任务目的:

1、要管制USB存储设备,一般用户不能写不能读;部分用户能读不能写入USB存储设备;还有一部分大人们(公司高管)平时不读不写,在需要用的时候要能读能写!

2、无论使用什么方式进行管制,不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。额滴神,这帮兔崽子真会折磨人。

任务范围:集团内800+台电脑

任务时间:2周

接下来,就得找实施方案了!

1、方案一:BIOS里全部关闭USB端口

2、方案二:Client端安装USB管理软件,用软件进行管制,安装一台服务器,监控所有电脑的USB动态

3、方案三:从操作系统注册表下手,批处理执行管理

先说说这三个方案:恕本人愚昧,或许还有很多又好又快捷的方法,但偶当时确实只想到这些,

方案一:最操蛋的方法,端口全关了,什么USB设备都用不了了,就别提这机那机了,PASS掉,

方案二:所有电脑安装Client,工作量大,时间根本不够,再说了,我很介意在用户端安装软件,多一个进程多占用一部分内存,到时候电脑速度慢了又会有人大呼小叫了。仍然PASS,

第三个,其实这也是俺最喜欢用的手段:批处理!哈哈,就它了。

各位观众,看清楚看明白啦,实施过程开始!

1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将”Start”的值改为4(禁止自动启动),默认为3是自动分配盘符

2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。

我用两条批处理指令实现:

copy %Windir%\inf\usbstor.inf%Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul

哦不,准确的说是4行指令!

3、然后,禁止将电脑里的资料拷贝到USB存储设备,意思是把USB存储设备设置只读的,干成残废。

打开注册表:定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1

嘿嘿,有了这一条,你就是能用USB存储设备,也只能单方面读取数据了,也算是半个残废了。

到此,基本上第一个过程基本完成,实现的功能包括:禁止使用USB存储设备,不影响其他USB外设,就算要用,也把USB存储设备干成残废(只读)。

接下来说第二个部分:如何开启?(部分用户需要使用USB存储设备)实际上,逆向操作以上步骤就可以完成开启,但为了表达的更完整一些,我还是把过程写下来

1、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将”Start”的值改为3

2、恢复USB存储设备作用文件,还是4行指令:

copy%Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul
copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul
del %Windir%\usbstor.pnf /q/f >nul
del %Windir%\usbstor.inf /q/f >nul

完成后,用户可使用USB存储设备,但不能往里面写入任何内容!你不信?不信就试试嘛,俗话说的好:实践出真知!

不好意思,扯远了!

这样,关闭也写了,开启也写了,接下来的事情,你知道的。

批处理代码,哈哈!

关闭过程:

@echo off
reg add “HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR” /v Start/t reg_dword /d 4 /f
copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul
@echo on

开启过程:

@echo off
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR” /v Start/t reg_dword /d 3 /f
copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul
copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul
del %Windir%\usbstor.pnf /q/f >nul
del %Windir%\usbstor.inf /q/f >nul
@echo on

将以上代码保存为两个BAT文档,然后放进x:\Windows\system32\目录下,比如DisableUSB.bat和EnableUSB.bat

然后直接在运行里面输入指令:DisableUSB(关闭)EnableUSB(开启)

打完收工!

第 2 页在域服务器里封客户端移动盘的方法

在域服务器里封客户端移动盘的方法

第一步:我们我们在域控制器上点击开始运行输入“GPMC.MSC”点击确定启动组策略管理。

第二步:打开组策略管理,右键点击yx.com点击“创建并链接(GPO)”输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。

第三步:右键点击“禁止USB”策略点击“编辑”右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”(请把附件中的usb.txt文本的扩展名改为adm)组策略模板。(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。)双击“usb.adm” 组策略模板添加“usb.adm”组策略模板。添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“CustomPolicy Settings”。

第六步:右键点击“管理模板”→“查看”→“筛选”。在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾 再点击“确定”按钮返回“组策略编辑器”画面。

第七步:点击“计算机配置”→“管理模板”点击“CustomPolicy Settings”点击“Restrict Drives”

第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“DisableUSB”点击“属性”,弹出“Disable USB” 属性对话框。

我们首先点击“已启用”按钮在“DisableUSB Ports”中选择“Enabled”来启用该策略。

注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate/force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”,否则你做的策略是不会生效的。

此时我们点击“应用”点击“确定”返回到“组策略编辑器”对话框,我们可以看到“DisableUSB”状态已经变为“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。