或特定的工作站使用USB设备。
此外,可以根据用户的角色或职责,分配不同的权限来限制或允许使用USB设备。
4.使用设备管理工具:企业可以使用专门的设备管理工具来控制和监控USB设备的使用。
这些工具可以在企业网络中检测和阻止未经授权的USB设备连接,并提供实时报警和审计功能。
这样的工具可以大大简化USB设备管理的工作,并提供更全面的安全保护。
5.教育和培训:除了技术手段之外,教育和培训也是非常重要的。
企业应该对员工进行安全意识教育,告知他们使用USB设备可能带来的安全风险,并制定明确的政策和规程来规范USB设备的使用。
员工需要了解企业的安全需求,并采取适当的行动来保护企业的信息和网络安全。
需要注意的是,禁用USB设备可能会对企业的正常运行和员工的工作造成一定的影响。
因此,在实施禁用控制之前,企业应该充分评估风险和利益,并在风险可接受的范围内选择合适的禁用方法。
此外,还建议企业建立完善的安全管理体系,包括防火墙、入侵检测系统、数据加密和备份等措施,以综合提升网络安全及数据保护能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略禁止U S B最好的
方法
LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】
组策略禁止USB最好的方法:
把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!
Host Controller Miniport计算机未安装USB设备
这种情况可以采取将%SystemRoot%Inf下的和两个文件设置其用户的控制权
限。
Step1:右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应
用到子对象的权限项目,包括那些在此明确定义的项目”复选框。
Step2:在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后
单击“确定”。
这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的
“Windows NT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。
2. 计算机已安装了USB设备
这种情况可以通过修改注册表来实现。
方法是修改注册表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制
数值“4”。
该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。
二、Windows NT以上系统通用方法
运行注册表编辑器,找到
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消
System的所有控制权。
如果要分配控制权,只需要对相应用户设置控制权限就可以了。
小提示:Windows 2000中要设置注册表的控制权限,需用注册表编辑器。
三、禁止和管理域中多台计算机USB设备的使用
方法很简单,就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控
制权即可。