×

域策略禁用usb

hqy hqy 发表于2022-08-08 00:45:28 浏览553 评论0

抢沙发发表评论

  • 域策略禁用usb

    文档及模板可在 http://pan.baidu.com/s/1qYTcjTy  下载

    pro_usb_users.adm  此模板可禁用到 指定盘符,针对用户策略

    pro_usb_computers.adm  此模板 针对计算机,一般只要它就好了。

    可以从 3 个方面下手

    其实 adm配置文件,看起来是修改了本地组策略,其实最后还是通过修改注册表实现的。

    我们只保留可以查看ABCDE 盘。其他的盘符,不可查看,不可读写。

    服务端  Server 2003

    客户端  XP 的版本为 sp3,  E盘为光驱,F盘为U

    第一种方法 (不推荐这种,虽 可图像化访问,但可以用DOS访问)

    要用到两个键

    NoDrives  禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时,可以通过直接访问完全路径进行访问)

    NoViewOnDrive  禁止访问(其实可以通过命令行访问的),

    值为0 时,为启用功能, 为1时是不启用。

    可以在 excel 中弄好自己想要隐藏的,复制到计算器内,转成16进制就好了

    结果为  3FFFFE0

     

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

    "NoDrives"=dword:03ffffe0

    "NoViewOnDrive"=dword:03ffffe0

    这样,除了ABCDE 其他磁盘,为不显示,不可读写(但命令行可以访问)

     

    第二 种呢、就是 修改   usbhub(旧系统)   USBSTOR 现在的系统

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUSBSTOR]

    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesusbhub]

    "Start"=dword:00000004

    https://support.microsoft.com/zh-cn/kb/823732 官方文档

    此处需要注意一下

    修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor

    的Start为4时,每次接入新设备时,还会变为3,只有策略再次刷新过后,下次接入该USB才不可被识别.

    当然清理过USB 痕迹,就也再次被识别, 例如使用 usbviewer 工具

    知道 注册表修改了 什么,我们就开始写 adm 文件

    https://support.microsoft.com/en-us/kb/555324  可以下载模板文件,但注意开头为CLASS MACHINE 也就是说,它是计算机配置的模板,针对计算机的配置,需要重启PC的。

    第一种禁用到盘符的,是针对用户的,注销用户就可,adm文件编码请使用UCS-2,否则会乱码

    之前 修改注册表的 16进制、在adm文件要转为10进制。

    在 域控上 建立一个 GPO 用户模板引用 此规则 ,保存为 xx.adm 即可

    ----------------复制以下----------------------------

    CLASS USER

    CATEGORY !!category

     CATEGORY !!categoryname

     KEYNAME "SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"

      POLICY !!policyNoDrives

      

       EXPLAIN !!explaindrives

         PART !!labeltextusb DROPDOWNLIST REQUIRED

           VALUENAME "NoDrives"

           ITEMLIST

                                                   NAME !!ABOnly           VALUE NUMERIC     3

                                                   NAME !!COnly            VALUE NUMERIC      4

                                                   NAME !!DOnly            VALUE NUMERIC    8

                                                   NAME !!ABConly          VALUE NUMERIC    7

                                                   NAME !!ABCDOnly         VALUE NUMERIC    15

                                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                                   ;此处隐藏除ABCDE外所有的盘符

                                                   NAME !!ExceptABCDE      VALUE NUMERIC     67108832

           END ITEMLIST

         END PART

             END POLICY    

                       POLICY !!policyNoViewOnDrives

                                EXPLAIN !!NoViewOnDrive_Help

                                PART !!NoDrivesDropdown     DROPDOWNLIST NOSORT REQUIRED

                                         VALUENAME "NoViewOnDrive"

                                         ITEMLIST

                                                   NAME !!ABOnly           VALUE NUMERIC     3

                                                   NAME !!COnly            VALUE NUMERIC      4

                                                   NAME !!DOnly            VALUE NUMERIC    8

                                                   NAME !!ABConly          VALUE NUMERIC    7

                                                   NAME !!ABCDOnly         VALUE NUMERIC    15

                                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                                   ; low 26 bits on (1 bit per drive)

                                                   ;此处禁用除ABCDE外所有的盘符

                                                   NAME !!ExceptABCDE      VALUE NUMERIC     67108832

                                         END ITEMLIST

                                END PART

                       END POLICY        

     END CATEGORY

    END CATEGORY

    [strings]

    ABOnly="仅限制驱动器 A 和 B"

    ABCDOnly="仅限制驱动器 A、B、C 和 D"

    COnly="仅限制驱动器 C"

    DOnly="仅限制驱动器 D"

    ABConly="仅限制驱动器 A、B 和 C"

    ALLDrives="限制所有驱动器"

    ExceptABCDE="限制除A、B、C、D、E外所有驱动器"

    category="禁用盘符"

    categoryname="Restrict Drives"

    policyNoDrives="在我的电脑中隐藏这些盘符"

    explaindrives="请根据自己的情况选择要禁用的盘符"

    labeltextusb="选择禁用盘符"

    policyNoViewOnDrives="防止从“我的电脑”访问驱动器"

    NoViewOnDrive_Help="防止用户使用我的电脑访问所选驱动器的内容。

    NoDrivesDropdown="选择下列组合中的一个"

    ----------------复制以上----------------------------

    然后,我们启用禁用 "限制除A、B、C、D、E外所有驱动器" , 客户端gpupdate /force ,然后 rsop.msc 查看获取策略的结果

     

    此 策略 再 配上 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor

    Start 等于4 的策略,能应付一般的 使用人员了。

    ---------------复制以下—这是 计算机策略----

    CLASS MACHINE

    CATEGORY !!category

     CATEGORY !!categoryname

      POLICY !!policynameusb

       KEYNAME "SYSTEMCurrentControlSetServicesUSBSTOR"

       EXPLAIN !!explaintextusb

         PART !!labeltextusb DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 3 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY      

      POLICY !!Allusb_usbhub

       KEYNAME "SYSTEMControlSet001Servicesusbhub"

       EXPLAIN !!explain_USBSTOR

         PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 3 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY         

      POLICY !!Allusb_USBSTOR

       KEYNAME "SYSTEMControlSet001ServicesUSBSTOR"

       EXPLAIN !!explain_USBSTOR

         PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 3 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY         

      POLICY !!policynamecd

       KEYNAME "SYSTEMCurrentControlSetServicesCdrom"

       EXPLAIN !!explaintextcd

         PART !!labeltextcd DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 1 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY

      POLICY !!policynameflpy

       KEYNAME "SYSTEMCurrentControlSetServicesFlpydisk"

       EXPLAIN !!explaintextflpy

         PART !!labeltextflpy DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 3 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY

      POLICY !!policynamels120

       KEYNAME "SYSTEMCurrentControlSetServicesSfloppy"

       EXPLAIN !!explaintextls120

         PART !!labeltextls120 DROPDOWNLIST REQUIRED

           VALUENAME "Start"

           ITEMLIST

            NAME !!Disabled VALUE NUMERIC 3 DEFAULT

            NAME !!Enabled VALUE NUMERIC 4

           END ITEMLIST

         END PART

       END POLICY

     END CATEGORY

    END CATEGORY

    [strings]

    category="Disable_USB"

    categoryname="Restrict Drives"

    Allusb_USBSTOR="disable USBSTOR"

    Allusb_usbhub="disable usbhub"

    policynameusb="Disable USB"

    policynamecd="Disable CD-ROM"

    policynameflpy="Disable Floppy"

    policynamels120="Disable High Capacity Floppy"

    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"

    explain_USBSTOR="Disables usb"

    explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"

    explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"

    explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"

    labeltextusb="Disable USB Ports"

    labusb_USBSTOR="Disable USB Ports"

    labeltextcd="Disable CD-ROM Drive"

    labeltextflpy="Disable Floppy Drive"

    labeltextls120="Disable High Capacity Floppy Drive"

    Enabled="Enabled"

    Disabled="Disabled"

    ---------------复制以上----------

    其实 都是 修改注册表 也可以用 批处理 来完成、个人喜欢写 adm文件,写好后,可动态选择,不死板。

    ------------用户-------

    reg add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer" /v NoDrives /t reg_dword /d 67108832 /f

    reg add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer" /v NoViewOnDrive /t reg_dword /d 67108832 /f

    -----------计算机---------

    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start /t reg_dword /d 4 /f

    第二种,就是从驱动下手啦,这要放到 计算机 配置下手。

    从文件系统中 ,禁用下面两个文件

    (我只留下administrators 与system 这两个组可读取,其他的都没读取权限,但一定要加入Everyone这个组,并拒绝读取  普通域用户为 power user)

    %SystemRoot%infusbstor.inf 

    %SystemRoot%infusbstor.PNF

     

    然后去 客户端 看看结果

     

    不过此 方案下,如果换usb的键盘、鼠标、打印机,也会弹出此窗体,输入有读取 usbstor.inf、usbstor.PNF文件权限的 用户及密码即可。

    第二种方案 在win7 的客户端 下不能生效,要注意。

    但第一种可以 在win7下生效

     

    当启用 计算机配置后, 就可以在win7上禁用 usb了

     

      

    --------------------------我是分割线-----------------------------

    现在 换成

    服务器2008 r2

    客户端xp sp3

    然后用禁用 usb的 计算机模板,可以禁用 xp上的 usb

     

    我们在2008 r2 设置一个禁用usb 驱动的 gpo (如下图)

     

    然后看XP 的结果集 ,是生效的,如下图

     

    但 当 win7 做为客户端时,就不会有效禁用 usb.

     

    2008 r2 对移动存储 新加入了新功能选项,我们可以用它来禁用USB.

    此处应该把 策略 挂在用户OU下,(我挂在计算机OU下,gpresult /v 没查看到获取成功)

     

    XP 可以 接收到域策略,却不能执行,估计是版本太老,没这功能。

     

    可是win7 的效果就很好。

     

    所以、如果想兼容xp 与win7还是写模板文件好点。。

    请选择  pro_usb_computers.adm  模板,挂在 计算机策略下,不论服务器是 2003 或是2008 r2 ,客户端是 xp 还是win7 都会生效。

    1. adm 配置 文件。

    2. 注册表

    3. usb驱动

  • 相关阅读:

    Maven笔记之面试题合集
    Maven笔记之核心概念及常用命令
    UML中的关系
    RocketMq核心概念
    linux安装rocketMq(包括安装maven,JDK)
    linux安装JDK,配置环境变量
    ASP.NET Core读取appsettings.json配置文件信息
    ASP.NET Core获取客户端IP地址
    ASP.NET Core根据环境切换NLog配置
    ASP.NET Core使用NLog记录日志
  • 原文地址:https://www.cnblogs.com/likehc/p/5866226.html


打赏

本文链接:https://www.kinber.cn/post/2615.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客