相关文章

公司电脑如何用组策略禁用U盘、怎样用注册表禁用U盘?

来源网址:http://www.hdthrq.com/

    在公司局域网中,我们常常处于保护电脑文件安全和商业机密的需要而禁止使用、屏蔽所有带有USB存储功能的工具,防止员工通过U盘、或手机存储卡,甚至蓝牙等设备来复制电脑文件,窃取公司商业机密的行为。但是,在禁用上述设备的同时还不能影响非USB存储设备的使用,毕竟现在USB、、、网银U盾也都用到USB接口。那么如何实现精细控制USB接口使用、监控USB端口的使用呢?其实,这个有两种比较有效的方法:一种是通过操作系统的注册表禁用U盘、组策略禁用U盘;一种是通过专业的USB端口管理软件来禁止U盘使用、屏蔽移动和禁用手机存储卡的使用。

    1.用注册表禁止U盘使用、组策略禁止U盘的方法

    我们要禁用USB,无外乎是不允许电脑在插入USB设备时自动进行安装。Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个就是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。知道了这些,我们就可以动手完成USB的禁用工作了。(我的域控制器为Windows 2003 Server SP1 CN)

    ——打开Active Directory用户和计算机;

    ——选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;

    ——创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;

    ——进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;

    ——右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%infusbstor.inf“,确定;

    ——在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;

    ——在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;

    ——除此之外,重复5、6、7步,对“%systemroot%infusbstor.PNF“进行设置;

    ——关闭组策略编辑器;

    ——使用“gpute /force”,强行刷新策略。

    至此,完成对USB的禁用。但这个方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U盘等设备,那还需要修改注册表来达到目的。需要修改的注册表键值位于: 

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiUsbStor(Windows 2000下,键值在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbhub),展开后,会看到一个start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来加以运行即可。

    2.通过专业的USB端口管理软件来屏蔽U盘使用、禁用USB存储工具

    通过专业的USB接口屏蔽软件来限制U盘使用,是一种更为简单、更有效的方法。因为,虽然通过注册表和组策略可以有效禁用U盘、移动硬盘,但是这就意味着员工可以通过反向修改的方法而重新启用U盘,从而可以轻松绕过网管员的控制。毕竟,很多方法,员工只需要百度一下就可以轻松找到。因此,通过组策略、注册表禁用USB存储工具,只是一个初级的管理USB接口使用的方法,真正完全禁用U盘、屏蔽usb存储工具还是需要依靠专业的USB端口管理软件,如国内较为知名的“大势至USB接口管理软件”(),可以下载试试看。

    由于“大势至USB端口管理软件”可以完全禁用注册表、禁用组策略、禁用设备管理器等,因此可以完全防止员工通过修改这些操作系统的关键位置而重新启用U盘的目的。同时,大势至USB接口控制软件还可以禁止从U盘启动操作系统、禁止从光驱启动操作系统、禁止开机按F8键进入操作系统的安全模式,从而完全防止员工通过各种途径企图重新启用的目的,实现了严密监控U盘使用、屏蔽U盘的目的。如下图所示:

    总之,企业局域网电脑禁用U盘、屏蔽USB存储工具的方法很多。企事业单位应该根据自己单位的具体情况而选择合适的方法,如果企业电脑数量较少,同时员工也不太懂相关的操作系统知识,则可以通过组策略和注册表来实现;反之,如果电脑数量很多,同时又需要防止员工通过修改注册表和组策略重启启用U盘,那么借助于专业的USB端口控制软件就是一个较为有效的选择。