为了采取一些措施来对抗 BadUSB 漏洞,我想限制 Windows 8 上的 USB 设备安装,如建议的那样这里。
但是,Windows 8 中无法使用 gpedit.msc 来访问本地组策略编辑器。我认为专业版升级的价格(450₺)并不合理,我想知道是否可以使用注册表编辑器更改以下设置。
阻止使用与以下设备安装程序类匹配的驱动程序安装设备:
- 4d36e96b-E325-11CE-BFC1-08402BE10318 – 这个控制USB键盘的自动安装。
- 4D36E972-E325-11CE-BFC1-08012BE10318 – 这个对应于 NIC(网络接口控制器)
- e0cbf06c-cd8b-4647-bb8a-263b45f0f974 – 这个用于蓝牙。
允许管理员覆盖设备安装限制策略
我找不到这些设置这里。
如果无法通过注册表编辑器实现此目的,您能建议我其他解决方案吗?(“完全不使用 USB 端口”不是一个选项。)
答案1
本地组策略编辑器在 Windows 8 中不可用
我使用以下步骤gpedit.msc在 Windows 7 64 位 Home Premium 上成功安装。
它显然也适用于 Windows 8 和 Windows 8.1。
更新:据一些读者称,该工具在 Windows 8 和 Windows 8.1 中也能正常运行。
今天我们将分享一个简单的安装程序,它在 Windows 中安装所需的系统文件,以便您可以在所有 Windows 7 版本中享受组策略编辑器。
首先使用以下链接下载安装文件:
您会在上述页面的右侧找到下载链接。
下载 ZIP 文件后,使用 WinRAR 或 7-Zip 将其解压。
运行解压的 setup.exe 文件。
它将安装文件,您将能够通过运行或开始菜单搜索框访问 gpedit.msc 命令。
笔记:
- 适用于 Windows 7 64 位 (x64) 用户!您还需要转到“C:\Windows”文件夹中的“SysWOW64”文件夹,从中复制“GroupPolicy”、“GroupPolicyUsers”文件夹和 gpedit.msc 文件,然后将其粘贴到“C:\Windows\System32”文件夹中。
如果您在运行 gpedit.msc 时收到“MMC 无法创建管理单元”错误消息,请按照以下步骤解决问题。基本上,当您在 Windows 中的用户名包含多个单词时,就会发生这种情况。
运行安装程序并将其保留在最后一步(不要单击“完成”按钮)。
现在转到
C:\Windows\Temp\gpedit\文件夹。如果您运行的是 32 位 (x86) 版本的 Windows 7,请右键单击 x86.bat 文件并选择“打开方式 -> 记事本”选项。如果您运行的是 64 位 (x64) 版本的 Windows 7,请右键单击 x64.bat 文件并选择“打开方式 -> 记事本”选项。
您将在文件中发现总共 6 行包含以下字符串:
%用户名%:f
编辑这些行并替换
%username%:f为"%username%":f例如:
Original: `icacls %WinDir%\SysWOW64\gpedit.dll /grant:r %username%:f` New: `icacls %WinDir%\SysWOW64\gpedit.dll /grant:r "%username%":f`
保存并运行文件(右键单击->以管理员身份运行)。
就是这样。您将拥有可以正常工作的 gpedit.msc。
来源如何在 Windows 7 家庭高级版、家庭基础版和入门版中启用“组策略编辑器”(gpedit.msc)?
您能提供 x64.bat 文件的内容吗?
@echo off
echo x64
takeown /f %WinDir%\SysWOW64\gpedit.dll
icacls %WinDir%\SysWOW64\gpedit.dll /grant:r %username%:f
takeown /f %WinDir%\SysWOW64\fde.dll
icacls %WinDir%\SysWOW64\fde.dll /grant:r %username%:f
takeown /f %WinDir%\SysWOW64\gptext.dll
icacls %WinDir%\SysWOW64\gptext.dll /grant:r %username%:f
echo.
echo.
takeown /f %WinDir%\SysWOW64\appmgr.dll
icacls %WinDir%\SysWOW64\appmgr.dll /grant:r %username%:f
takeown /f %WinDir%\SysWOW64\fdeploy.dll
icacls %WinDir%\SysWOW64\fdeploy.dll /grant:r %username%:f
IF NOT EXIST %WinDir%\SysWOW64\GPBAK\NUL MKDIR %WinDir%\SysWOW64\GPBAK
takeown /f %WinDir%\SysWOW64\GPBAK\*
icacls %WinDir%\SysWOW64\GPBAK\* /grant:r %username%:f
IF EXIST %WinDir%\SysWOW64\gpedit.dll copy %WinDir%\SysWOW64\gpedit.dll %WinDir%\SysWOW64\GPBAK\gpedit.dll
IF EXIST %WinDir%\SysWOW64\fde.dll copy %WinDir%\SysWOW64\fde.dll %WinDir%\SysWOW64\GPBAK\fde.dll
IF EXIST %WinDir%\SysWOW64\gptext.dll copy %WinDir%\SysWOW64\gptext.dll %WinDir%\SysWOW64\GPBAK\gptext.dll
IF EXIST %WinDir%\SysWOW64\appmgr.dll copy %WinDir%\SysWOW64\appmgr.dll %WinDir%\SysWOW64\GPBAK\appmgr.dll
IF EXIST %WinDir%\SysWOW64\fdeploy.dll copy %WinDir%\SysWOW64\fdeploy.dll %WinDir%\SysWOW64\GPBAK\fdeploy.dll
IF EXIST %WinDir%\SysWOW64\gpedit.msc copy %WinDir%\SysWOW64\gpedit.msc %WinDir%\SysWOW64\GPBAK\gpedit.msc
copy gpedit.dll %WinDir%\SysWOW64\gpedit.dll
copy fde.dll %WinDir%\SysWOW64\fde.dll
copy gptext.dll %WinDir%\SysWOW64\gptext.dll
copy appmgr.dll %WinDir%\SysWOW64\appmgr.dll
copy fdeploy.dll %WinDir%\SysWOW64\fdeploy.dll
copy gpedit.msc %WinDir%\SysWOW64\gpedit.msc
IF NOT EXIST %WinDir%\SysWOW64\GroupPolicy\NUL MKDIR %WinDir%\SysWOW64\GroupPolicy
IF NOT EXIST %WinDir%\SysWOW64\GroupPolicy\adm\NUL MKDIR %WinDir%\SysWOW64\GroupPolicy\adm
copy system.adm %WinDir%\SysWOW64\GroupPolicy\Adm\system.adm
copy inetres.adm %WinDir%\SysWOW64\GroupPolicy\Adm\inetres.adm
copy conf.adm %WinDir%\SysWOW64\GroupPolicy\Adm\conf.adm
copy wmplayer.adm %WinDir%\SysWOW64\GroupPolicy\Adm\wmplayer.adm
copy wuau.adm %WinDir%\SysWOW64\GroupPolicy\Adm\wuau.adm
regsvr32 /s %WinDir%\SysWOW64\gpedit.dll
regsvr32 /s %WinDir%\SysWOW64\fde.dll
regsvr32 /s %WinDir%\SysWOW64\gptext.dll
regsvr32 /s %WinDir%\SysWOW64\appmgr.dll
regsvr32 /s %WinDir%\SysWOW64\fdeploy.dll