如何使用组策略阻止USB驱动器和可移动媒体如何使用组策略阻止USB驱动器

将新的USB设备连接到计算机时，Windows会自动检测该设备并安装适当的驱动程序，这意味着用户几乎可以立即使用连接的USB驱动器或设备。在某些组织中，出于安全原因，禁止使用USB设备（闪存驱动器，USB硬盘，SD卡等），以防止机密数据的安全泄漏和病毒渗透到公司内部网络。本文介绍如何使用组策略（GPO）禁用外部可移动USB驱动器，这些驱动器无法进行数据写入或运行可执行文件。
内容：

配置GPO以阻止USB驱动器和其他外部存储设备
GPO为某些用户禁用USB驱动器
通过注册表和组策略首选项阻止USB和可移动设备

在Windows中，从Windows 7 / Vista开始，您可以使用组策略灵活地管理对外部驱动器（USB，CD / DVD，软盘，磁带等）的访问。您可以通过编程方式阻止USB驱动器的使用，而不会影响诸如鼠标，键盘，打印机等USB设备。
如果您的AD域的基础结构满足以下要求，则USB设备阻止策略将起作用：

Active Directory架构版本-Windows Server 2008或更高版本。

注意。该策略集允许控制仅在此AD版本（版本44）中出现的Windows上可移动媒体的安装和使用。

桌面操作系统– Windows Vista，Windows 7或更高版本。

提示。在Windows XP组策略中，您不能限制对外部USB设备的访问：要阻止对外部媒体的访问，管理员必须使用第三方工具，或者阻止某些设备驱动程序（UsbStor，Cdrom，Flpydisk，Sfloppy）运行（使用注册表项HKLM \ SYSTEM \ CurrentControlSet \ Services \中的参数Start的值0。但是，自2014年以来，Windows XP支持已经终止，今天在公司网络中已很少见。
配置GPO以阻止USB驱动器和其他外部存储设备
我们将限制在某个AD容器（OU）中的所有计算机使用USB驱动器。您可以将USB阻止策略应用于整个域，但这会影响服务器和其他技术设备。假设我们要将策略应用于名为Workstations的 OU 。为此，请打开GPO管理控制台（gpmc.msc），右键单击OU Workstations并创建一个新策略（在此域中创建一个GPO并在此处链接。）
提示。如果是独立计算机，则可以使用本地组策略编辑器gpedit.msc编辑USB设备限制策略。在Windows Home版本中，缺少本地组编辑器，但是您可以像这样安装它：如何在Windows 10 Home上启用gpedit.msc

文章图片

将策略命名为“ 禁用USB访问”。

文章图片

之后，编辑其设置（编辑）。

文章图片

外部存储设备阻止设置位于GPO的用户和计算机部分中：

用户配置->策略->管理模板->系统->可移动存储访问。
计算机配置->策略->管理模板->系统->可移动存储访问。

在“ 可移动存储访问”部分中，有几种策略允许您禁用对不同类型的存储类别的使用-CD / DVD，FDD，USB设备，磁带等。

CD和DVD：拒绝执行访问。
CD和DVD：拒绝读取访问。
CD和DVD：拒绝写访问。
自定义类：拒绝读取访问。
自定义类：拒绝写访问。
软盘驱动器：拒绝执行访问。
软盘驱动器：拒绝读取访问。
软盘驱动器：拒绝写访问。
可移动磁盘：拒绝执行访问。
可移动磁盘：拒绝读取访问。
可移动磁盘：拒绝写访问。
所有可移动存储类：拒绝所有访问。
所有可移动存储：允许在远程会话中直接访问。
磁带机：拒绝执行访问。
磁带机：拒绝读取访问。
磁带机：拒绝写访问。
Windows便携式设备–此类包括智能手机，平板电脑，播放器等。
WPD设备：拒绝写访问。

如您所见，您可以拒绝启动每种设备类的可执行文件（保护计算机免受病毒感染），禁止读取数据以及在外部媒体上写入/编辑文件。

文章图片

“最严格”的限制策略- 所有可移动存储类：拒绝所有访问 -允许拒绝对所有类型的外部存储设备的访问。要打开该策略，请打开它，然后选中“ 启用”。

文章图片

在客户端计算机（gpupdate / force）上启用并更新策略后，系统会检测到已连接的外部设备（不仅是USB设备，而且还包括任何外部驱动器），并且在用户尝试打开它们时返回以下错误消息：
位置不可用
无法访问驱动器。拒绝访问

文章图片

提示。可以通过在注册表项HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中创建值00000001的 DWORD参数Deny_All来使用注册表设置相同的限制。
在此策略部分中，可以配置使用外部USB驱动器的更灵活的限制。
例如，为防止将数据写入USB闪存驱动器和其他类型的USB驱动器，应启用策略可移动磁盘：拒绝写入访问。

文章图片

在这种情况下，用户将能够读取USB闪存驱动器上存储的数据，但是当他们尝试向其中写入信息时，将会收到访问错误：
目标文件夹访问被拒绝
需要权限来执行此操作

文章图片

您可以使用可移动磁盘拒绝运行存储在USB驱动器上的可执行文件和脚本文件：拒绝执行访问策略。

文章图片

注意。在某些情况下，使用gpupdate / force命令更新客户端上的策略后，不会立即阻止对可移动USB设备的访问。要应用USB阻止策略，您必须重新启动计算机，并在同一GPO部分中启用策略“ 设置时间（以秒为单位）以强制重新启动 ”。然后，计算机将强制重新启动。
GPO为某些用户禁用USB驱动器
通常，有必要为域中的所有用户（管理员除外）禁止USB驱动器。
最简单的方法是通过在GPO中使用安全筛选。例如，为防止将USB阻止策略应用于Domain Admins组，请执行以下操作：

在组策略管理控制台中，选择“ 禁用USB访问”策略。
在“ 安全筛选”部分中，添加“ 域管理员”组。
文章图片
转到“ 委派”选项卡，然后在安全设置编辑器中单击“ 高级 ”，指定不允许Domain Admins组应用此GPO（“ 应用组策略–拒绝”）。
文章图片

如果任务不同：您需要允许除特定用户组之外的所有用户使用USB驱动器，则需要在策略的安全性设置中添加具有读取和应用GPO权限的用户组，而仅保留读取已验证用户或域计算机组的权限（取消选中“ 应用组策略”选项）。

文章图片

通过注册表和组策略首选项阻止USB和可移动设备
您可以通过配置注册表设置来更灵活地控制对外部设备的访问，这些设置是由上述策略通过组策略首选项（GPP）设置的。上述所有策略均与HKLM（或HKCU）\ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中的某些注册表项相对应（默认情况下，此注册表项丢失）。
要启用这些策略之一，必须在指定的密钥中创建一个新的子密钥，该子密钥具有要阻止访问的设备类的名称（第2列）以及约束类型（Deny_Read或Deny_Write）的REG_DWORD参数。如果此参数的值等于1，则限制处于活动状态；如果为0，则禁止使用此类设备。

政策名称	设备类GUID	注册表参数名称
【如何使用组策略阻止USB驱动器和可移动媒体】软盘驱动器：拒绝读取访问	{53f56311-b6bf-11d0-94f2-00a0c91efb8b}	拒绝读取
软盘驱动器：拒绝写访问	{53f56311-b6bf-11d0-94f2-00a0c91efb8b}	拒绝写
CD和DVD：拒绝读取访问	{53f56308-b6bf-11d0-94f2-00a0c91efb8b}	拒绝读取
CD和DVD：拒绝写访问	{53f56308-b6bf-11d0-94f2-00a0c91efb8b}	拒绝写
可移动磁盘：拒绝读取访问	{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}	拒绝读取
可移动磁盘：拒绝写访问	{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}	拒绝写
磁带机：拒绝读取访问	{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}	拒绝读取
磁带机：拒绝写访问	{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}	拒绝写
WPD设备：拒绝读取访问	{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}	拒绝读取
WPD设备：拒绝写访问	{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}	拒绝写

因此，借助这些注册表项以及通过项级别目标定位GPP策略的能力，您可以灵活地将限制外部存储设备使用的策略应用于某些AD安全组，站点，操作系统版本，OU和其他计算机。特性（甚至可以使用WMI查询）。这样，您可以确保USB阻止策略仅应用于特定AD组中包含（或不包含）的计算机（用户）。
注意。同样，您可以为未在此列表中列出的设备类创建自己的策略。您可以在设备类GUID属性的值的驱动程序属性中找到设备类ID 。