企业USB权限精细化控制-批处理分级控制U盘读写

       文章转载来源：雷聪小站: http://www.leicong.me

       U盘病毒肆虐横行的年代，企业之间007遍布的时代，对U盘等外接存储设备的管理变得亟为重要且紧迫。怎么限制员工通过USB接口在企业内部计算机进行文件拷贝，但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口外部设备的工作呢？
       （一）任务需求： 
       1、USB存储设备分级控制：

                （1）一般用户不能写不能读；

                （2）部分用户能读不能写入USB存储设备；

                （3）核心用户能读能写USB存储设备！。
       2、不能影响现有USB打印机、扫描仪、加密狗、鼠标键盘等外部设备的正常使用。 
      （二）任务方案： 
       1、方案一：在BIOS里关闭USB端口； 
       2、方案二：电脑客户端安装USB管理软件，用软件进行管制，部署服务器，监控所有电脑的USB动态； 
       3、方案三：操作系统注册表限制，批处理执行管理。 
      （三）方案分析：
       方案一：主板关闭USB端口后，所有USB外设都不能使用，不满足任务需求2；
       方案二：电脑安装客户端。缺点：（1）工作量大；（2）占用内存，影响计算机性能；（3）软件稳定性不确定......

       方案三：高效稳定，一次运行配置后无需后续操作。且能满足上述任务需求。 
      （四）注册表相关分析：
       1、关闭/打开USB存储设备的盘符自动分配：

Bash

注册表路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
“Start”键值：默认为3（自动分配盘符），4（禁止自动启动）

      2、设置USB存储设备只读/写保护权限：

Bash

注册表路径：HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control
在其下新建一个名为“StorageDevicePolicies”的项，新建一个名为“WriteProtect”的DWORD值
“WriteProtect”的DWORD值：1（写保护功能运行），0（关闭写保护）。

      3、系统盘USB存储设备作用文件：

      核心思想：根据需要对USB存储设备作用文件位置进行移动，使其作用失效或生效。

Bash

作用文件路径：C:\WINDOWS\inf
作用文件名：usbstor.inf usbstor.pnf
/*不需要使用USB存储设备时，将上述两文件进行转移；需要使用时，将其位置复原*/

      4、好了，相关注册表和文件分析完毕。会批处理的人可以自己动手写了。需要bat文件的人也可以通过本文页尾的下载链接获取。

      5、Tips:

            （1）因为win7以上引入了UAC，所以请用管理员权限运行bat文件：

            （2）因为批处理涉及到注册表操作，可能会被杀毒软件拦截，放行就好了；

            （3）部分计算机可能运行"disableUP.bat"（禁用USB存储设备）后插上U盘还能读写，重启电脑后就可以了。

            （4）bat文件说明：disableUP.bat  禁用USB存储设备

                                      writeprotectUP.bat  开启USB存储设备写保护，只读

                                      enableUP.bat  开启USB存储设备读写权限

     下载地址：传送至原帖