如何使用组策略阻止USB驱动器和可移动媒体
将新的USB设备连接到计算机时,Windows会自动检测该设备并安装适当的驱动程序,这意味着用户几乎可以立即使用连接的USB驱动器或设备。在某些组织中,出于安全原因,禁止使用USB设备(闪存驱动器,USB硬盘,SD卡等),以防止机密数据的安全泄漏和病毒渗透到公司内部网络。本文介绍如何使用组策略(GPO)禁用外部可移动USB驱动器,这些驱动器无法进行数据写入或运行可执行文件。
内容:
- 配置GPO以阻止USB驱动器和其他外部存储设备
- GPO为某些用户禁用USB驱动器
- 通过注册表和组策略首选项阻止USB和可移动设备
如果您的AD域的基础结构满足以下要求,则USB设备阻止策略将起作用:
- Active Directory架构版本-Windows Server 2008或更高版本。
- 桌面操作系统– Windows Vista,Windows 7或更高版本。
配置GPO以阻止USB驱动器和其他外部存储设备
我们将限制在某个AD容器(OU)中的所有计算机使用USB驱动器。您可以将USB阻止策略应用于整个域,但这会影响服务器和其他技术设备。假设我们要将策略应用于名为Workstations的 OU 。为此,请打开GPO管理控制台(gpmc.msc),右键单击OU Workstations并创建一个新策略(在此域中创建一个GPO并在此处链接。)
提示。如果是独立计算机,则可以使用本地组策略编辑器gpedit.msc编辑USB设备限制策略。在Windows Home版本中,缺少本地组编辑器,但是您可以像这样安装它:如何在Windows 10 Home上启用gpedit.msc
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/fcb42b98592a4778aa73f57ce6ead5e4.jpg)
文章图片
将策略命名为“ 禁用USB访问”。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/2b1a3ec633d84dd8be799a46d7bfb1cd.jpg)
文章图片
之后,编辑其设置(编辑)。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/14638fdb5da54f78bc554207edf88f92.jpg)
文章图片
外部存储设备阻止设置位于GPO的用户和计算机部分中:
- 用户配置->策略->管理模板->系统->可移动存储访问。
- 计算机配置->策略->管理模板->系统->可移动存储访问。
- CD和DVD:拒绝执行访问。
- CD和DVD:拒绝读取访问。
- CD和DVD:拒绝写访问。
- 自定义类:拒绝读取访问。
- 自定义类:拒绝写访问。
- 软盘驱动器:拒绝执行访问。
- 软盘驱动器:拒绝读取访问。
- 软盘驱动器:拒绝写访问。
- 可移动磁盘:拒绝执行访问。
- 可移动磁盘:拒绝读取访问。
- 可移动磁盘:拒绝写访问。
- 所有可移动存储类:拒绝所有访问。
- 所有可移动存储:允许在远程会话中直接访问。
- 磁带机:拒绝执行访问。
- 磁带机:拒绝读取访问。
- 磁带机:拒绝写访问。
- Windows便携式设备–此类包括智能手机,平板电脑,播放器等。
- WPD设备:拒绝写访问。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/ef73741a9d4143b4acdedea54de51e9b.jpg)
文章图片
“最严格”的限制策略- 所有可移动存储类:拒绝所有访问 -允许拒绝对所有类型的外部存储设备的访问。要打开该策略,请打开它,然后选中“ 启用”。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/c6726d53db1f432fb26b31c4fd6bc89b.jpg)
文章图片
在客户端计算机(gpupdate / force)上启用并更新策略后,系统会检测到已连接的外部设备(不仅是USB设备,而且还包括任何外部驱动器),并且在用户尝试打开它们时返回以下错误消息:
位置不可用
无法访问驱动器。拒绝访问
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/bd22fd454b0a4e2cb02e2fe21bec627c.jpg)
文章图片
提示。可以通过在注册表项HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中创建值00000001的 DWORD参数Deny_All来使用注册表设置相同的限制。
在此策略部分中,可以配置使用外部USB驱动器的更灵活的限制。
例如,为防止将数据写入USB闪存驱动器和其他类型的USB驱动器,应启用策略可移动磁盘:拒绝写入访问。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/10a184036b374aebbd46f4514e107608.jpg)
文章图片
在这种情况下,用户将能够读取USB闪存驱动器上存储的数据,但是当他们尝试向其中写入信息时,将会收到访问错误:
目标文件夹访问被拒绝
需要权限来执行此操作
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/89569251bbcb4c3cbc4b8ce092b989ce.jpg)
文章图片
您可以使用可移动磁盘拒绝运行存储在USB驱动器上的可执行文件和脚本文件:拒绝执行访问策略。
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/c2ec86c28e724e1298988cab80ddd925.jpg)
文章图片
注意。在某些情况下,使用gpupdate / force命令更新客户端上的策略后,不会立即阻止对可移动USB设备的访问。要应用USB阻止策略,您必须重新启动计算机,并在同一GPO部分中启用策略“ 设置时间(以秒为单位)以强制重新启动 ”。然后,计算机将强制重新启动。
GPO为某些用户禁用USB驱动器
通常,有必要为域中的所有用户(管理员除外)禁止USB驱动器。
最简单的方法是通过在GPO中使用安全筛选。例如,为防止将USB阻止策略应用于Domain Admins组,请执行以下操作:
- 在组策略管理控制台中,选择“ 禁用USB访问”策略。
- 在“ 安全筛选”部分中,添加“ 域管理员”组。
文章图片
- 转到“ 委派”选项卡,然后在安全设置编辑器中单击“ 高级 ”,指定不允许Domain Admins组应用此GPO(“ 应用组策略–拒绝”)。
文章图片
![如何使用组策略阻止USB驱动器和可移动媒体](https://img.it610.com/image/info8/a56369b05d30472ab00a77f77dcaefb4.jpg)
文章图片
通过注册表和组策略首选项阻止USB和可移动设备
您可以通过配置注册表设置来更灵活地控制对外部设备的访问,这些设置是由上述策略通过组策略首选项(GPP)设置的。上述所有策略均与HKLM(或HKCU)\ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中的某些注册表项相对应(默认情况下,此注册表项丢失)。
要启用这些策略之一,必须在指定的密钥中创建一个新的子密钥,该子密钥具有要阻止访问的设备类的名称(第2列)以及约束类型(Deny_Read或Deny_Write)的REG_DWORD参数。如果此参数的值等于1,则限制处于活动状态;如果为0,则禁止使用此类设备。
政策名称 |
设备类GUID |
注册表参数名称 |
【如何使用组策略阻止USB驱动器和可移动媒体】软盘驱动器: 拒绝读取访问 |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
软盘驱动器: 拒绝写访问 |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
CD和DVD: 拒绝读取访问 |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
CD和DVD: 拒绝写访问 |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
可移动磁盘: 拒绝读取访问 |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
可移动磁盘: 拒绝写访问 |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
磁带机: 拒绝读取访问 |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝读取 |
磁带机: 拒绝写访问 |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
拒绝写 |
WPD设备: 拒绝读取访问 |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
拒绝读取 |
WPD设备: 拒绝写访问 |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
拒绝写 |
注意。同样,您可以为未在此列表中列出的设备类创建自己的策略。您可以在设备类GUID属性的值的驱动程序属性中找到设备类ID 。
推荐阅读
- 考研英语阅读终极解决方案——阅读理解如何巧拿高分
- 由浅入深理解AOP
- 如何寻找情感问答App的分析切入点
- 【译】20个更有效地使用谷歌搜索的技巧
- mybatisplus如何在xml的连表查询中使用queryWrapper
- MybatisPlus|MybatisPlus LambdaQueryWrapper使用int默认值的坑及解决
- MybatisPlus使用queryWrapper如何实现复杂查询
- 如何在Mac中的文件选择框中打开系统隐藏文件夹
- 漫画初学者如何学习漫画背景的透视画法(这篇教程请收藏好了!)
- java中如何实现重建二叉树