如何使用组策略阻止USB驱动器和可移动媒体
将新的USB设备连接到计算机时,Windows会自动检测该设备并安装适当的驱动程序,这意味着用户几乎可以立即使用连接的USB驱动器或设备。在某些组织中,出于安全原因,禁止使用USB设备(闪存驱动器,USB硬盘,SD卡等),以防止机密数据的安全泄漏和病毒渗透到公司内部网络。本文介绍如何使用组策略(GPO)禁用外部可移动USB驱动器,这些驱动器无法进行数据写入或运行可执行文件。
内容:
- 配置GPO以阻止USB驱动器和其他外部存储设备
- GPO为某些用户禁用USB驱动器
- 通过注册表和组策略首选项阻止USB和可移动设备
在Windows中,从Windows 7 / Vista开始,您可以使用组策略灵活地管理对外部驱动器(USB,CD / DVD,软盘,磁带等)的访问。您可以通过编程方式阻止USB驱动器的使用,而不会影响诸如鼠标,键盘,打印机等USB设备。
如果您的AD域的基础结构满足以下要求,则USB设备阻止策略将起作用:
- Active Directory架构版本-Windows Server 2008或更高版本。
注意。该策略集允许控制仅在此AD版本(版本44)中出现的Windows上可移动媒体的安装和使用。
- 桌面操作系统– Windows Vista,Windows 7或更高版本。
提示。在Windows XP组策略中,您不能限制对外部USB设备的访问:要阻止对外部媒体的访问,管理员必须使用第三方工具,或者阻止某些设备驱动程序(UsbStor,Cdrom,Flpydisk,Sfloppy)运行(使用注册表项HKLM \ SYSTEM \ CurrentControlSet \ Services \中的参数Start的值0。但是,自2014年以来,Windows XP支持已经终止,今天在公司网络中已很少见。
配置GPO以阻止USB驱动器和其他外部存储设备
我们将限制在某个AD容器(OU)中的所有计算机使用USB驱动器。您可以将USB阻止策略应用于整个域,但这会影响服务器和其他技术设备。假设我们要将策略应用于名为Workstations的 OU 。为此,请打开GPO管理控制台(gpmc.msc),右键单击OU Workstations并创建一个新策略(在此域中创建一个GPO并在此处链接。)
提示。如果是独立计算机,则可以使用本地组策略编辑器gpedit.msc编辑USB设备限制策略。在Windows Home版本中,缺少本地组编辑器,但是您可以像这样安装它:如何在Windows 10 Home上启用gpedit.msc
将策略命名为“ 禁用USB访问”。
之后,编辑其设置(编辑)。
外部存储设备阻止设置位于GPO的用户和计算机部分中:
- 用户配置->策略->管理模板->系统->可移动存储访问。
- 计算机配置->策略->管理模板->系统->可移动存储访问。
在“ 可移动存储访问”部分中,有几种策略允许您禁用对不同类型的存储类别的使用-CD / DVD,FDD,USB设备,磁带等。
- CD和DVD:拒绝执行访问。
- CD和DVD:拒绝读取访问。
- CD和DVD:拒绝写访问。
- 自定义类:拒绝读取访问。
- 自定义类:拒绝写访问。
- 软盘驱动器:拒绝执行访问。
- 软盘驱动器:拒绝读取访问。
- 软盘驱动器:拒绝写访问。
- 可移动磁盘:拒绝执行访问。
- 可移动磁盘:拒绝读取访问。
- 可移动磁盘:拒绝写访问。
- 所有可移动存储类:拒绝所有访问。
- 所有可移动存储:允许在远程会话中直接访问。
- 磁带机:拒绝执行访问。
- 磁带机:拒绝读取访问。
- 磁带机:拒绝写访问。
- Windows便携式设备–此类包括智能手机,平板电脑,播放器等。
- WPD设备:拒绝写访问。
如您所见,您可以拒绝启动每种设备类的可执行文件(保护计算机免受病毒感染),禁止读取数据以及在外部媒体上写入/编辑文件。
“最严格”的限制策略- 所有可移动存储类:拒绝所有访问 -允许拒绝对所有类型的外部存储设备的访问。要打开该策略,请打开它,然后选中“ 启用”。
在客户端计算机(gpupdate / force)上启用并更新策略后,系统会检测到已连接的外部设备(不仅是USB设备,而且还包括任何外部驱动器),并且在用户尝试打开它们时返回以下错误消息:
位置不可用
无法访问驱动器。拒绝访问
提示。可以通过在注册表项HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中创建值00000001的 DWORD参数Deny_All来使用注册表设置相同的限制。
在此策略部分中,可以配置使用外部USB驱动器的更灵活的限制。
例如,为防止将数据写入USB闪存驱动器和其他类型的USB驱动器,应启用策略可移动磁盘:拒绝写入访问。
在这种情况下,用户将能够读取USB闪存驱动器上存储的数据,但是当他们尝试向其中写入信息时,将会收到访问错误:
目标文件夹访问被拒绝
需要权限来执行此操作
您可以使用可移动磁盘拒绝运行存储在USB驱动器上的可执行文件和脚本文件:拒绝执行访问策略。
注意。在某些情况下,使用gpupdate / force命令更新客户端上的策略后,不会立即阻止对可移动USB设备的访问。要应用USB阻止策略,您必须重新启动计算机,并在同一GPO部分中启用策略“ 设置时间(以秒为单位)以强制重新启动 ”。然后,计算机将强制重新启动。
GPO为某些用户禁用USB驱动器
通常,有必要为域中的所有用户(管理员除外)禁止USB驱动器。
最简单的方法是通过在GPO中使用安全筛选。例如,为防止将USB阻止策略应用于Domain Admins组,请执行以下操作:
- 在组策略管理控制台中,选择“ 禁用USB访问”策略。
- 在“ 安全筛选”部分中,添加“ 域管理员”组。
- 转到“ 委派”选项卡,然后在安全设置编辑器中单击“ 高级 ”,指定不允许Domain Admins组应用此GPO(“ 应用组策略–拒绝”)。
如果任务不同:您需要允许除特定用户组之外的所有用户使用USB驱动器,则需要在策略的安全性设置中添加具有读取和应用GPO权限的用户组,而仅保留读取已验证用户或域计算机组的权限(取消选中“ 应用组策略”选项)。
通过注册表和组策略首选项阻止USB和可移动设备
您可以通过配置注册表设置来更灵活地控制对外部设备的访问,这些设置是由上述策略通过组策略首选项(GPP)设置的。上述所有策略均与HKLM(或HKCU)\ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中的某些注册表项相对应(默认情况下,此注册表项丢失)。
要启用这些策略之一,必须在指定的密钥中创建一个新的子密钥,该子密钥具有要阻止访问的设备类的名称(第2列)以及约束类型(Deny_Read或Deny_Write)的REG_DWORD参数。如果此参数的值等于1,则限制处于活动状态;如果为0,则禁止使用此类设备。
| 政策名称 |
设备类GUID |
注册表参数名称 |
| 软盘驱动器: |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
| 软盘驱动器: |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
| CD和DVD: |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
| CD和DVD: |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
| 可移动磁盘: |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
| 可移动磁盘: |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
| 磁带机: |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
| 磁带机: |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
| WPD设备: |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} |
拒绝读取 |
| WPD设备: |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} |
拒绝写 |
因此,借助这些注册表项以及通过项级别目标定位GPP策略的能力,您可以灵活地将限制外部存储设备使用的策略应用于某些AD安全组,站点,操作系统版本,OU和其他计算机。特性(甚至可以使用WMI查询)。这样,您可以确保USB阻止策略仅应用于特定AD组中包含(或不包含)的计算机(用户)。
注意。同样,您可以为未在此列表中列出的设备类创建自己的策略。您可以在设备类GUID属性的值的驱动程序属性中找到设备类ID 。