我是系统管理新手,所以请多多包涵。我有一台运行 Windows 10 的联想笔记本电脑。机器上有高度敏感的信息(媒体文件),我需要另一个用户来编辑。但是,我需要:-
a. 禁用所有外部存储(USB、DVD 等),但仍允许用户使用 USB 鼠标和其他输入设备。
b. 拒绝所有网络访问(LAN 和 Internet)
c. 禁止用户干预这些安全设置。
如何在 Windows 10 上实现上述操作?
我是否需要采取其他安全措施,例如加密?由于我的 Windows 10 实施配置,Bitlocker 不是一种选择。加密硬盘(例如使用 VeraCrypt)是否可以确保我的数据安全,即使它以某种方式被盗?
我是否应该更改任何 BOOT/BIOS 设置以确保对特定用户具有必要的“气隙”效果?
编辑:我无法使用此网站上提供的说明安装 gpedit.mscWindows Starter Edition、Home 和 Home Premium 不包含 gpedit,如何安装它?
那么,编辑注册表是我的选择吗?
答案1
我们总是很乐意提供帮助,但您实际上有几个有些相关的问题。提出不同的问题可能比较明智,而不是提出范围太广的问题。
在此期间,我绝对可以帮你解决其中一个问题:这是Windows 10 专业版(或企业)计算机?如果是,您可以使用本地组策略编辑器禁用外部存储介质。搜索gpedit.msc具有提升权限的计算机并导航到以下内容:
Computer Configuration\Administrative Templates\System\Removable Storage Access
您将在其中看到几个可以启用的设置,这些设置与禁用可移动存储访问有关。如果您想为所有设置都实现此功能,请启用以下内容:
All Removable Storage classes: Deny all access
启用后,USB 和 DVD 外部存储访问将被禁用,但用户仍可以使用 USB 鼠标和键盘。如果他们不是管理员,他们将无法更改这些设置。
如果是Windows 10 家庭版,您应该可以通过修改注册表来实现相同的结果:
搜索注册表编辑器使用提升的权限并导航至以下内容:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices注意:如果可移动存储设备不在左侧窗格中,则右键单击视窗并点击新的和钥匙。 类型可移动存储设备然后按Enter。
在右侧窗格中可移动存储设备,右键单击空白区域并单击新的和DWORD(32 位)值并输入全部拒绝然后按Enter。
右击全部拒绝并点击调整。
类型1并点击好的按钮。
关闭注册表编辑器因此。
(来源)
