使用AD组策略实现USB 只读、读写、禁用的管控

前提:

1、windows2008R2中,针对USB的管控策略不支持winXP;

2、传统修改注册表的形式,在插拔U盘设备后会被USB驱动自动重置键值破解;


已知问题:

1、禁用后的USB被启用后,IPHONE手机无法连接计算机;


方案:

为了细化USB权限分级,增强USB权限管控,降低数据泄露的风险,经讨论决定对OUUSB管控策略进行升级。对申请权限细化为只读、读写、禁用三类。


通过计算机策略分别实现USB的开启、只读、禁用权限管控。

对计算机OU进行调整,建立下级子OU,以对应三种权限。

考虑windows2008R2域控不支持XPUSB管控策略,使用脚本对注册表和驱动文件进行改写,以支持XP系统。


1、  制定3个组策略分别对用三级权限

A:禁用:

策略

设置

注释

CD    和 DVD: 拒绝读取权限

已启用


CD    和 DVD: 拒绝写入权限

已启用


软盘驱动器: 拒绝读取权限

已启用


软盘驱动器: 拒绝写入权限

已启用


所有可移动存储类: 拒绝所有

已启用


 

启动脚本:QD-No-usb.bat

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor"  /v "Start" /t reg_dword /d "4" /f

\\修改usbstor值为4,禁用usb

reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"  /v "WriteProtect" /t reg_dword /d "1" /f

\\添加建值writeprotect=1usb设置只读(保证权限)

ren C:\Windows\Inf\usbstor.inf  usbstor.inf1

\\改名usb驱动,准备替换,不改名无法输出新驱动

@echo off&setlocal  EnableDelayedExpansion

for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do (

set "str=%%b"&set  "str=!str: 3= 4!"

\\对改名的USB驱动内容进行修改 3修改为4(数字前有空格),避免驱动自动修复注册表

echo !str!  >>C:\Windows\Inf\usbstor.inf

\\输出修改的驱动文件

)

del C:\Windows\Inf\usbstor.inf1

\\删除改名的文件

 

B:读写权限

策略

设置

注释

CD 和 DVD: 拒绝读取权限

已禁用


CD 和 DVD: 拒绝写入权限

已禁用


软盘驱动器: 拒绝读取权限

已禁用


软盘驱动器: 拒绝写入权限

已禁用


所有可移动存储类: 拒绝所有权限

已禁用


 

启动脚本:QD-RW-usb.bat

reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor" /v  "Start" /t reg_dword /d "3" /f

reg delete  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StroageDevicePolicies"  /f

ren C:\Windows\Inf\usbstor.inf  usbstor.inf1

@echo off&setlocal  EnableDelayedExpansion

for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do (

set "str=%%b"&set  "str=!str: 4= 3!"

echo !str!  >>C:\Windows\Inf\usbstor.inf

)

del C:\Windows\Inf\usbstor.inf1

 

C:只读权限

策略

设置

注释

CD 和 DVD: 拒绝读取权限

已禁用


CD 和 DVD: 拒绝写入权限

已启用


WPD 设备: 拒绝写入权限

已启用


磁带驱动器: 拒绝写入权限

已启用


可移动磁盘: 拒绝写入权限

已启用


软盘驱动器: 拒绝读取权限

已禁用


软盘驱动器: 拒绝写入权限

已启用


所有可移动存储类: 拒绝所有权限

已禁用


 

启动脚本:QD-R-usb.bat

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor"  /v "Start" /t reg_dword /d "3" /f

reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"  /v "WriteProtect" /t reg_dword /d "1" /f

ren C:\Windows\Inf\usbstor.inf  usbstor.inf1

@echo off&setlocal  EnableDelayedExpansion

for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do (

set "str=%%b"&set  "str=!str: 4= 3!"

echo !str!  >>C:\Windows\Inf\usbstor.inf

)

del C:\Windows\Inf\usbstor.inf1

 

以上,3条策略,分别下发三个OU进行独立管控。


本文出自 “dnscn” 博客,谢绝转载!

你可能感兴趣的:(windows,ad,组策略)