域中禁用USB等移动硬盘.doc

学习资料收集于网络，仅供参考Windows 2003 域控制器 组策略禁止USB的方法2010-10-22 17:25我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!/CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定义策略MMC_DeviceManagerX=设备管理器扩展插件MMC_DeviceManager=设备管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用设备管理器扩展插件；Enable 启用设备管理器扩展插件 DEVMGR_Restrict_Explain=Disable 禁用设备管理器；Enable 启用设备管理器USB_UHCD_PARAMS=USB通用主控制器驱动器STARTUPTYPE_HELP=启动类型，3-手动，4-禁用STARTUPTYPE=启动类型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驱Floppy_Disk=软驱/还有种方法就是让每台机子开机时导入一个注册表文件（如何让每台机子开机导入注册表文件，就不用我讲了吧），文件内容为：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORstart=dword:00000004然后在OU的计算机配置-windows设置-安全设置-注册表 里面添一条：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR在该注册表项的权限设置中，将所有用户删除！只留 domainadministrator用户！一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。Step1：右击这两个文件，选择“属性安全高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的“Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。2. 计算机已安装了USB设备这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改为十六位进制数值“4”。该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。二、Windows NT以上系统通用方法运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。小提示：Windows 2000中要设置注册表的控制权限，需用Regedt32.exe注册表编辑器。三、禁止和管理域中多台计算机USB设备的使用方法很简单，就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控制权即可。如果是禁用光驱，软驱，USB设备，第三方软件GFI LANGuard Portable Storage Control.v2.0非常不错，它可以在域环境中使用。如果使用组策略禁用USB设备,可以按照以下办法：禁止移动存储设务的模板胡义老师原创将下列内容保存为DisableDevice.adm，在组策略的添加/删除模板中导入进行设置。=CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定义策略MMC_DeviceManagerX=设备管理器扩展插件MMC_DeviceManager=设备管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用设备管理器扩展插件；Enable 启用设备管理器扩展插件 DEVMGR_Restrict_Explain=Disable 禁用设备管理器；Enable 启用设备管理器USB_UHCD_PARAMS=USB通用主控制器驱动器STARTUPTYPE_HELP=启动类型，3-手动，4-禁用STARTUPTYPE=启动类型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驱Floppy_Disk=软驱者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。实现条件当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。基本原理组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽U盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。实现方法1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示如图1所示。我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。3、打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于“C:WINNTSYSVOLPolicies”下（盘符依赖于您安装的操作系统所在的分区），注意其中是您的Windows 2000的域名，打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY* POLICY !NoViewOnDrive EXPLAIN !NoViewOnDrive_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoViewOnDrive ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY说明：这是两个策略，第一个!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和我们图2下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数（防止有人同时插入几个U盘，呵呵！）。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 4