关于如何使用策略禁止USB的问题.doc

关于如何使用策略禁止USB的问题- - 日前，在Winmag和emerbor()朋友讨论 :求助如何在Windows2000下禁止打游戏！（原帖见于 /forum/itemdisplay.asp?boardid=5&id=481941）其中提到的关于删除游戏和禁止usb的问题，有一定的代表性，这里特整理如下：关于如何删除游戏：将下面这个脚本保存为cmd，然后制定策略，将脚本放在策略中计算机登陆脚本执行它就可以了。脚本将在计算机启动的时候执行，清除系统自带的小游戏。由于删除的顺序是按照 servicepackfile、dllcache、system32执行，将不会给系统文件保护所阻拦，进入系统后也不会有任何提示。-请不要复制此行-echoy|del%systemRoot%ServicePackFilesi386spider.exeechoy|del%systemRoot%ServicePackFilesdllcachesol.exeechoy|del%systemRoot%ServicePackFilesdllcachefreecell.exeechoy|del%systemRoot%ServicePackFilesdllcachePinball.exeechoy|del%systemRoot%ServicePackFilesdllcachewinmine.exeattrib-s-h-r%systemRoot%system32dllcacheechoy|del%systemRoot%system32dllcachespider.exeechoy|del%systemRoot%system32dllcachesol.exeechoy|del%systemRoot%system32dllcachefreecell.exeechoy|del%systemRoot%system32dllcachePinball.exeechoy|del%systemRoot%system32dllcachewinmine.exeechoy|del%systemRoot%system32spider.exeechoy|del%systemRoot%system32sol.exeechoy|del%systemRoot%system32freecell.exeechoy|del%systemRoot%system32winmine.execd%programfiles%window1pinballechoy|delPinball.exe-请不要复制此行-对于系统自带的游戏，前面的方法就可以制止它们的运行。对于需要安装的游戏，domainusers是没有权限安装的。对于绿色软件的游戏，它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。 如果通过策略限制这些小软件的运行，用户可以更改其文件名以躲避策略限制。对于改名的问题，之前也讨论过，对于win2k的ad是没有办法限制的，对于win2k3来说，虽然可以通过校验软件头部hash值来限制，但用户仍然可以使用软件修改它。最终的解决办法还是要通过隐藏驱动器结合设置本地硬盘的ntfs权限（此可以通过安全模板实现）来进一步设定。对于fileserver上的游戏，可以通过server上存储管理来做，比如veritascentral，定期监控调用频率高的程序，就可以扫描到它们。关于屏蔽USB：MS有此kb，见于 /default.aspx?scid=kb;zh-cn;823732，主要内容如下：如果计算机上尚未安装USB存储设备如果计算机上尚未安装USB存储设备，请向用户或组分配对下列文件的“拒绝”权限：%SystemRoot%InfUsbstor.pnf%SystemRoot%InfUsbstor.inf这样，用户将无法在计算机上安装USB存储设备。要向用户或组分配对Usbstor.pnf和Usbstor.inf文件的“拒绝”权限，请按照下列步骤操作：启动Windows资源管理器，然后找到%SystemRoot%Inf文件夹。右键单击“Usbstor.pnf”文件，然后单击“属性”。单击“安全”选项卡。在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。右键单击“Usbstor.inf”文件，然后单击“属性”。单击“安全”选项卡。在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。返回页首如果计算机上已经安装了USB存储设备警告：“注册表编辑器”使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。如果计算机上已经安装了USB存储设备，请将以下注册表项中的“Start”值设置为4：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor这样，当用户将USB存储设备连接到计算机时，该设备将无法运行。要设置“Start”的值，请按照下列步骤操作：单击“开始”，然后单击“运行”。在“打开”框中，键入“regedit”，然后单击“确定”。找到并单击下面的注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor在右窗格中，双击“Start”。在“数值数据”框中，键入4，单击“十六进制”（如果尚未选中），然后单击“确定”。退出“注册表编辑器”。在实践操作的时候，可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发（抱歉这里是用繁体的名称，下面用图片来说明它的位置）通过在登陆项目中新增机码（主键）（注：一般dc如果没有使用过usb设备，那么usbstor这键值是不会产生的，可以手动添加此主键。策略分发到client后，会自动应用于client的注册表中对应键值;在添加用户的时候可以酌情考虑，是使用domainusers还是其他；权限的设置，请点击修改旁边的拒绝，这样当usbstor主键权限继承下去后，如果原来下面的子键已经有相应的权限，那么也会以拒绝优先）通过在档案系统中新增资料夹（文件夹）（注：在指定文件夹路径的时候，为了使用win2k和winxp，请使用%systemroot%）就可以完成这一点。client登入后，如果插入usb设备，系统将会提示：“您的安全性特殊?限不足,所以?法在?部?上安?新的?置.?您的站台系?管理?,或者登出後重新以系?管理?的身分登入,然後再安?一次.”至此，USB禁止策略实施成功。- 作者： gnaw0725 2004年08月29日, 星期日 17:06 Trackback你可以使用这个链接引用该篇日志 /blog/tb.b?diaryID=302835 博客手拉手回复- 评论人：wen-un Mon Sep 11 16:41:21 CST 2006 USB的功能不错，收藏起来- 评论人：gnaw0725 Sun Aug 21 14:43:59 CST 2005 没有必要“用bat文件在用户登陆/注销的时候设置导入注册表文件更改键值”，更何况domain users是没有权限修改注册表的。 请注意图中描述的位置，指定使用usb所要访问的注册表子键或者文件，禁止domain users访问它们就可以了。- 评论人：crazyren Sun Aug 21 12:39:40 CST 2005 to gnaw0725： 谢谢你的回答。问题在这里，域下面，有的用户有usb权限，有的没有，这个开关权限跟用户走，而不是固定机器。 我采取了用bat文件在用户登陆/注销的时候设置导入注册表文件更改键值来修改是否可用usb，但是这条策略对domain admin生效，对domain user却没有生效。难道是因为domain user没有修改注册表权限，所以无法生效吗。还有什么方法设置吗- 评论人：gnaw0725 Tue Aug 16 10:58:38 CST 2005 这里所谈到的场景，控制的是domain user访问usb所需要的文件或者注册表键值，如果已经安装了usb设备，反而更好 ：） 不用分发注册表，操作的方法在上面的文中已经说明了。- 评论人：crazyren Mon Aug 15 15:10:59 CST 2005 gnaw0752，你好！如果装了usb，策略方式禁用如何进行？分发注册表吗？怎么分发，能用操作的方式一步一步描述吗。谢谢- 评论人：gnaw0725 Sat Aug 06 12:02:35 CST 2005 感谢清扬创新朋友提供的信息- 评论人：清扬创新 Sat Aug 06 11:41:24 CST 2005 清扬内网管理产品可实现禁用USB磁盘 清扬内网管理产品具有禁用USB移动存储、禁用光驱、禁用软驱、远程集中设定终端网络属性（如IP、网关、DNS、代理服务器和机器名等）等特点。 能到/nec.htm下载试用啊- 评论人：gnaw0725 Thu Jul 28 10:56:49 CST 2005 这个理论上是可行的，但用策略来做太麻烦了，您可以尝试用一些第三方的工具，看看有无这样的功能，比如这里 /gnaw0725/377171.html- 评论人：kinfong Thu Jul 28 10:02:17 CST 2005 gnaw0725你好，我现有一事不明想请教一下，就是我这台上面有打印机，能否做到我的打印机可以用，而不可以使用其它的USB设备（如U盘，移动硬盘等），谢谢！- 评论人：gnaw0725 Mon Jul 11 08:20:44 CST 2005 就事论事而言，有三种情况您可能看不到安全选项卡。1、当前分区格式不是ntfs，2、没有关闭简单文件共享，3、当前操作系统是winxp home edition- 评论人：不懂 Sun Jul 10 16:13:37 CST 2005 我想知道那个安全选项卡在哪- 评论人：黑白画映 Fri Jul 01 07:22:20 CST 2005 写的好，你对管理理念分的特别清楚。谢谢你- 评论人：B.O. Tue Jun 14 14:18:33 CST 2005 谢谢gnaw0725如此快速的答复！第三方软件GFI LANguard Portable Storage Control 我看了一下，好像不能做到。CenterTools DriveLock 虽然分得比较细，但是也没有把这两种区别对待。我知道有些产品是实现这些功能的，比如互普公司的ViaControl ，中软的防水墙都可以做到将USB狗和usb存储区别开。就是不知道是怎么实现的？- 评论人：gnaw0725 Tue Jun 14 12:51:58 CST 2005 哎?，这估计就有些麻烦了。已经禁止了usb设备了，却又要启动一个usb加密狗 单考虑操作这个加密狗的问题，可以考虑限制用户读写那个usb设备的guid，看看能否成功。 再者看看下面提到的那些第三方的软件能否作到。- 评论人：B.O. Tue Jun 14 11:32:15 CST 2005 gnaw0725，看了你的相关USB管理的帖子，有个问题想问：如果我想让某些用户使用USB的软件狗，但是不能使用USB存储设备，应该怎样处理？- 评论人：gnaw0725 Mon Apr 04 20:24:5