【摘要】

在我们企业内部进行规范和安全管理的时候,可能经常会有这样的需求:禁止企业内所有电脑的USB接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备,但是对于高管,不能做限制。

首先理解一下需求:USB设备接入,不能拷贝文件,但是可以读取,其他办公设备可正常读取、

接下来就一台探讨一下如何实现这个需求。

【正文】


实现思路及过程

1.限制USB设备,常规方法如下三种:

1)从硬件层面入手:可直接在计算机BIOS中关闭USB设备,耗时且USB设备将不可用,不符合需求,不推荐;

2)从系统技术出发,修改注册表,结合AD组策略,针对普通用户和高管OU,设置不同策略,工作组的计算机,可手动进行配置,省时,可实现需求,推荐方案;

3)第三方解决方案:一般的安全厂家都会有针对移动设备接入的管控软件,使用此方案可能会产生额外费用,IT预算不紧张的情况下,可考虑,作为可选方案。

2.实现过程

根据上一部分内容的讨论,我们选择第2)中方案,从系统技术角度出发,修改注册表,结合组策略来满足此需求。

1)首先,在注册表中需要关闭USB设备的盘符自动分配,找到如***册表项,将Start值更改为4,意思是禁止自动运行(默认是3);

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

域内计算机USB权限统一管理_第1张图片


2)删除USB存储设备的作用文件,默认存放于:系统盘\Windows\inf目录下,如下图,usbstor.inf和usbstor.pnf,这两个文件是USB存储设备的作用文件,为了安全期间,建议先备份,然后在删除,可通过下面4条语句实现:

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul 

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul 

del %Windir%\inf\usbstor.pnf /q/f >nul 

del %Windir%\inf\usbstor.inf /q/f >nul


域内计算机USB权限统一管理_第2张图片



3)接下来,禁止将电脑里的资料拷贝到USB存储设备,使USB存储设备默认成为只读状态,需要通过修改注册表实现,找到路径:

HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control

在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1

可通过如下实现:

reg add "HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\ Control\StorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f 

4)上述的语句可以统一编写成为一个bat文件,在AD中做成开机脚本或用户登录脚本,即可实现批量更改。