文章摘要:在公司局域网中,有时候处于网络安全的考虑,需要禁止电脑USB接口使用,尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用,而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法,具体有以下两种方法:方法一:通过组策略禁用usbstor.inf和usbstor.pnf两个usb驱动程序来禁用usb接口使用为了对USB更彻底的控制本次更新将对系统的
在公司局域网中,有时候处于网络安全的考虑,需要禁止电脑USB接口使用,尤其是需要完全禁用u盘、禁止移动硬盘等USB存储设备的使用,而通过AD组策略禁用usb接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法,具体有以下两种方法: 方法一:通过组策略禁用usbstor.inf和usbstor.pnf两个usb驱动程序来禁用usb接口使用
为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动), 注意事项: (1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。 (2) 此策略只能对计算机,不针对用户 本文来自菜鸟技术网
1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;
2、在右边单击鼠标右键选择--添加文件
3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定;
内容来自www.cnwan.com.cn
4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;
5、出现如下对话框,继续单确定;
6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去,如下图
本文来自菜鸟技术网
7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机; 8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限,发现里面所有安全组已被删除。策略应用成功,普通用户无法再使用USB存储设备。
方法二:通过组策略禁用usb.adm驱动、禁止加载USB驱动的方式来禁用USB接口使用
先下载附件里的usb.adm文件
详细操作如下:
1、在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作
为了方便大家阅读重新更新了一下图片.
正确的使用方法是在要设置的驱动器里选择”Disabled”或”Enabled”
例1:禁用软驱;
“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。
例2:启用软驱
“Disabled Floppy”->选择disabled Floppy Drive为“Disabled
组策略模板
方法三:通过专门的电脑USB接口管理软件、电脑U口禁用软件来禁止USB端口使用
如果你觉得通过AD组策略的方式禁用USB端口使用较为复杂,则可以通过专门的电脑USB端口禁用软件来实现,例如有一款“洞察眼USB接口禁用软件”(下载地址:http://www.dongchayan.com/monitorusb.html),只需要点点鼠标就可以完全禁用U盘、禁用移动硬盘和手机内存卡的使用,同时还不影响非USB存储设备(如USB鼠标键盘和加密狗的使用),同时还可以禁止打开注册表、禁止打开组策略、禁止修改组策略、禁止修改开机启动项、禁止通过U盘启动操作系统、禁止光驱启动操作系统等,从而全面保护操作系统的安全,如下图所示:
图:洞察眼USB接口禁用软件屏蔽USB接口使用、禁用USB端口使用
总之,禁用电脑USB接口使用、屏蔽U口使用的方法很多,通过组策略、注册表等都可以实现。但是,上述方法存在着被用户反向修改而重新启用USB端口的风险,而通过专门的电脑USB接口管理软件来禁止U盘、禁止usb端口使用是一项比较有效的方法。
