關於辦公電腦的USB接口管控二三點

關於辦公電腦的USB接口管控二三點（網課學習筆記）

一：考慮到防病毒和保密的需求，公共機房和辦公用機都但願限制使用U盤等移動設備。其實限制計算機使用U盤有幾種方法，簡單說明以下：

1.修改bios，將usb接口Disableed。（針對G4一、H61）針對新主板及筆記本不適用。

2.修改註冊表鍵值，將[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]下的Start雙字節鍵值由默認的3該爲4便可:

3.經過控制驅動文件對USB管控，處理USB存儲設備的做用文件：進入WINDOWS系統目錄，找到X：\Windows\inf(usbstor.inf和usbstor.pnf)，考慮到後續還會從新打開USB功能，因此處理配置文件時需作好備份

方法一：是經過自定義組策略進行限制使用移動設備。其實每一條組策略都會與一處或多處註冊表鍵值相對應。因此註冊表纔是windows系統管理的核心。

1：定製組策略模板,利用組策略管理網路，爲用戶提供了強大而高效的管理功能。然而有些功能在系統自己的模板裏並不存在，好比禁止訪問註冊表、修改屏幕分辨率。

 

2：系統自身的組策略文件存放在「%systemroot%\system32\GroupPolicy\***」文件夾，能夠直接用記事本編輯，也能夠將自定義模板的代碼添加到任意位置。

3：本文製做的DisableUSBDrives.adm原理就是經過上面提到的修改註冊表鍵值的方法實現限制移動設備使用。當有人將USB存儲設備鏈接到計算機時，雖然USB設備上的指示燈在正常閃爍，但在資源管理器當中就是沒法找到其盤符，所以也就沒法使用USB設備了。本文之因此不去簡單修改註冊表文件是由於，組策略對於域模式下的系統管理對於客戶端數量較多的狀況。

4：下面開始製做，創建一個記事本文件，寫入以下內容

*********************************************************************

Class MACHINE                                  

CATEGORY !!FirstCategory

 

    POLICY !!DisableUSBDrives

          EXPLAIN !!E_HELP

          KEYNAME

   "SYSTEM\CurrentControlSet\Services\usbstor"

     VALUENAME "Start"

     VALUEON NUMERIC 4

     VALUEOFF NUMERIC 3

    END POLICY

END CATEGORY

[strings]

FirstCategory="自定義組策略模板"

DisableUSBDrives="禁止使用移動設備"

E_HELP="開啓——表示禁止使用移動設備；未定義或者關閉——表示能夠正常使用。

*********************************************************************

6：自定義模板的使用

A：將編輯完成的文件另存爲DisableUSBDrives.adm的組策略模板文件

B：在域模式下經過AD的用戶與計算機管理打開相應組織單元的組策略，若是是單機則

在運行中輸入gpedit.msc打開組策略編輯器

C：定位到計算機配置—管理模板。在管理模板上單擊右鍵，選擇添加/刪除模板

添加創建好的DisableUSBDrives.adm文件

D：添加後默認狀況下並不能看到所添加的策略。右鍵單擊管理模板，選擇查看—篩選

在彈出的對話框中，啓用篩選需求，以後便可看到禁止使用移動設備的策略，點擊啓用，設置生效

二．經過系統註冊表管制USB存儲設備，考慮到經過BIOS禁止，會致使USB端口完全失效而形成鼠標、鍵盤等外設的正常使用，而軟終端又會佔用系統內存致使計算機卡頓等狀況，因此優先考慮經過註冊表進行管制,而且能夠經過SCCM進行配置項管理。

實施步驟：斷定範圍：win7  win10

1. 將USB存儲設備設置爲只讀。打開註冊表，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control，新建一個爲「StorageDevicePolicies」項，選中後，在右邊的窗格新建一個名爲「WriteProtect」的DWORD值，並將數值數據設置爲1，這樣USB存儲設備只具有讀取能力。

Regedit打開註冊表，選擇[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001  優盤只讀 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies   WriteProtect]

SCCM基線說明：創建規則名稱暫用英文   WriteProtect  1  只讀爲信息  0  可讀寫  無默承認讀寫報警                   

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]  "WriteProtect"=dword:00000000  優盤可讀寫     

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]   

註冊表項不存，則斷定爲優盤可讀寫