【摘要】
在我們企業內部進行規範和安全管理的時候,可能經常會有這樣的需求:禁止企業內所有電腦的USB接口進行文件拷貝,但不能妨礙打印機、鼠標鍵盤、掃描儀、加密狗等等一切需要USB接口工作的外部設備,但是對於高管,不能做限制。
首先理解一下需求:USB設備接入,不能拷貝文件,但是可以讀取,其他辦公設備可正常讀取、
接下來就一臺探討一下如何實現這個需求。
【正文】
實現思路及過程
1.限制USB設備,常規方法如下三種:
1)從硬件層面入手:可直接在計算機BIOS中關閉USB設備,耗時且USB設備將不可用,不符合需求,不推薦;
2)從系統技術出發,修改註冊表,結合AD組策略,針對普通用戶和高管OU,設置不同策略,工作組的計算機,可手動進行配置,省時,可實現需求,推薦方案;
3)第三方解決方案:一般的安全廠家都會有針對移動設備接入的管控軟件,使用此方案可能會產生額外費用,IT預算不緊張的情況下,可考慮,作爲可選方案。
2.實現過程
根據上一部分內容的討論,我們選擇第2)中方案,從系統技術角度出發,修改註冊表,結合組策略來滿足此需求。
1)首先,在註冊表中需要關閉USB設備的盤符自動分配,找到如***冊表項,將Start值更改爲4,意思是禁止自動運行(默認是3);
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
2)刪除USB存儲設備的作用文件,默認存放於:系統盤\Windows\inf目錄下,如下圖,usbstor.inf和usbstor.pnf,這兩個文件是USB存儲設備的作用文件,爲了安全期間,建議先備份,然後在刪除,可通過下面4條語句實現:
copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul
3)接下來,禁止將電腦裏的資料拷貝到USB存儲設備,使USB存儲設備默認成爲只讀狀態,需要通過修改註冊表實現,找到路徑:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control
在其下新建一個名爲“StorageDevicePolicies”的項,選中它,在右邊的窗格中新建一個名爲“WriteProtect”的DWORD值,並將其數值數據設置爲1
可通過如下實現:
reg add "HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\ Control\StorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f
4)上述的語句可以統一編寫成爲一個bat文件,在AD中做成開機腳本或用戶登錄腳本,即可實現批量更改。