組策略完全禁止USB等存儲設備

用組策略完全禁止USB存儲設備、光驅、軟驅、ZIP軟驅

  附件下載：  http://bbs.chinaitlab.com/thread-301183-1-1.html

1、禁止USB存儲設備、光驅、軟驅、ZIP軟驅

    在如今企業網絡環境下，因爲企業網絡愈來愈大環境愈來愈複雜。公司內員工素質良莠不齊，公司爲了增強網絡安全性、數據保密性提出要封堵USB存儲設備、光驅、軟驅、ZIP軟驅設備。首先咱們在企業網絡環境要想實現以上目的，必需要有域環境。這裏確定有朋友會說，沒有域環境也能實現。是的沒有域環境咱們能夠經過修改每一個客戶端的註冊表來實現，你們能夠試想下咱們企業環境就算不是很大的集團就算是個60多臺小型網絡環境，一臺一臺的去一個個修改每臺客戶端計算機的註冊表也會累死。因此咱們在域環境下就能夠經過在DC上創建策略，客戶端應用策略後咱們就比一臺臺的去客戶端修改註冊表來的簡單省事多了。

    好的言歸正傳，你們先下載我博文中的附件，附件內是該文中的核心。其次我想推薦你們能夠在本身的DC上安裝GPMC組策略管理工具，來方便咱們你們來對組策略管理已經排錯。

    第一步：咱們咱們在域控制器上點擊開始→運行輸入「GPMC.MSC」→點擊肯定啓動組策略管理。

    第二步：打開組策略管理，右鍵點擊zhp.com→點擊「建立並連接（GPO）」 →輸入組策略名稱「禁止USB」。由於咱們此次的策略是但願企業內全部計算機都應用，故咱們在域級別上建立一條GPO組策略。

    第三步：右鍵點擊「禁止USB」策略→點擊「編輯」→右鍵點擊「計算機配置」下的「管理模板」中的「添加/刪除模板」。

    第四步：在彈出的「添加/刪除模板」對話框中點擊「添加」按鈕在彈出「策略模板」對話框中來添加「usb.adm」組策略模板。（這裏咱們能夠事先把「usb.adm」組策略模板拷貝到c:\windows\inf目錄下也能夠經過路徑選擇「usb.adm」組策略模板所存放的位置。）雙擊「usb.adm」 組策略模板添加「usb.adm」 組策略模板。

添加後，回到「添加/刪除模板」對話框，咱們此時清楚看到「添加/刪除模板」對話框中多了一個名稱爲「USB」的組策略模板。

    第五步：咱們點擊「添加/刪除模板」對話框中的「關閉」按鈕，回到「組策略編輯器」對話框中。此時咱們就能夠看到「計算機配置」下的「管理模板」中多了一個「Custom Policy Settings」。

    第六步：右鍵點擊「管理模板」→「查看」→「篩選」。

    在彈出的「篩選」對話框中去掉「只顯示能徹底管理的策略設置」前面的勾

    再點擊「肯定」按鈕返回「組策略編輯器」畫面。

 

第七步：點擊「計算機配置」→「管理模板」→點擊「Custom Policy Settings」→點擊「Restrict Drives」

    第八步：例如咱們要禁止USB接口（你們能夠放心，雖然咱們禁止USB接口可是不影響咱們使用USB接口的打印機、鍵鼠累設備），右鍵點擊「Disable USB」→點擊「屬性」，彈出「Disable USB」 屬性對話框。

    咱們首先點擊「已啓用」按鈕→在「Disable USB Ports」中選擇「Enabled」來啓用該策略。

注意：這裏我要提醒的是，不少朋友可能在這裏就把該策略點擊「已啓用」按鈕後，而後用「GPupdate /force」來強行在客戶端和DC上刷新策略，最後發現爲何策略已經啓用了，就是不生效呢。這裏我要提醒你們就是必定要點擊「已啓用」後還要在下面選項中選爲「Enabled」，不然你作的策略是不會生效的。

    此時咱們點擊「應用」→點擊「肯定」返回到「組策略編輯器」對話框，咱們能夠看到「Disable USB」狀態已經變爲「已啓用」，關閉「組策略編輯器」對話框返回「組策略管理」對話框畫面。

 

2、禁止訪問註冊表編輯器工具

    到了這裏我想提醒你們一句，由於企業環境不一樣，有些客戶端給的權限也同樣，那麼爲此防止客戶端計算機使用者擅自修改組策略表來打開USB接口（雖然有朋友會說策略默認刷新間隔時間是5分鐘，咱們能夠經過修改成0，是每7秒刷新一次，可是問題會增長客戶端和域控制器的負擔以及已經形成網絡阻塞。），爲此咱們能夠經過創建「禁止訪問組冊表」策略來彌補。

    第一步：咱們咱們在域控制器上點擊開始→運行輸入「GPMC.MSC」→點擊肯定啓動組策略管理。

    第二步：打開組策略管理，右鍵點擊zhp.com→點擊「建立並連接（GPO）」 →輸入組策略名稱「禁止訪問註冊表」。由於咱們此次的策略是但願企業內全部計算機都應用，故咱們在域級別上建立一條GPO組策略。

    第三步：右鍵點擊「禁止訪問註冊表」策略→點擊「編輯」→右鍵點擊「計算機配置」→「管理模板」→點擊「系統」。

    第三步：右鍵點擊「組織訪問註冊表編輯工具」→「屬性」彈出「組織訪問註冊表編輯工具」屬性對話框→點擊「已啓用」→點擊「應用」→點擊「肯定」。

    好的下面咱們來驗證下咱們策略的效果，由於咱們作的是計算機策略，咱們首先在DC上運行「GPupdate /force」命令然再到客戶端計算機重啓計算機來應用該策略。此時咱們發現咱們在客戶端計算機點擊開始→運行輸入「Regdiet」則會提示以下圖所示：

    到此咱們「禁止註冊表」策略已經完成。

3、破解「禁止註冊表編輯器工具」

    這時候這個時候有朋友會說有辦法破解禁止訪問註冊表這個策略，的確，這裏我能夠明確告訴你們有些網絡的方法後綴名名.reg的就不要想在系統中運行了，可是能夠在該文中下載名爲「reg.inf」的文件能夠破解此策略。若是你們有什麼更好的辦法來禁止破解「禁止訪問註冊表」方法，你們也能夠再次留言一塊兒討亂學習。

    可是這裏我要奉勸你們一句，咱們在作一個系統管理員或是網絡管員理的時候，不要認爲技術是萬能的，咱們要技術手段加行政手段來綜合的管理咱們的網絡，畢竟咱們的崗位上都套有管理員這三個字，咱們不僅僅是一個技術的執行者,更是一個管理者。這個又談到如何成爲一個合格的網絡管理員或是系統管理員了，今天很晚了，在這裏我就很少說了。

本文出自 「周海鵬微軟技術社區」 博客，請務必保留此出處http://zhouhaipeng.blog.bitscn.com/447669/106926

本文出自 「周海鵬微軟技術社區」 博客，請務必保留此出處http://zhouhaipeng.blog.51cto.com/447669/106926