用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱-阿里云开发者社区

开发者社区> 技术小阿哥> 正文

用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱

简介:
+关注继续查看


一、禁止USB存储设备、光驱、软驱、ZIP软驱

在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。首先我们在企业网络环境要想实现以上目的,必须要有域环境。这里肯定有朋友会说,没有域环境也能实现。是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击zhp.com→点击“创建并链接(GPO)” →输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。)双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”“管理模板”点击“Custom Policy Settings点击“Restrict Drives
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB点击“属性”,弹出“Disable USB 属性对话框。
我们首先点击“已启用”按钮在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate /force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”,否则你做的策略是不会生效的。
此时我们点击“应用”点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击zhp.com→点击“创建并链接(GPO)” →输入组策略名称“禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate /force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机点击开始运行输入“Regdiet”则会提示如下图所示:
到此我们“禁止注册表”策略已经完成。
三、破解“禁止注册表编辑器工具”
这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略,的确,这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了,但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法,大家也可以再次留言一起讨乱学习。
但是这里我要奉劝大家一句,我们在做一个系统管理员或是网络管员理的时候,不要认为技术是万能的,我们要技术手段加行政手段来综合的管理我们的网络,毕竟我们的岗位上都套有管理员这三个字,我们不单单是一个技术的执行者,更是一个管理者。这个又谈到如何成为一个合格的网络管理员或是系统管理员了,今天很晚了,在这里我就不多说了。


本文转自 zhouhaipeng 51CTO博客,原文链接:http://blog.51cto.com/zhouhaipeng/106926,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10072 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13882 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
11818 0
Storage API简介和存储限制与逐出策略
对于现代浏览器来说,为了提升效率和处理更加复杂的客户端操作,通常都需要将数据存储在客户端,也就是本地磁盘上。那么这个存储有没有什么限制?如果数据存满了之后,如何进行数据的淘汰和置换?
484 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11888 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4502 0
13694
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载