方法1,改注册表[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]"Start"=dword:00000004方法2,如何利用AD 组策略来屏蔽U 盘等可移动磁盘如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案,捞点外块,根据客户的要求,研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网,通过分析和整理,总结如下:1、 在域控制器上打开Active Directory 用户和计算机,找到您要屏蔽U 盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U 盘”,建好后,双击“屏蔽U 盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,选中Windows 资源管理器,我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提供了7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。2、 在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性,找到"屏蔽U 盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。3、 打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盘符依赖于您安装的操作系统所在的分区,如果安装AD 时在C 盘,默认则就是这个路径,其中hcsad.hc 则是你给这个AD 取得名字,我这里给这个域的顶级域名取为为HC,所以这里就是HCSAD.HC),打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM 目录下的system.adm 文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULTlow 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULTlow 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。仔细观察上述代码,不难发现,其中一共有7 个NAME 项,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on 的意思说值为26 位的二进制,最多可指定26 个驱动器盘符,而1 bit per drive 则代表1 位代表1 个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB 接口数(防止有人同时插入几个U 盘,呵呵,但是我建议,在做系统规划时就要注意这个问题:就是固定给所有的电脑分配几个盘,如4 个,即:CDEF,这样我们就可以利用禁掉除CDEF 所有的盘,这样就可以保证万无一失啦,哈哈…)。那么我们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的NAME !!ABCDOnly VALUE NUMERIC 15下插入一行NAME !!ABCFGHIOnly VALUE NUMERIC 487随后,利用查找命令,找到以下字段:在 ABConly="仅限制驱动器 A、B 和 C" ,这一段文字,下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I",等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在策略的下拉框中。保存后,打开“屏蔽U 盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管如何利用AD 组策略来屏蔽U 盘等可移动磁盘理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U 盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。最后,附上从A 到Z 对应的每一个数字,方便大家理解:A B C D E F1 2 4 8 16 32G H I J K L64 128 256 512 1024 2048M N O P Q R4096 8192 16384 32768 65536 131072S T U V W X262144 524288 1048576 2097152 4194304 8388608Y Z16777216 33554432根据上表中的数字,大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数,如想禁用所有的盘符,即从A 到Z,则以上的数字相加等于67108863,以上面找到的那两段代码,其中就有一项禁用所有盘符,后面的数字也正好是这个。举例:比如你如果想禁止除CDEF 这四个盘以外的所有盘,则是按上表中的数字去掉CDEF 中对应的数字,四个盘对应的数字正好是60,因此,将这个总数:67108863 减去60=67108803。然后在上面插入的那段字符里做相应的调整,你也可以根据喜好,创建多个组合,如禁止CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码:NAME !!ABCFGHIOnly VALUENUMERIC 487(比如你想禁用从除CDEF 之外的所有盘符,是要在这段代码的!!后面写成这样:ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……,后面的NUMERIC 487 则根据你想要禁用的盘符的数值(见上表)加起来的和,总而言之一句话,你想要禁用的盘符都要在这段代码里面。至此,全部设置完毕,让您的客户段使用此OU 下的用户登录看看吧!程栋良2007-11-25
现在有很多企业都会对电脑上的U盘使用做管理,比如禁止在电脑上使用U盘或其他外接移动存储设备,这样可以在很大程度上防止员工出现拷贝复制文件到外界的行为,在很大程度上提高了内部数据的安全性,禁止U盘在电脑上使用用哪种方法比较有效呢?
为防止电脑受到病毒的侵害或者是出现数据资料被拷贝的行为,对电脑上经常使用的U盘进行合理管控效果是比较明显的,一般在很多的企业中都会用域之盾对员工电脑进行批量的管理,就拿U盘管理来说可以通过一个U盘管理策略就可以让局域网内所有电脑都生效,比如设置成为禁止使用或者仅读取的方式,这样员工就无法拷贝资料到U盘了;
还有一种就是企业全面禁止U盘,然后员工可以提交U盘使用申请,通过后才能在局域网内正常使用,然后我们可以开启U盘操作审计和文件操作审计,这样员工在进行U盘相关操作的时候再管理端能够看得一清二楚,如果员工有拷贝的行为,可以及时通知到管理端做出对应的管理,这样就提高了内部文件的安全性。
