关于办公电脑的USB接口管控二三点

关于办公电脑的USB接口管控二三点（网课学习笔记）

一：考虑到防病毒和保密的需求，公共机房和办公用机都但愿限制使用U盘等移动设备。其实限制计算机使用U盘有几种方法，简单说明以下：

1.修改bios，将usb接口Disableed。（针对G4一、H61）针对新主板及笔记本不适用。

2.修改注册表键值，将[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]下的Start双字节键值由默认的3该为4便可:

3.经过控制驱动文件对USB管控，处理USB存储设备的做用文件：进入WINDOWS系统目录，找到X：\Windows\inf(usbstor.inf和usbstor.pnf)，考虑到后续还会从新打开USB功能，因此处理配置文件时需作好备份

方法一：是经过自定义组策略进行限制使用移动设备。其实每一条组策略都会与一处或多处注册表键值相对应。因此注册表才是windows系统管理的核心。

1：定制组策略模板,利用组策略管理网路，为用户提供了强大而高效的管理功能。然而有些功能在系统自己的模板里并不存在，好比禁止访问注册表、修改屏幕分辨率。

 

2：系统自身的组策略文件存放在“%systemroot%\system32\GroupPolicy\***”文件夹，能够直接用记事本编辑，也能够将自定义模板的代码添加到任意位置。

3：本文制做的DisableUSBDrives.adm原理就是经过上面提到的修改注册表键值的方法实现限制移动设备使用。当有人将USB存储设备链接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是没法找到其盘符，所以也就没法使用USB设备了。本文之因此不去简单修改注册表文件是由于，组策略对于域模式下的系统管理对于客户端数量较多的状况。

4：下面开始制做，创建一个记事本文件，写入以下内容

*********************************************************************

Class MACHINE                                  

CATEGORY !!FirstCategory

 

    POLICY !!DisableUSBDrives

          EXPLAIN !!E_HELP

          KEYNAME

   "SYSTEM\CurrentControlSet\Services\usbstor"

     VALUENAME "Start"

     VALUEON NUMERIC 4

     VALUEOFF NUMERIC 3

    END POLICY

END CATEGORY

[strings]

FirstCategory="自定义组策略模板"

DisableUSBDrives="禁止使用移动设备"

E_HELP="开启——表示禁止使用移动设备；未定义或者关闭——表示能够正常使用。

*********************************************************************

6：自定义模板的使用

A：将编辑完成的文件另存为DisableUSBDrives.adm的组策略模板文件

B：在域模式下经过AD的用户与计算机管理打开相应组织单元的组策略，若是是单机则

在运行中输入gpedit.msc打开组策略编辑器

C：定位到计算机配置—管理模板。在管理模板上单击右键，选择添加/删除模板

添加创建好的DisableUSBDrives.adm文件

D：添加后默认状况下并不能看到所添加的策略。右键单击管理模板，选择查看—筛选

在弹出的对话框中，启用筛选需求，以后便可看到禁止使用移动设备的策略，点击启用，设置生效

二．经过系统注册表管制USB存储设备，考虑到经过BIOS禁止，会致使USB端口完全失效而形成鼠标、键盘等外设的正常使用，而软终端又会占用系统内存致使计算机卡顿等状况，因此优先考虑经过注册表进行管制,而且能够经过SCCM进行配置项管理。

实施步骤：断定范围：win7  win10

1. 将USB存储设备设置为只读。打开注册表，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control，新建一个为“StorageDevicePolicies”项，选中后，在右边的窗格新建一个名为“WriteProtect”的DWORD值，并将数值数据设置为1，这样USB存储设备只具有读取能力。

Regedit打开注册表，选择[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001  优盘只读 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies   WriteProtect]

SCCM基线说明：创建规则名称暂用英文   WriteProtect  1  只读为信息  0  可读写  无默承认读写报警                   

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]  "WriteProtect"=dword:00000000  优盘可读写     

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]   

注册表项不存，则断定为优盘可读写