我希望“受限”用户组 (Windows XP Professional SP3) 内的所有用户都能读取他们插入的 CD/DVD。我不希望这些用户能够使用可用的 CDRW/DVDRW 驱动器刻录任何 CD/DVD。
显然,在系统策略中禁用刻录选项是不够的。用户仍然可以获得某些 CD/DVD 刻录软件的便携版本并绕过该保护。
我在 Windows XP Pro SP3 上找到了与 CD 刻录相关的以下设置:
右键单击 CD/DVD 驱动器 -> 属性 -> 录制 -> “启用 CD 录制”选项。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\Drives
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCDBurning
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCDBurning
我认为这些选择都不够。
如有任何提示我将不胜感激。
编辑:
我需要应用这些限制的机器不应允许任何数据移出机构。所有机器的 USB 端口都已禁用,它们与外界相连(无互联网访问,只有安全的内联网)。所有打印机均单独监控,并且不允许在该区域使用任何录音设备。
所述策略中唯一的安全漏洞是提到的 CD/DVD 刻录,因为任何用户都可以使用便携式 CD 刻录应用程序刻录任何敏感数据,而这正是我试图寻找解决方案的原因。
请注意,我不能仅仅使用 BIOS 设置来完全禁用 CDROM 驱动器,也不能简单地从所有这些机器上移除硬件,因为还有其他具有更高权限的用户应该能够使用 CD/DVD 驱动器的所有功能。
答案1
答案如下: 为媒体刻录设备提供用户权限:
- gpedit.msc-->计算机配置|Windows 设置|安全设置|本地策略|安全选项
- 将“设备:仅限本地登录用户访问 CD-ROM”设置为已启用
- 将“设备:允许格式化和弹出可移动媒体”设置为管理员和高级用户。
- 然后,在计算机管理器中,授予您信任的那些用户高级用户会员资格,以便将数据刻录到 CD/DVD。