文檔及模板可在 http://pan.baidu.com/s/1qYTcjTy 下載 pro_usb_users.adm 此模板可禁用到 指定盤符,針對用戶策略 pro_usb_computers.adm 此模板 針對電腦,一般只要它就好了。 可以從 3 個方面下手 其實 adm配置文件,看起來是 ...
文檔及模板可在 http://pan.baidu.com/s/1qYTcjTy 下載
pro_usb_users.adm 此模板可禁用到 指定盤符,針對用戶策略
pro_usb_computers.adm 此模板 針對電腦,一般只要它就好了。
可以從 3 個方面下手
- adm 配置 文件。
- 註冊表
- usb驅動
其實 adm配置文件,看起來是修改了本地組策略,其實最後還是通過修改註冊表實現的。
我們只保留可以查看ABCDE 盤。其他的盤符,不可查看,不可讀寫。
服務端 Server 2003 \
客戶端 XP 的版本為 sp3, E盤為光碟機,F盤為U盤
第一種方法 (不推薦這種,雖 可圖像化訪問,但可以用DOS訪問)
要用到兩個鍵
NoDrives 禁止顯示(不顯示在我的電腦里、如果NoViewOnDrive設置為訪問時,可以通過直接訪問完全路徑進行訪問)
NoViewOnDrive 禁止訪問(其實可以通過命令行訪問的),
值為0 時,為啟用功能, 為1時是不啟用。
可以在 excel 中弄好自己想要隱藏的,複製到計算器內,轉成16進位就好了
結果為 3FFFFE0
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03ffffe0
"NoViewOnDrive"=dword:03ffffe0
這樣,除了ABCDE 其他磁碟,為不顯示,不可讀寫(但命令行可以訪問)
第二 種呢、就是 修改 usbhub(舊系統) USBSTOR 現在的系統
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]
"Start"=dword:00000004
https://support.microsoft.com/zh-cn/kb/823732 官方文檔
此處需要註意一下
修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
的Start為4時,每次接入新設備時,還會變為3,只有策略再次刷新過後,下次接入該USB才不可被識別.
當然清理過USB 痕跡,就也再次被識別, 例如使用 usbviewer 工具
知道 註冊表修改了 什麼,我們就開始寫 adm 文件
https://support.microsoft.com/en-us/kb/555324 可以下載模板文件,但註意開頭為CLASS MACHINE 也就是說,它是電腦配置的模板,針對電腦的配置,需要重啟PC的。
第一種禁用到盤符的,是針對用戶的,註銷用戶就可,adm文件編碼請使用UCS-2,否則會亂碼
之前 修改註冊表的 16進位、在adm文件要轉為10進位。
在 域控上 建立一個 GPO 用戶模板引用 此規則 ,保存為 xx.adm 即可
----------------複製以下----------------------------
CLASS USER
CATEGORY !!category
CATEGORY !!categoryname
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!policyNoDrives
EXPLAIN !!explaindrives
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
;此處隱藏除ABCDE外所有的盤符
NAME !!ExceptABCDE VALUE NUMERIC 67108832
END ITEMLIST
END PART
END POLICY
POLICY !!policyNoViewOnDrives
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
;此處禁用除ABCDE外所有的盤符
NAME !!ExceptABCDE VALUE NUMERIC 67108832
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
ABOnly="僅限制驅動器 A 和 B"
ABCDOnly="僅限制驅動器 A、B、C 和 D"
COnly="僅限制驅動器 C"
DOnly="僅限制驅動器 D"
ABConly="僅限制驅動器 A、B 和 C"
ALLDrives="限制所有驅動器"
ExceptABCDE="限制除A、B、C、D、E外所有驅動器"
category="禁用盤符"
categoryname="Restrict Drives"
policyNoDrives="在我的電腦中隱藏這些盤符"
explaindrives="請根據自己的情況選擇要禁用的盤符"
labeltextusb="選擇禁用盤符"
policyNoViewOnDrives="防止從“我的電腦”訪問驅動器"
NoViewOnDrive_Help="防止用戶使用我的電腦訪問所選驅動器的內容。
NoDrivesDropdown="選擇下列組合中的一個"
----------------複製以上----------------------------
然後,我們啟用禁用 "限制除A、B、C、D、E外所有驅動器" , 客戶端gpupdate /force ,然後 rsop.msc 查看獲取策略的結果
此 策略 再 配上 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Start 等於4 的策略,能應付一般的 使用人員了。
---------------複製以下—這是 電腦策略----
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!Allusb_usbhub
KEYNAME "SYSTEM\ControlSet001\Services\usbhub"
EXPLAIN !!explain_USBSTOR
PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!Allusb_USBSTOR
KEYNAME "SYSTEM\ControlSet001\Services\USBSTOR"
EXPLAIN !!explain_USBSTOR
PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Disable_USB"
categoryname="Restrict Drives"
Allusb_USBSTOR="disable USBSTOR"
Allusb_usbhub="disable usbhub"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explain_USBSTOR="Disables usb"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labusb_USBSTOR="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
---------------複製以上----------
其實 都是 修改註冊表 也可以用 批處理 來完成、個人喜歡寫 adm文件,寫好後,可動態選擇,不死板。
------------用戶-------
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t reg_dword /d 67108832 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t reg_dword /d 67108832 /f
-----------電腦---------
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f
第二種,就是從驅動下手啦,這要放到 電腦 配置下手。
從文件系統中 ,禁用下麵兩個文件
(我只留下administrators 與system 這兩個組可讀取,其他的都沒讀取許可權,但一定要加入Everyone這個組,並拒絕讀取 普通域用戶為 power user)
%SystemRoot%\inf\usbstor.inf
%SystemRoot%\inf\usbstor.PNF
然後去 客戶端 看看結果
不過此 方案下,如果換usb的鍵盤、滑鼠、印表機,也會彈出此窗體,輸入有讀取 usbstor.inf、usbstor.PNF文件許可權的 用戶及密碼即可。
第二種方案 在win7 的客戶端 下不能生效,要註意。
但第一種可以 在win7下生效
當啟用 電腦配置後, 就可以在win7上禁用 usb了
--------------------------我是分割線-----------------------------
現在 換成
伺服器2008 r2
客戶端xp sp3
然後用禁用 usb的 電腦模板,可以禁用 xp上的 usb
我們在2008 r2 設置一個禁用usb 驅動的 gpo (如下圖)
然後看XP 的結果集 ,是生效的,如下圖
但 當 win7 做為客戶端時,就不會有效禁用 usb.
2008 r2 對移動存儲 新加入了新功能選項,我們可以用它來禁用USB.
此處應該把 策略 掛在用戶OU下,(我掛在電腦OU下,gpresult /v 沒查看到獲取成功)
XP 可以 接收到域策略,卻不能執行,估計是版本太老,沒這功能。
可是win7 的效果就很好。
所以、如果想相容xp 與win7還是寫模板文件好點。。
請選擇 pro_usb_computers.adm 模板,掛在 電腦策略下,不論伺服器是 2003 或是2008 r2 ,客戶端是 xp 還是win7 都會生效。
