禁用USB存储设备.doc

利用组策略让系统可以使用USB接口但不能使用闪存。 笔者为单位的系统管理员，管理50台左右的电脑，因为电脑多而人手不够，为方便管理，将电脑的软驱、光驱全部拆除，前置USB口的连接线也拆掉，并在BIOS里禁用了USB端口，设置了密码，使USB端口不能使用，虽说在一定程度上控制了科室工作人员使用闪存，但也因为USB口的禁用，而导致不能使用USB鼠标、打印机等设备。最近有科室要求使用激光打印机及手写板，激光打印机勉强找到了能连接的COM口，而手写板设备只能使用USB接口。我想在禁止使用USB存储器的情况下又不影响USB设备（打印机、手写板）的使用，这该怎么办呢？ 一、常用的方法不可行我首先尝试了以下两个很多人常用的方法，结论是不可行。1使用USB控制软件。下载了几个USB控制软件，如myusbonly、USB控制大师等，试用效果却不尽如人意。Myusbonly的控制能力不错，但是却有个缺点，那就是当闪存插上后会出现闪存盘符，大约要延迟几秒的时间盘符才会消失。如果有人在这几秒的时间内拷贝文件或是使用了带病毒的闪存，那么后果也会很严重。2隐藏磁盘分区。若能隐藏并禁止访问磁盘分区，那么也可以达到我想要的效果。单位采用的是域管理，客户机使用权限较低的用户登录到域，大部分的操作都受到限制。客户机电脑硬盘共3个分区，C盘跟D盘禁止访问，只有E盘可供操作人员自由使用，此外还有一个网络驱动器P盘，存放需要访问的公共文件。可是在组策略中隐藏磁盘的七个选项都不符合我的要求，达不到只能访问E盘跟P盘的效果（图1）。 二、修改组策略文件隐藏驱动器后来，偶然搜寻到了微软网站的页面“使用组策略对象隐藏指定驱动器”（页面链接： /kb/231289/zh-cn），文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果，于是立即参照操作。达到目的，方法如下。 1.确定数字与盘符的关系因为我需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表： 接下来将11111111110111111111101111字符串转换为十进制数字，这个用Windows自带的计算器就可以办到，转换后的十进制数字为：67076079。 2.修改system.adm文件搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079” ，如图2。Windows 中有了组策略对象后，就有了下面这个让您隐藏指定的驱动器的选项：隐藏“我的电脑”中的这些指定的驱动器。但是，可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象 (GPO) 的 System.adm 文件来添加其他限制。七个默认选项是： 仅限制驱动器 A、B、C 和 D 仅限制驱动器 A、B 和 C 仅限制驱动器 A 和 B 限制所有驱动器 仅限制驱动器 C 只限制 D 驱动器 不限制驱动器Microsoft 建议您不要更改 System.adm 文件，而要创建一个新的 .adm 文件并将此 .adm 文件导入到 GPO 中。原因是：如果您要对 system.adm 文件应用更改，则当 Microsoft 在 Service Pack 中发布新版本的 system.adm 文件时，这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”（实现基于注册表的组策略）这一白皮书介绍了如何编写自定义 .ADM 文件。要查看此白皮书，请访问下面的 Microsoft 网站： /download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppaper.doc (/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppaper.doc) 更多信息 默认域策略的 System.adm 文件的默认位置是： %SystemRoot%SysvolSysvolYourDomainNamePolicies.默认域策略的 System.adm 文件的默认位置是： %SystemRoot%SysvolSysvolYourDomainNamePolicies31B2F340-016D-11D2-945F-00C04FB984F9AdmSystem.adm 这些文件夹的内容会通过文件复制服务 (FRS) 复制到整个域中。注意，Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略，请执行下面的操作步骤： 1. 启动 Microsoft 管理控制台。在“控制台”菜单上，单击添加/删除管理单元。 2. 为默认域策略添加组策略管理单元。为此，在屏幕提示您选择组策略对象 (GPO) 时，请单击浏览。默认 GPO 是本地计算机。您也可以为其他的域分区（具体来说就是组织单位）添加 GPO。 3. 打开下面的区域：用户配置、管理模板、Windows 组件和 Windows 资源管理器。 4. 单击“隐藏我的电脑中的这些指定的驱动器”。 5. 单击以选中“隐藏我的电脑中的这些指定的驱动器”复选框。 6. 在下拉框中，单击相应的选项。这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外，这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器（包括软盘驱动器），防止它们被滥用。它也可以用于指引用户将他们的工作保存在某些驱动器上。 要使用这项策略，请在下拉框中选择一个驱动器或组合形式的驱动器。要显示所有驱动器（一个也不隐藏），请禁用这项策略或单击“不限制驱动器”选项。 这项策略不能防止用户使用其他程序访问本地或网络驱动器，也不能防止他们使用磁盘管理管理单元查看并更改驱动器特性。 您并非只能使用默认值。通过编辑 System.adm 文件，您可以添加自己的自定义值。下面是 System.adm 中可修改的部分： POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLIST NAME !ABOnly VALUE NUMERIC 3 NAME !COnly VALUE NUMERIC 4 NAME !DOnly VALUE NUMERIC 8 NAME !ABConly VALUE NUMERIC 7 NAME !ABCDOnly VALUE NUMERIC 15 NAME !ALLDrives VALUE NUMERIC 67108863 ;low 26 bits on (1 bit per drive) NAME !RestNoDrives VALUE NUMERIC 0 (Default) END ITEMLIST END PART END POLICYstringsABCDOnly=Restrict A, B, C and D drives onlyABConly=Restrict A, B and C drives onlyABOnly=Restrict A and B drives onlyALLDrives=Restrict all drivesCOnly=Restrict C drive onlyDOnly=Restrict D drive onlyRestNoDrives=Do not restrict drivesstrings 部分代表下拉框中的实际值的替换值。 这项策略在客户端计算机上只显示指定的驱动器。这项策略所影响的注册表项使用与 26 位二进制字符串（每一位代表一个驱动器号）相对应的十进制数字： 11111111111111111111111111ZYXWVUTSRQPONMLKJIHGFEDCBA此配置对应于十进制数字 67108863，它会隐藏所有的驱动器。如果您要隐藏驱动器 C，将第三低位设置为 1，然后将二进制字符串转换为十进制数字。 没有必要创建一个显示所有驱动器的选项，因为清除复选框就完全删除了“NoDrives”项，所有驱动器都会自动显示。 如果您要配置这项策略以显示一个不同的驱动器组合，请创建相应的二进制字符串，将它转换成十进制数字，并向 ITEMLIST 部分添加一个带有相应的 strings 项的新项。例如，要隐藏驱动器 L、M、N 和 O，请创建下面的字符串 00000000000111100000000000ZYXWVUTSRQPONMLKJIHGFEDCBA并将其转换成十进制。这个二进制字符串可转换成十进制数字 30720。将下面的行添加到 System.adm 文件的 strings 部分： LMNO_Only=Restrict L, M, N and O drives only将下面的项添加到上面的 ITEMLIST 部分并保存 System.adm 文件。 NAME !LMNO_Only VALUE NUMERIC 30720这样就创建了下拉框的第八项：只隐藏驱动器 L、M、N 和 O。使用此方法可使下拉框包含更多的值。System.adm 文件的已修改的部分显示如下： POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLIST NAME !ABOnly VALUE NUMERIC 3 NAME !COnly VALUE NUMERIC 4 NAME !DOnly VALUE NUMERIC 8 NAME !ABConly VALUE NUMERIC 7 NAME !ABCDOnly VALUE NUMERIC 15 NAME !ALLDrives VALUE NUMERIC 67108863 ;low 26 bits on (1 bit per drive) NAME !RestNoDrives VALUE NUMERIC 0 (Default) NAME !LMNO_Only VALUE NUMERIC 30720 END ITEMLIST END PART END POLICYstringsABCDOnly=Restrict A, B, C and D drives onlyABConly=Restrict A, B and C drives onlyABOnly=Restrict A and B drives onlyALLDrives=Restrict all drivesCOnly=Restrict C drive onlyDOnly=Restrict D drive onlyRestNoDrives=Do not restrict drivesLMNO_Only=Restrict L, M, N and O drives only此 strings 部分代表下拉框中的实际值的替换值。 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 230263 (/kb/230263/ ) 如何使用 Microsoft 管理控制台创建自定义的 MMC 管理单元工具 然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly=除E、P外其他驱动器”，如图3。 修改后进行保存并覆盖掉原来的文件。 3. 编辑域用户的组策略 重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”“管理模板”“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。 选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。成功地达到了禁用USB储存器而不影响USB设备的使用。最后，为保险起见，在组策略中禁用了自动播放。第一步：我们我们在域控制器上点击开始运行输入“GPMC.MSC”点击确定启动组策略管理。第二步：打开组策略管理，右键点击点击“创建并链接（GPO）” 输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。下载 (48.62 KB)2010-3-24 14:37下载 (47.98 KB)2010-3-24 14:37第三步：右键点击“禁止USB”策略点击“编辑”右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。下载 (41.27 KB)2010-3-24 14:37第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:windowsinf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。下载 (57.66 KB)2010-3-24 14:37下载 (65.13 KB)2010-3-24 14:37添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。下载 (59.62 KB)2010-3-24 14:37第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“自定义策略设置”。下载 (26.64 KB)2010-3-24 14:58第六步：右键点击“管理模板”“查看”“筛选”。下载 (50.15 KB)2010-3-24 14:37在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾下载 (64.9 KB)2010-3-24 14:37下载 (64.95 KB)2010-3-24 14:37再点击“确定”按钮返回“组策略编辑器”画面。第七步：点击“计算机配置”“管理模板”点击“自定义策略设置”点击“限制驱动器”下载 (35.8 KB)2010-3-24 14:37第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠等设备），右键点击“禁用 USB”点击“属性”，弹出“禁用 USB” 属性对话框。下载 (58.24 KB)2010-3-24 14:37我们首先点击“已启用”按钮在“禁用 USB 端口”中选择“启用”来启用该策略。下载 (31.9 KB)2010-3-24 14:45下载 (33.08 KB)2010-3-24 14:51最后用“GPupdate /force”来强行在客户端和DC上刷新策略，禁用usb模板（英文显示）.rar (685 Bytes) 下载次数:42010-3-24 14:51禁用usb模板（中文显示）.rar (713 Bytes) 6月19日用组策略功能禁用U盘和光驱的一种方法(原创) 关于封杀usb接口的文章在网上挺多的，大多数是通过cmos的修改来屏蔽usb接口，或者是将window系统中的i386文件夹下的设备压缩包彻底删除，再者就是通过停用usb总线控制器。这些方法有的在达到目的的同时，也阻碍了其他设备的应用，效果不是很友好。这让我想到了是否应用组策略来实现封杀的目的，因为在原来我曾利用它封杀过某个盘区的使用，当然不是因为私人的物件也是为了产品的保密。思路很好，那实践一下看看效果如何吧? 首先，在“开始运行.”中输入”gpedit.msc”后，便打开了如下图1所示: 图 1 我们就是利用“防止从我的电脑”访问驱动器“来设置禁止usb接口。双击打开启用后，发现并不像我们想象的那样驱动盘符都存在，如图2所示: 图 2而且存在这么一个问题，每个电脑的分区数不同，分配给优盘的区号也不同，怎样将其封杀呢? 经过一段时间的摸索，我找到了控制组策略的模板文件，它就是$Systemroot$System32GroupPolicyAdmsystem.adm，用笔记本打开后，截图如图3: 图 3 呵呵，发现了吧?在“NAME!Only VALUENUMERIC ”语句，前面的好似一个定义，跟我们在图2看到的效果相似，而且有这么句“low 26 bits on(1bit per drive)”，意思说“26位每一个设备占1位”。每个分区是按着1、2、4、8、16、32、等逐步递增，于是经过试验，果然如此，只要将除了硬盘分区保留外，我们将所有的字母写上，同时算出数值。 即将: NAME! EFGHIONLY VALUE NUMERIC 496 (注:我这里只是举了5个盘符，为什么?后面说明)将上面的语句在“!NoDrives_Help”和“!NoViewOnDrive”两个地方上填写。并且在图4所示的位置，也要加入一行: 图 4 EFGHIONLY=“限制驱动器E、F、G、H、I”。 否则，在你重新打开gpedit时会出错误信息。当所有工作做完后，保存该文档，打开组策略，看看效果: 图5所示: 图 5 呵呵，是吧?在下拉菜单中出现了我们设置的驱动器号了。选中它后点击确定。拿优盘试一下，果然，出现了图6的警告提示: 图 6 此时，也许你会问通过这样一改，注册表发生了什么变化吗?运行“regedit”，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下的“NoViewOnDrive”键值赋予了十六进制“1f0”，换算成十进制是多少?呵呵，不要告诉我，你不会么! (注:由此，我们得到了用注册表来封闭优盘的方法) 虽然，优盘被封住了，但是通过计算机管理中的磁盘管理，更改优盘的盘符，找个26个字母的后某一位。结果优盘有复活了。这就是为什么前面提到要多算几个盘符的数值的原因。 到这里，其实封闭工作也做的的差不多了。假设还不放心，如果用户打开组策略，更改设置怎么办?那我们通过运行注册表，打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC8FC0B734-A0E1-11D1-A7D3-0000F87571E3下的“Restrict_Run”的键值，改为“1”。当有的用户想运行组策略时，就出现了如下图7提示: 图 7 嗯，这下，不通过注册表，administrator也休想打开了。 最后，关于win98上面的封杀办法，我们可以通过控制驱动来实现，相对来说简单。好了，感兴趣的朋友，赶快试验一下吧! - 下面是禁用和隐藏U盘光驱的具体代码，只要粘贴在写字板，然后另存为.adm文件，在组策略里面添加，就可以直接用了。 CLASS USER CATEGORY !RestrictHiddenDrivers CATEGORY !WindowsExplorer#if version = 4EXPLAIN !WindowsExplorer_Help#endif KEYNAME SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer POLICY !NoDrives#if version = 4SUPPORTED !SUPPORTED_Win2k#endif EXPLAIN !NoDrives_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABOnly VALUE NUMERIC3NAME !COnly VALUE NUMERIC4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC15 NAME !DEFGHIONLY VALUE NUMERIC 504NAME !ALLDrives VALUE NUMERIC67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC0END ITEMLISTEND PARTEND POLICY POLICY !NoViewOnDrive#if version = 4SUPPORTED !SUPPORTED_Win2k#endif EXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnly VALUE NUMERIC3NAME !COnly VALUE NUMERIC4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC15 NAME !DEFGHIONLY VALUE NUMERIC 504NAME !ALLDrives VALUE NUMERIC67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC0END ITEMLISTEND PARTEND POLICY END CATEGORY ; Windows Explorer END CATEGORY ; Test For Drivers stringsRestrictHiddenDrivers=Restrict or Hidden Drivers WindowsExplorer=Windows Explorer WindowsExplorer_Help=Manages configuration of Windows Update. NoDrives=Hide these specified drives in My Computer SUPPORTED_Win2k=At least Microsoft Windows 2000 NoDrives_Help=Removes the icons representing selected hard drives from My Computer and Windows Explorer. Also, the drive letters representing the selected drives do not appear in the standard Open dialog box.nnTo use this setting, select a drive or combination of drives in the drop-down list. To display all drives, disable this setting or select the Do not restrict drives option in the drop-down list.nnNote: This setting removes the drive icons. Users can still gain access to drive contents by using other methods, such as by typing the path to a directory on the drive in the Map Network Drive dialog box, in the Run dialog box, or in a command window.nnAlso, this setting does not prevent users from using programs to access these drives or their contents. And, it does not prevent users from using the Disk Management snap-in to view and change drive characteristics.nnAlso, see the Prevent access to drives from My Computer setting.nnNote: It is a requirement for third-party applications with Windows 2000 or later certification to adhere to this setting. ABOnly=Restrict A and B drives only COnly=Restrict C drive only DOnly=Restrict D drive only ABConly=Restrict A, B and C drives only ABCDOnly=Restrict A, B, C and D drives only DEFGHIONLY=“Restrict D、E、F、G、H、I” ALLDrives=Restrict all drivesRestNoDrives=Do not restrict driv