Windows XP 网络的可移动媒体阻止策略

我还没有找到一种适用于所有域计算机的万能策略。你肯定得考虑不同的方法（也许你甚至必须亲自尝试其中的一些），看看什么最适合你的用户（和你）。微软建议注册表修改但没有提到使用更有效的方法来实现这一点，例如政府采购组织和/或启动/登录脚本。

本篇博文由 Hannes Schmidt 撰写更详细地介绍了一种使用 GPO 和 ADM 模板（由他提供）来限制 USB 存储设备使用的自动化方法。该方法旨在限制即插即用 (PNP) 进程的运行USB存储设备（访问 USBSTOR.INF 和 USBSTORE.PNF）。我喜欢这种方法的原因是它仍然提供‘允许’用户可以使用 USB 存储设备（例如管理员和特殊原因组），他们只需遵循几个额外的步骤。

如何操作！

1. 在 Active Directory 用户和计算机中，打开现有 GPO 或创建一个新的 GPO 并打开它。使用该 GPO 的安全设置来指定它影响哪些计算机。
2. 在该 GPO 中，转到计算机配置 - Windows 设置 - 安全设置 - 文件系统并创建一个新条目（右键单击文件系统并选择添加文件）。指定 USBSTOR.INF 的位置（通常是 SystemRoot%\Inf\USBSTOR.INF）
3. 更改新条目的安全设置。您在此处指定的安全设置将在应用 GPO 的每台计算机的 USBSTOR.INF 上强制执行。此过程不是附加的，这意味着 USBSTOR.INF 的先前安全设置将被 GPO 中指定的设置覆盖。因此，建议向 SYSTEM 和本地管理员授予完全控制权。但与 USBSTOR.INF 的默认安全设置不同，您不应向所有人授予任何权限。您无需明确拒绝访问 - 只需省略“所有人”的条目即可。或者，您可以向某个组授予读取访问权限。该组的成员将能够使用 USB 存储。
4. 对USBSTOR.PNF重复上述两个步骤。
5. 下载USB存储设备管理软件。
6. 返回 GPO，右键单击计算机配置下的管理模板，然后选择添加/删除模板。单击添加并浏览到 USBSTOR.ADM 的位置。关闭对话框。
7. 现在，管理模板中应该有一个名为“服务和驱动程序”的附加条目。单击它。如果它是空的，请从菜单中选择“查看”，然后取消选中“仅显示策略”。单击管理模板中的“服务和驱动程序”。现在应该显示 USB 存储策略。双击它，选择“已启用”，然后从“启动类型”下拉列表中选择“已禁用”。同样，必须启用策略，而启动类型必须为“禁用”。
8. 关闭对话框和 GPO，然后启动/重新启动其中一个工作站。确保没有 USB 存储设备连接到该计算机。以管理员权限登录并检查 USBSTOR.INF 和 USBSTOR.PNF 的权限。检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start 的值。它应该是 4。如果 UsbStor 键根本不存在，也是可以的。
9. 在同一个工作站上，注销并以无权访问 USB 存储的用户身份重新登录。连接 USB 记忆棒或类似设备。不会发生任何事情。移除记忆棒。
10. 以有权访问 USB 存储的用户身份登录，并在命令 shell 中或在“开始 - 运行”中执行 net start usbstor，然后再连接记忆棒。记忆棒应初始化并映射到驱动器号。如果 USBSTOR 无法启动，可能是因为这是第一次将记忆棒插入工作站，在这种情况下 USBSTOR 尚未安装。尽管如此，记忆棒应该已初始化并正确映射，但您需要重新启动才能重新应用管理模板，以便再次禁用 USBSTOR。或者，您可以通过下载并双击手动禁用它USB存储设备注册表以及执行 net stop usbstor。
11. 指导有 USB 存储访问权限的用户，他们需要执行 net start usbstor 才能连接 USB 存储设备。

通过阅读下面的评论，你会发现很多故障排除技巧Hanne 的文章。

http://support.microsoft.com/kb/823732

如果您无法使其工作，请尝试在 BIOS 中禁用 USB 控制器！

确保鼠标和键盘使用的是 ps2 类型的连接器。

还有物理预防 http://www.lindy.co.uk/usb-port-blocker-pack-of-4-colour-code-blue/40452.html