用組策略徹底禁止USB存儲設備、光驅、軟驅、ZIP軟驅

轉自： http://zhouhaipeng.blog.51cto.com/447669/106926

 

 

一、禁止USB存儲設備、光驅、軟驅、ZIP軟驅

 

在現在企業網絡環境下，由於企業網絡越來越大環境越來越複雜。公司內員工素質參差不齊，公司爲了加強網絡安全性、數據保密性提出要封堵USB存儲設備、光驅、軟驅、ZIP軟驅設備。首先我們在企業網絡環境要想實現以上目的，必須要有域環境。這裏肯定有朋友會說，沒有域環境也能實現。是的沒有域環境我們可以通過修改每個客戶端的註冊表來實現，大家可以試想下我們企業環境就算不是很大的集團就算是個60多臺小型網絡環境，一臺一臺的去一個個修改每臺客戶端計算機的註冊表也會累死。所以我們在域環境下就可以通過在DC上建立策略，客戶端應用策略後我們就比一臺臺的去客戶端修改註冊表來的簡單省事多了。

好的言歸正傳，大家先下載我博文中的附件，附件內是該文中的核心。其次我想推薦大家可以在自己的DC上安裝GPMC組策略管理工具，來方便我們大家來對組策略管理已經排錯。

第一步：我們我們在域控制器上點擊開始→運行輸入“GPMC.MSC”→點擊確定啓動組策略管理。

第二步：打開組策略管理，右鍵點擊zhp.com→點擊“創建並鏈接（GPO）” →輸入組策略名稱“禁止USB”。因爲我們這次的策略是希望企業內所有計算機都應用，故我們在域級別上創建一條GPO組策略。

第三步：右鍵點擊“禁止USB”策略→點擊“編輯”→右鍵點擊“計算機配置”下的“管理模板”中的“添加/刪除模板”。

第四步：在彈出的“添加/刪除模板”對話框中點擊“添加”按鈕在彈出“策略模板”對話框中來添加“usb.adm”組策略模板。（這裏我們可以事先把“usb.adm”組策略模板拷貝到c:\windows\inf目錄下也可以通過路徑選擇“usb.adm”組策略模板所存放的位置。）雙擊“usb.adm” 組策略模板添加“usb.adm” 組策略模板。

添加後，回到“添加/刪除模板”對話框，我們此時清楚看到“添加/刪除模板”對話框中多了一個名稱爲“USB”的組策略模板。

第五步：我們點擊“添加/刪除模板”對話框中的“關閉”按鈕，回到“組策略編輯器”對話框中。此時我們就可以看到“計算機配置”下的“管理模板”中多了一個“Custom Policy Settings”。

第六步：右鍵點擊“管理模板”→“查看”→“篩選”。

在彈出的“篩選”對話框中去掉“只顯示能完全管理的策略設置”前面的勾

再點擊“確定”按鈕返回“組策略編輯器”畫面。

第七步：點擊“計算機配置”→“管理模板”→點擊“Custom Policy Settings”→點擊“Restrict Drives”

第八步：例如我們要禁止USB接口（大家可以放心，雖然我們禁止USB接口但是不影響我們使用USB接口的打印機、鍵鼠累設備），右鍵點擊“Disable USB”→點擊“屬性”，彈出“Disable USB” 屬性對話框。

我們首先點擊“已啓用”按鈕→在“Disable USB Ports”中選擇“Enabled”來啓用該策略。

注意：這裏我要提醒的是，很多朋友可能在這裏就把該策略點擊“已啓用”按鈕後，然後用“GPupdate /force”來強行在客戶端和DC上刷新策略，最後發現爲什麼策略已經啓用了，就是不生效呢。這裏我要提醒大家就是一定要點擊“已啓用”後還要在下面選項中選爲“Enabled”，否則你做的策略是不會生效的。

此時我們點擊“應用”→點擊“確定”返回到“組策略編輯器”對話框，我們可以看到“Disable USB”狀態已經變爲“已啓用”，關閉“組策略編輯器”對話框返回“組策略管理”對話框畫面。

二、禁止訪問註冊表編輯器工具

到了這裏我想提醒大家一句，因爲企業環境不同，有些客戶端給的權限也一樣，那麼爲此防止客戶端計算機使用者擅自修改組策略表來打開USB接口（雖然有朋友會說策略默認刷新間隔時間是5分鐘，我們可以通過修改爲0，是每7秒刷新一次，但是問題會增加客戶端和域控制器的負擔以及已經造成網絡阻塞。），爲此我們可以通過建立“禁止訪問組冊表”策略來彌補。

第一步：我們我們在域控制器上點擊開始→運行輸入“GPMC.MSC”→點擊確定啓動組策略管理。

第二步：打開組策略管理，右鍵點擊zhp.com→點擊“創建並鏈接（GPO）” →輸入組策略名稱“禁止訪問註冊表”。因爲我們這次的策略是希望企業內所有計算機都應用，故我們在域級別上創建一條GPO組策略。

第三步：右鍵點擊“禁止訪問註冊表”策略→點擊“編輯”→右鍵點擊“計算機配置”→“管理模板”→點擊“系統”。

 

第三步：右鍵點擊“組織訪問註冊表編輯工具”→“屬性”彈出“組織訪問註冊表編輯工具”屬性對話框→點擊“已啓用”→點擊“應用”→點擊“確定”。

好的下面我們來驗證下我們策略的效果，因爲我們做的是計算機策略，我們首先在DC上運行“GPupdate /force”命令然再到客戶端計算機重啓計算機來應用該策略。此時我們發現我們在客戶端計算機點擊開始→運行輸入“Regdiet”則會提示如下圖所示：

到此我們“禁止註冊表”策略已經完成。

三、破解“禁止註冊表編輯器工具”

這時候這個時候有朋友會說有辦法破解禁止訪問註冊表這個策略，的確，這裏我可以明確告訴大家有些網絡的方法後綴名名.reg的就不要想在系統中運行了，但是可以在該文中下載名爲“reg.inf”的文件可以破解此策略。如果大家有什麼更好的辦法來禁止破解“禁止訪問註冊表”方法，大家也可以再次留言一起討亂學習。