我们公司目前正在推出授权加密 USB 棒。我们现在已经将只有公司批准的 USB 设备和可移动媒体才允许连接到计算机的 IT 政策草拟到此,但我想知道是否有任何方法可以将 USB 驱动器的使用限制为仅允许使用。理想情况下,这将涉及组策略设置,而不是第三方软件(如果可能)。
答案1
设备管理和安装分步指南:使用组策略控制设备驱动程序的安装和使用
假设您的客户端都是 Vista 或更高版本,您可以使用本指南将贵公司正在部署的一组 USB 设备列入“白名单”,并阻止其余设备。摘自本文:
本分步指南介绍如何控制您管理的计算机上设备的安装和使用。在 Windows Server® 2008 和 Windows Vista® 中,您可以将计算机策略应用于:
- 阻止用户安装任何设备。
- 仅允许用户安装“批准”列表中的设备。如果设备不在列表中,则用户无法安装它。
- 阻止用户安装“禁止”列表中的设备。如果设备不在列表中,则用户可以安装它。
- 拒绝用户对可移动设备或使用可移动介质的设备(例如 CD 和 DVD 刻录机、软盘驱动器、外部硬盘驱动器以及媒体播放器、智能手机或 Pocket PC 设备等便携式设备)进行读取或写入访问。
答案2
在 中Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives,您将找到一些设置,它们使您能够拒绝对未使用 BitLocker 加密的驱动器进行写访问,以及拒绝对不属于您的组织的加密驱动器进行写访问。
答案3
我不知道有任何组策略允许这样做,但是 McAfee 的设备控制(以及其他供应商的几种安全产品)提供了此功能。
答案4
我的任务是在我的组织中发现同样的问题。我从 Win7 和 2008 开始设置组策略,后来又设置了阻止用户组访问 USB 的策略。
尽管我成功阻止了 USB 拇指驱动器和 Android 设备,但我仍能够将 Apple iPHone/iPod 安装为存储设备。我们还遇到了一些用户笔记本电脑扩展坞的 NIC 无法正常工作的问题。我已删除此策略,并可能为此寻找第三方应用程序。听起来您还想将 IT 部门批准的选定设备列入白名单,在这种情况下,您可能需要寻找第三方解决方案,而不是单独使用 GPO。