组策略完全禁止USB等存储设备

用组策略完全禁止USB存储设备、光驱、软驱、ZIP软驱

  附件下载：  http://bbs.chinaitlab.com/thread-301183-1-1.html

1、禁止USB存储设备、光驱、软驱、ZIP软驱

    在如今企业网络环境下，因为企业网络愈来愈大环境愈来愈复杂。公司内员工素质良莠不齐，公司为了增强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。首先咱们在企业网络环境要想实现以上目的，必需要有域环境。这里确定有朋友会说，没有域环境也能实现。是的没有域环境咱们能够经过修改每一个客户端的注册表来实现，你们能够试想下咱们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。因此咱们在域环境下就能够经过在DC上创建策略，客户端应用策略后咱们就比一台台的去客户端修改注册表来的简单省事多了。

    好的言归正传，你们先下载我博文中的附件，附件内是该文中的核心。其次我想推荐你们能够在本身的DC上安装GPMC组策略管理工具，来方便咱们你们来对组策略管理已经排错。

    第一步：咱们咱们在域控制器上点击开始→运行输入“GPMC.MSC”→点击肯定启动组策略管理。

    第二步：打开组策略管理，右键点击zhp.com→点击“建立并连接（GPO）” →输入组策略名称“禁止USB”。由于咱们此次的策略是但愿企业内全部计算机都应用，故咱们在域级别上建立一条GPO组策略。

    第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

    第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里咱们能够事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也能够经过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。

添加后，回到“添加/删除模板”对话框，咱们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

    第五步：咱们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时咱们就能够看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

    第六步：右键点击“管理模板”→“查看”→“筛选”。

    在弹出的“筛选”对话框中去掉“只显示能彻底管理的策略设置”前面的勾

    再点击“肯定”按钮返回“组策略编辑器”画面。

 

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”

    第八步：例如咱们要禁止USB接口（你们能够放心，虽然咱们禁止USB接口可是不影响咱们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB” 属性对话框。

    咱们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

注意：这里我要提醒的是，不少朋友可能在这里就把该策略点击“已启用”按钮后，而后用“GPupdate /force”来强行在客户端和DC上刷新策略，最后发现为何策略已经启用了，就是不生效呢。这里我要提醒你们就是必定要点击“已启用”后还要在下面选项中选为“Enabled”，不然你作的策略是不会生效的。

    此时咱们点击“应用”→点击“肯定”返回到“组策略编辑器”对话框，咱们能够看到“Disable USB”状态已经变为“已启用”，关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。

 

2、禁止访问注册表编辑器工具

    到了这里我想提醒你们一句，由于企业环境不一样，有些客户端给的权限也同样，那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口（虽然有朋友会说策略默认刷新间隔时间是5分钟，咱们能够经过修改成0，是每7秒刷新一次，可是问题会增长客户端和域控制器的负担以及已经形成网络阻塞。），为此咱们能够经过创建“禁止访问组册表”策略来弥补。

    第一步：咱们咱们在域控制器上点击开始→运行输入“GPMC.MSC”→点击肯定启动组策略管理。

    第二步：打开组策略管理，右键点击zhp.com→点击“建立并连接（GPO）” →输入组策略名称“禁止访问注册表”。由于咱们此次的策略是但愿企业内全部计算机都应用，故咱们在域级别上建立一条GPO组策略。

    第三步：右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。

    第三步：右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“肯定”。

    好的下面咱们来验证下咱们策略的效果，由于咱们作的是计算机策略，咱们首先在DC上运行“GPupdate /force”命令然再到客户端计算机重启计算机来应用该策略。此时咱们发现咱们在客户端计算机点击开始→运行输入“Regdiet”则会提示以下图所示：

    到此咱们“禁止注册表”策略已经完成。

3、破解“禁止注册表编辑器工具”

    这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略，的确，这里我能够明确告诉你们有些网络的方法后缀名名.reg的就不要想在系统中运行了，可是能够在该文中下载名为“reg.inf”的文件能够破解此策略。若是你们有什么更好的办法来禁止破解“禁止访问注册表”方法，你们也能够再次留言一块儿讨乱学习。

    可是这里我要奉劝你们一句，咱们在作一个系统管理员或是网络管员理的时候，不要认为技术是万能的，咱们要技术手段加行政手段来综合的管理咱们的网络，毕竟咱们的岗位上都套有管理员这三个字，咱们不仅仅是一个技术的执行者,更是一个管理者。这个又谈到如何成为一个合格的网络管理员或是系统管理员了，今天很晚了，在这里我就很少说了。

本文出自 “周海鹏微软技术社区” 博客，请务必保留此出处http://zhouhaipeng.blog.bitscn.com/447669/106926

本文出自 “周海鹏微软技术社区” 博客，请务必保留此出处http://zhouhaipeng.blog.51cto.com/447669/106926