屏蔽USB的方法.doc

刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范-在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千，不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.思路：当计算机插入盘后，系统会自动增加一个盘符，如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。打開Active Directory用户和计算机，建立一个名为NO的组织单位，也就是OU，如图:右键-属性组策略，新建一个名为nousb的策略.如图:点编辑后出现组策略，我们来设置。定位到用户配置Windwos组件-Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符，这就需要手动的为组策略来添加我们需要的选项。我们重新回到nousb属性对话框，选择nousb组策略，点下面的属性，记下弹出的又一个nousb属性对话框中的常规选项卡摘要-唯一的名称（C04ED8BO。）中的内容这时来到c:windowssysvolsysvoltest.testpolicies（其中test.test为你所建域名）目录下，找到和唯一的名称所对应的文件夹中的adm文件夹，用记事本打开其下的system.adm文件找到POLICY !NoDrives#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !NoDrives_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABOnlyVALUE NUMERIC3NAME !COnlyVALUE NUMERIC4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC15NAME !ALLDrivesVALUE NUMERIC67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC0END ITEMLISTEND PARTEND POLICYPOLICY !NoViewOnDrive#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnlyVALUE NUMERIC3NAME !COnlyVALUE NUMERIC4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC15NAME !ALLDrivesVALUE NUMERIC67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!NoDrive，它所对应的策略是“隐藏我的电脑中的这些指定的驱动器”它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive的作用是“防止从我的电脑访问驱动器”阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问。就是说如果只启用第一个策略的话，在我的电脑里看不到策略所定义的盘符，但却可以通过另外的方法来访问，而如果只启用第二个策略的话，用户可以看到驱动器的盘符，但不可以访问，所以同时启用两个策略所达到的效果是最佳的。 仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和我们图4下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，J=512，K=1024，L=2048，M=4096，N=8192，O=16384，P=32768，Q=65536，R=131072，S=262144，T=524288，U=1048576，V=2097152，W=4194304，X=8388608，Y=16777216，Z=33554432。我们可根据我们的需要修改此代码段。例：假设我们的电脑是分4个区的，算上一个光区，就是除盘符C-G以外的盘符都要隐藏和禁止访问。现在来做加法，从HZ的和是67108736在加上3，也就是A和B的值。最终的结果是67108739。在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !CDEFGOnly VALUE NUMERIC 67108739随后，移到System.adm文件的末尾处，stringsABCDOnly=仅限制驱动器 A、B、C 和 DABConly=仅限制驱动器 A、B 和 CABOnly=仅限制驱动器 A 和 B。在 ABConly=仅限制驱动器 A、B 和 C 下面插入一行数据，“CDEFGOnly =仅限制驱动器G TO Y”等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图4的下拉框中。保存后，打开nousb策略，定位“