精华内容
下载资源
问答
  • 将新的USB设备连接到计算机时,Windows会自动检测该设备并安装适当的驱动程序,这意味着...本文介绍如何使用组策略(GPO)禁用外部可移动USB驱动器,这些驱动器无法进行数据写入或运行可执行文件。 内容: 配置GPO...

    将新的USB设备连接到计算机时,Windows会自动检测该设备并安装适当的驱动程序,这意味着用户几乎可以立即使用连接的USB驱动器或设备。在某些组织中,出于安全原因,禁止使用USB设备(闪存驱动器,USB硬盘,SD卡等),以防止机密数据的安全泄漏和病毒渗透到公司内部网络。本文介绍如何使用组策略(GPO)禁用外部可移动USB驱动器,这些驱动器无法进行数据写入或运行可执行文件。

    内容:

    Windows中,从Windows 7 / Vista开始,您可以使用组策略灵活地管理对外部驱动器(USBCD / DVD,软盘,磁带等)的访问。您可以通过编程方式阻止USB驱动器的使用,而不会影响诸如鼠标,键盘,打印机等USB设备。

    如果您的AD域的基础结构满足以下要求,则USB设备阻止策略将起作用:

    1. Active Directory架构版本-Windows Server 2008或更高版本。

    注意。该策略集允许控制仅在此AD版本(版本44)中出现的Windows上可移动媒体的安装和使用。

    1. 桌面操作系统– Windows VistaWindows 7或更高版本。

    提示。在Windows XP组策略中,您不能限制对外部USB设备的访问:要阻止对外部媒体的访问,管理员必须使用第三方工具,或者阻止某些设备驱动程序(UsbStorCdromFlpydiskSfloppy)运行(使用注册表项HKLM \ SYSTEM \ CurrentControlSet \ Services \中的参数Start的值0。但是,自2014年以来,Windows XP支持已经终止,今天在公司网络中已很少见。

    配置GPO以阻止USB驱动器和其他外部存储设备

    我们将限制在某个AD容器(OU)中的所有计算机使用USB驱动器。您可以将USB阻止策略应用于整个域,但这会影响服务器和其他技术设备。假设我们要将策略应用于名为Workstations OU 。为此,请打开GPO管理控制台(gpmc.msc),右键单击OU Workstations并创建一个新策略(在此域中创建一个GPO并在此处链接。

    提示。如果是独立计算机,则可以使用本地组策略编辑器gpedit.msc编辑USB设备限制策略。在Windows Home版本中,缺少本地组编辑器,但是您可以像这样安装它:如何在Windows 10 Home上启用gpedit.msc

    将策略命名为“ 禁用USB访问

    之后,编辑其设置(编辑)。

    外部存储设备阻止设置位于GPO的用户和计算机部分中:

    1. 用户配置->策略->管理模板->系统->可移动存储访问。
    2. 计算机配置->策略->管理模板->系统->可移动存储访问。

    “ 可移动存储访问部分中,有几种策略允许您禁用对不同类型的存储类别的使用-CD / DVDFDDUSB设备,磁带等。

    • CDDVD:拒绝执行访问。
    • CDDVD:拒绝读取访问。
    • CDDVD:拒绝写访问。
    • 自定义类:拒绝读取访问。
    • 自定义类:拒绝写访问。
    • 软盘驱动器:拒绝执行访问。
    • 软盘驱动器:拒绝读取访问。
    • 软盘驱动器:拒绝写访问。
    • 可移动磁盘:拒绝执行访问。
    • 可移动磁盘:拒绝读取访问。
    • 可移动磁盘:拒绝写访问。
    • 所有可移动存储类:拒绝所有访问。
    • 所有可移动存储:允许在远程会话中直接访问。
    • 磁带机:拒绝执行访问。
    • 磁带机:拒绝读取访问。
    • 磁带机:拒绝写访问。
    • Windows便携式设备此类包括智能手机,平板电脑,播放器等。
    • WPD设备:拒绝写访问。

    如您所见,您可以拒绝启动每种设备类的可执行文件(保护计算机免受病毒感染),禁止读取数据以及在外部媒体上写入/编辑文件。

    最严格的限制策略所有可移动存储类:拒绝所有访问 -允许拒绝对所有类型的外部存储设备的访问。要打开该策略,请打开它,然后选中“ 启用

    在客户端计算机(gpupdate / force)上启用并更新策略后,系统会检测到已连接的外部设备(不仅是USB设备,而且还包括任何外部驱动器),并且在用户尝试打开它们时返回以下错误消息:

    位置不可用

    无法访问驱动器。拒绝访问

    提示。可以通过在注册表项HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices创建值00000001 DWORD参数Deny_All来使用注册表设置相同的限制。

    在此策略部分中,可以配置使用外部USB驱动器的更灵活的限制。

    例如,为防止将数据写入USB闪存驱动器和其他类型的USB驱动器,应启用策略可移动磁盘:拒绝写入访问

    在这种情况下,用户将能够读取USB闪存驱动器上存储的数据,但是当他们尝试向其中写入信息时,将会收到访问错误:

    目标文件夹访问被拒绝

    需要权限来执行此操作

    您可以使用可移动磁盘拒绝运行存储在USB驱动器上的可执行文件和脚本文件:拒绝执行访问策略。

    注意。在某些情况下,使用gpupdate / force命令更新客户端上的策略后,不会立即阻止对可移动USB设备的访问。要应用USB阻止策略,您必须重新启动计算机,并在同一GPO部分中启用策略“ 设置时间(以秒为单位)以强制重新启动 ”。然后,计算机将强制重新启动。

    GPO为某些用户禁用USB驱动器

    通常,有必要为域中的所有用户(管理员除外)禁止USB驱动器。

    最简单的方法是通过在GPO中使用安全筛选。例如,为防止将USB阻止策略应用于Domain Admins组,请执行以下操作:

    1. 在组策略管理控制台中,选择“ 禁用USB访问策略。
    2. “ 安全筛选部分中,添加“ 域管理员组。
    3. 转到“ 委派选项卡,然后在安全设置编辑器中单击“ 高级 ”,指定不允许Domain Admins组应用此GPO“ 应用组策略拒绝)。

    如果任务不同:您需要允许除特定用户组之外的所有用户使用USB驱动器,则需要在策略的安全性设置中添加具有读取和应用GPO权限的用户组,而仅保留读取已验证用户或域计算机组的权限(取消选中“ 应用组策略选项)。

    通过注册表和组策略首选项阻止USB和可移动设备

    您可以通过配置注册表设置来更灵活地控制对外部设备的访问,这些设置是由上述策略通过组策略首选项(GPP)设置的。上述所有策略均与HKLM(或HKCU\ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices中的某些注册表项相对应(默认情况下,此注册表项丢失)。

    要启用这些策略之一,必须在指定的密钥中创建一个新的子密钥,该子密钥具有要阻止访问的设备类的名称(第2列)以及约束类型(Deny_ReadDeny_Write)的REG_DWORD参数。如果此参数的值等于1,则限制处于活动状态;如果为0,则禁止使用此类设备。

    政策名称

    设备类GUID

    注册表参数名称

    软盘驱动器:
    拒绝读取访问

    {53f56311-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝读取

    软盘驱动器:
    拒绝写访问

    {53f56311-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝写

    CD和DVD:
    拒绝读取访问

    {53f56308-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝读取

    CD和DVD:
    拒绝写访问

    {53f56308-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝写

    可移动磁盘:
    拒绝读取访问

    {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝读取

    可移动磁盘:
    拒绝写访问

    {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝写

    磁带机:
    拒绝读取访问

    {53f5630b-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝读取

    磁带机:
    拒绝写访问

    {53f5630b-b6bf-11d0-94f2-00a0c91efb8b}

    拒绝写

    WPD设备:
    拒绝读取访问

    {6AC27878-A6FA-4155-BA85-F98F491D4F33}
    {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}

    拒绝读取

    WPD设备:
    拒绝写访问

    {6AC27878-A6FA-4155-BA85-F98F491D4F33}
    {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}

    拒绝写

    因此,借助这些注册表项以及通过项级别目标定位GPP策略的能力,您可以灵活地将限制外部存储设备使用的策略应用于某些AD安全组,站点,操作系统版本,OU和其他计算机。特性(甚至可以使用WMI查询)。这样,您可以确保USB阻止策略仅应用于特定AD组中包含(或不包含)的计算机(用户)。

    注意。同样,您可以为未在此列表中列出的设备类创建自己的策略。您可以在设备类GUID属性的值的驱动程序属性中找到设备类ID 

     

    展开全文
  • 只需学习前2章就可以掌握如何创建基本的数据透视表并提高生产率,在数分钟内生成报表。 在前6章内可以学会使用数据透视表快速突出显示排名前1O的客户或者收益率排在后5位的产品;快速创建分析结果,根据产品或者...
  • 只需学习前2章就可以掌握如何创建基本的数据透视表并提高生产率,在数分钟内生成报表。 在前6章内可以学会使用数据透视表快速突出显示排名前1O的客户或者收益率排在后5位的产品;快速创建分析结果,根据产品或者...
  • 只需学习前2章就可以掌握如何创建基本的数据透视表并提高生产率,在数分钟内生成报表。 在前6章内可以学会使用数据透视表快速突出显示排名前1O的客户或者收益率排在后5位的产品;快速创建分析结果,根据产品或者...
  • 只需学习前2章就可以掌握如何创建基本的数据透视表并提高生产率,在数分钟内生成报表。 在前6章内可以学会使用数据透视表快速突出显示排名前1O的客户或者收益率排在后5位的产品;快速创建分析结果,根据产品或者...
  • 了解如何设置这些新的与自动播放相关的企业策略: - 该“AutoplayAllowed”策略控制自动播放是否允许。 - 该“AutoplayWhitelist”政策,允许您指定的URL模式的白名单,其中自动播放将始终启用。 ...
  • Visual C++编程技巧精选500例.pdf

    热门讨论 2012-09-01 15:01:50
    049 如何禁止标题栏的最小化按钮?… 050 如何禁止标题栏的最大化按钮? 051 如何禁止标题栏的关闭按钮? 052 如何获取标题栏的按钮尺寸? 053 如何自定义标题栏? 054 如何获取IE浏览器标题内容? 055 如何取消标题栏的...
  • 第一部分 界面设计

    2013-10-22 23:10:34
    实例242 如何禁止数据控制组件与数据集组件同步刷新 实例243 如何把数据库表转换成文本文件 实例244 如何把数据库中的数据写入Word文档 实例245 如何设置数据库字段的输入显示格式 实例246 如何管理数据库程序的...
  • 实例242 如何禁止数据控制组件与数据集组件同步刷新 实例243 如何把数据库表转换成文本文件 实例244 如何把数据库中的数据写入Word文档 实例245 如何设置数据库字段的输入显示格式 实例246 如何管理数据库程序的...
  • 实例242 如何禁止数据控制组件与数据集组件同步刷新 实例243 如何把数据库表转换成文本文件 实例244 如何把数据库中的数据写入Word文档 实例245 如何设置数据库字段的输入显示格式 实例246 如何管理数据库程序的...
  • 如何使能和禁止工具条的工具提示 如何在工具栏中放CComboBox控件 如何将系统时间在状态栏上显示 如何使MDI启动时不生成子窗口 如何让MDI窗口一启动时就最大化或者最小化 如何改变窗口框架的颜色 怎样得到主框架窗口...
  • C#编程经验技巧宝典

    热门讨论 2008-06-01 08:59:33
    数据处理 91 <br>5.1 数字处理技巧 92 <br>0140 如何对计算结果四舍五放入 92 <br>0141 如何将商品金额小写转换成大写 92 <br>0142 如何根据生日自动计算员工年龄 93 <br>0143 如何设置...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(Net Service Name)  4.1.8 命名方法  4.1.9 配置Oracle网络的工具  4.2 Oracle网络管理  4.2.1 Oracle网络服务器端配置  4.2.2 Oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  •  4.1.6 连接描述符(connect identifier)  4.1.7 网络服务名(net service name)  4.1.8 命名方法  4.1.9 配置oracle网络的工具  4.2 oracle网络管理  4.2.1 oracle网络服务器端配置  4.2.2 oracle...
  • 如何使用多个数据日志模型 13-1 步骤概述 13-1 关于数据日志存储格式 13-2 日志文件集 13-2 日志文件集的命名 13-2 ODBC数据库存储格式 13-3 ODBC表的命名 13-3 使用现有的ODBC数据源 13-3 创建一个新的ODBC数据源 ...
  • 实例085 tstringgrid自动移动及增加行 106 2.8 其他控件应用典型实例 107 实例086 ttrackbar的简单应用 107 实例087 tsplitter的应用 108 实例088 tmaskedit组件的简单应用 109 实例089 ...
  • 实例085 tstringgrid自动移动及增加行 106 2.8 其他控件应用典型实例 107 实例086 ttrackbar的简单应用 107 实例087 tsplitter的应用 108 实例088 tmaskedit组件的简单应用 109 实例089 ...
  • 程序开发范例宝典>>

    2012-10-24 10:41:28
    实例068 ListView控件间的数据移动 87 实例069 将数据库数据添加到ListView控件 90 实例070 在ListView控件中实现修改功能 91 实例071 在ListView控件中对数据排序或统计 92 实例072 在ListView控件中...
  • 实例138 如何在图片上平滑移动文字 201 4.7 图像动画 202 实例139 动画背景窗体 202 实例140 随鼠标移动的图像 203 实例141 十字光标定位 204 实例142 抓取鼠标形状 206 4.8 图像识别 207 实例143 ...
  • C#.net_经典编程例子400个

    热门讨论 2013-05-17 09:25:30
    198 实例137 空心文字 199 实例138 如何在图片上平滑移动文字 201 4.7 图像动画 202 实例139 动画背景窗体 202 实例140 随鼠标移动的图像 203 实例141 十字光标定位 204 实例142 ...

空空如也

空空如也

1 2 3 4 5 6
收藏数 110
精华内容 44
关键字:

如何禁止移动数据自动连接