Windows Vista 及以上版本具有组策略设置来阻止可移动媒体,例如 USB 闪存驱动器和 USB 手机。
然而,Windows XP 缺少这样的设置(或者我找不到它),所以我需要一种替代策略来为所有非管理员用户帐户会话实施网络范围的可移动媒体阻止。
是否有我可以使用的独立软件,或者可以自动为新用户启用的注册表设置?(我们的用户帐户通过 Windows Server 2008 位于域内,任何用户都可以登录任何 PC)
答案1
我还没有找到一种适用于所有域计算机的万能策略。你肯定得考虑不同的方法(也许你甚至必须亲自尝试其中的一些),看看什么最适合你的用户(和你)。微软建议注册表修改但没有提到使用更有效的方法来实现这一点,例如政府采购组织和/或启动/登录脚本。
本篇博文由 Hannes Schmidt 撰写更详细地介绍了一种使用 GPO 和 ADM 模板(由他提供)来限制 USB 存储设备使用的自动化方法。该方法旨在限制即插即用 (PNP) 进程的运行USB存储设备(访问 USBSTOR.INF 和 USBSTORE.PNF)。我喜欢这种方法的原因是它仍然提供‘允许’用户可以使用 USB 存储设备(例如管理员和特殊原因组),他们只需遵循几个额外的步骤。
如何操作!
- 在 Active Directory 用户和计算机中,打开现有 GPO 或创建一个新的 GPO 并打开它。使用该 GPO 的安全设置来指定它影响哪些计算机。
- 在该 GPO 中,转到计算机配置 - Windows 设置 - 安全设置 - 文件系统并创建一个新条目(右键单击文件系统并选择添加文件)。指定 USBSTOR.INF 的位置(通常是 SystemRoot%\Inf\USBSTOR.INF)
- 更改新条目的安全设置。您在此处指定的安全设置将在应用 GPO 的每台计算机的 USBSTOR.INF 上强制执行。此过程不是附加的,这意味着 USBSTOR.INF 的先前安全设置将被 GPO 中指定的设置覆盖。因此,建议向 SYSTEM 和本地管理员授予完全控制权。但与 USBSTOR.INF 的默认安全设置不同,您不应向所有人授予任何权限。您无需明确拒绝访问 - 只需省略“所有人”的条目即可。或者,您可以向某个组授予读取访问权限。该组的成员将能够使用 USB 存储。
- 对USBSTOR.PNF重复上述两个步骤。
- 下载USB存储设备管理软件。
- 返回 GPO,右键单击计算机配置下的管理模板,然后选择添加/删除模板。单击添加并浏览到 USBSTOR.ADM 的位置。关闭对话框。
- 现在,管理模板中应该有一个名为“服务和驱动程序”的附加条目。单击它。如果它是空的,请从菜单中选择“查看”,然后取消选中“仅显示策略”。单击管理模板中的“服务和驱动程序”。现在应该显示 USB 存储策略。双击它,选择“已启用”,然后从“启动类型”下拉列表中选择“已禁用”。同样,必须启用策略,而启动类型必须为“禁用”。
- 关闭对话框和 GPO,然后启动/重新启动其中一个工作站。确保没有 USB 存储设备连接到该计算机。以管理员权限登录并检查 USBSTOR.INF 和 USBSTOR.PNF 的权限。检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start 的值。它应该是 4。如果 UsbStor 键根本不存在,也是可以的。
- 在同一个工作站上,注销并以无权访问 USB 存储的用户身份重新登录。连接 USB 记忆棒或类似设备。不会发生任何事情。移除记忆棒。
- 以有权访问 USB 存储的用户身份登录,并在命令 shell 中或在“开始 - 运行”中执行 net start usbstor,然后再连接记忆棒。记忆棒应初始化并映射到驱动器号。如果 USBSTOR 无法启动,可能是因为这是第一次将记忆棒插入工作站,在这种情况下 USBSTOR 尚未安装。尽管如此,记忆棒应该已初始化并正确映射,但您需要重新启动才能重新应用管理模板,以便再次禁用 USBSTOR。或者,您可以通过下载并双击手动禁用它USB存储设备注册表以及执行 net stop usbstor。
- 指导有 USB 存储访问权限的用户,他们需要执行 net start usbstor 才能连接 USB 存储设备。
通过阅读下面的评论,你会发现很多故障排除技巧Hanne 的文章。
答案2
http://support.microsoft.com/kb/823732
如果您无法使其工作,请尝试在 BIOS 中禁用 USB 控制器!
确保鼠标和键盘使用的是 ps2 类型的连接器。
还有物理预防 http://www.lindy.co.uk/usb-port-blocker-pack-of-4-colour-code-blue/40452.html