公司规定不准员工用移动存储设备怎么用技术手段实现这个限制？个人所做的ppt课件.ppt

模块二组策略管理 组员 戴成 易沁 唐游虎 孟佳兴 组长 ISAS ISAS竞赛 计网1034 计网1034班 ISAS 计网1034第三团队分工 孟佳兴 利用注册表实现对移动存储的限制 易沁 利用设备管理器实现对公司员工移动存储设备限制 1 唐游虎 利用mcAfee智能实现公司员工移动存储设备的限制 域环境下禁用USB闪存不影响USB设备使用 实验场景分析 案例分析与对比 实验拓展分析等 场景一 公司成员有别有用心的人使用移动存储设备从而偷取公司重要数据场景二 员工不允许使用移动存储设备 公司领导可以使用场景三 规定企业中可以使用移动存储设备的区域场景四 规定哪些类型的数据可以保存到移动存储设备上 保存的时间有多久 场景五 规定企业中哪些员工可以使用规定的移动存储设备场景六 防止使用人安装特别的软件 实验方法分析 实验方法分析 包括方法解决方案 方法的优劣对比等 方案一 修改注册表项 禁用usb移动存储设备 孟佳兴 方案二 利用设备管理器禁用USB移动存储设备 易沁 方案三 利用McAfee软件实施对移动存储设备的管理 唐游虎 方案四 利用组策略实施对移动存储设备的管理 戴成 三 设备管理功能策略设置 添加一条策略 对于test用户而言 只允许特定的USB使用 其他所有的USB都禁止使用 此策略属于devicecontrol的功能 添加只能使用特定的USB存储设备 可以通过USB设备的VID PID 设备序列号等来控制 下面以设备的VID和PID为例来详细介绍 将允许使用的USB插入电脑 打开 设备管理器 右键 属性 如下图 点击 Details 选项卡 如下图可以看到有关USB的一些标识信息 其含义分别是VID是设备生产厂商的标识 PID是USB设备的类型标识 登陆EPO 访问DLP策略设置页面 点击 策略分配 用户分配组 鼠标右键选择 添加新用户分配组 命名为 LAB 双击 LAB 点击 添加 弹出如下对话框 再点击 搜索 会列出LAB域中所有的可用对象 如下图所示 选中testuser的复选框 点击确定 test用户已经被加入到DLP策略用户用户组当中 如下图再点击 设备管理 设备定义 选择菜单 添加新可移动存储设备定义 将其命名为 允许的USB 双击 允许的USB 弹出的对话框中选择 USB供应商ID 产品ID 弹出新的对话框 如下图所示将输入供应商ID0411 产品ID00DC 再新添加一个可移动存储设备定义 命名为 所有的USB 如下图所示双击 所有的USB 弹出对话框中选择总线类型 在新的对话框中选中 USB 复选框 确定后再点击 设备管理 设备规则 如下图所示添加一个 可移动存储设备规则 命名为 USB设备规则 双击 USB设备规则 如下图所示对 允许的USB 选中 排除 单选框 对所有USB选中 包括 单选框 点击下一步 选择 阻止 复选框 选择事件的严重性 如下图所示 再点击下一步 选中 LAB 复选框 点击完成 如下图所示 点击菜单上 启用 按钮 使策略生效 如下图所示 设备管理策略设置完成 此策略应该能够只允许域用户TEST使用特定的USB 其他USB不能正常使用 点击应用 将此策略应用到EPO 使策略下发到XP客户端 使策略生效 如下图所示 启动客户端 以LAB test用户的身份登陆 将定义的USB插入 如下图所示 该USB正常使用 插入另外的USB设备到客户端 如图显示设备被禁用 规则有效 以上为允许特定USB移动设备可以使用 如果要全部禁止使用USB 或者只允许读取 只读 完全阻止 四 针对文件扩展名 关键字等来实现文件到移动存储的控制 文档内容包含关键字或者文档的拓展名为 c sch等不允许拷贝到移动存储设备设置关键字和文件扩展名关键字 设置条件 设置符合条件时采用的规则 选择用户 测试将包含关键字的文档拷贝到移动存储设备包含关键字的文档 拷贝到移动存储 文件扩展名 选择条件 符合规则的采用的操作 选择用户 测试其它未包含关键字以及扩展名的文件拷贝到移动存储 发送此文件到移动设备 域环境下禁用USB闪存不影响USB设备使用图文教程 实验目的 隐藏除A C D E外的所有驱动器 打开AD创建1个OU 新建用户帐户将其添加到OU OU中的用户账户 右键OU属性按照图中步骤新建组策略对象并编辑 依次打开用户配置 管理模板 Windows组件 Windows资源管理器 组策略本身所包含的7项组合启用一项并应用 启用后关闭 此设置是为了生成GPT组策略模板 将AD组策略编辑器全部关掉 打开GPT组策略模板编辑system adm文件 生成的GPT组策略模板文件 选择使用记事本打开点去始终使用勾选 打开的system adm文件 查找Nodrives 设置 隐藏 我的电脑 中的这些指定的驱动器 没有修改前 添加一行信息 此处可理解为这条信息的名字 此处添加一串十进制代码 A Z是盘符 十进制代码换算方法 0 不隐藏1 隐藏连起来就是一串二进制代码将代码转换成十进制 使用进制转换器转换代码 不隐藏A C D E隐藏其他所有盘符所得到的十进制代码是 输入十进制代码就是一条完整的信息 下一个要修改的地方 设置 防止从 我的电脑 访问驱动器 相同信息在不同字符段下 查找下一个内容strings 注意绿色部分是前面所添加信息的名字 后面可自己编辑 设定完成后保存即可 打开AD 使用用户账