对于 Windows 7/10,有没有办法阻止对 USB 端口的访问,但使其能够由管理员根据具体情况以 UAC 样式“授权”?
我知道我可以通过 GPO 来阻止 USB 端口,但是如果有人真的有正当需求需要使用 USB 端口,那么解决这个问题就会很麻烦。
答案1
为此,我创建了禁用组、读取启用组和写入启用组。使用 GPO,您可以对它们进行排序,以便一个接一个地进行处理。因此,每个人都被塞进禁用组中,禁用组首先运行,然后读取和写入组第二个运行,并反转禁用 GPO 中实施的任何策略。您还可以“强制执行”读取和写入 GPO,这样禁用组就无法覆盖它(如果适用)。
然后你只要让他们提交一张票或其他什么的,然后把他们放到组中,对他们执行 gpupdate \force,然后让他们做 w/e。
您也可以前往那里并修改本地组策略以允许它。
或者,您可以使用第三方应用程序,或者自行将数据复制到记忆棒上。
答案2
如果您的环境中有 Symantec Endpoint Protection,除了使用 GPO 之外,SEP 也可以在本地执行。SEP 可以在执行可移动媒体策略的同时维护主机的完整性。同样重要的是,您可以为离网的机器设置更严格的策略。您可以使用 AD 属性来分配策略,这将与您允许管理员访问的意图相一致。您还可以对某些类型的闪存驱动器(如安全加密的闪存驱动器)使用设置限额。
并不是想强迫您接受,但除了 Desthro 建议的 GPO 方法之外,这是您可以使用的一种产品选项。