組策略禁用usb閃存(1)
利用組策略讓系統可以使用USB接口但不能使用閃存。
筆者爲單位的系統管理員,管理50臺左右的電腦,因爲電腦多而人手不夠,爲方便管理,將電腦的軟驅、光驅全部拆除,前置USB口的連接線也拆掉,並在BIOS裏禁用了USB端口,設置了密碼,使USB端口不能使用,雖說在一定程度上控制了科室工作人員使用閃存,但也因爲USB口的禁用,而導致不能使用USB鼠標、打印機等設備。
最近有科室要求使用激光打印機及手寫板,激光打印機勉強找到了能連接的COM口,而手寫板設備只能使用USB接口。我想在禁止使用USB存儲器的情況下又不影響USB設備(打印機、手寫板)的使用,這該怎麼辦呢?
一、常用的方法不可行
我首先嚐試了以下兩個很多人常用的方法,結論是不可行。
1.使用USB控制軟件。下載了幾個USB控制軟件,如myusbonly、USB控制大師等,試用效果卻不盡如人意。Myusbonly的控制能力不錯,但是卻有個缺點,那就是當閃存插上後會出現閃存盤符,大約要延遲幾秒的時間盤符纔會消失。如果有人在這幾秒的時間內拷貝文件或是使用了帶病毒的閃存,那麼後果也會很嚴重。
2.隱藏磁盤分區。若能隱藏並禁止訪問磁盤分區,那麼也可以達到我想要的效果。單位採用的是域管理,客戶機使用權限較低的用戶登錄到域,大部分的操作都受到限制。客戶機電腦硬盤共3個分區,C盤跟D盤禁止訪問,只有E盤可供操作人員自由使用,此外還有一個網絡驅動器P盤,存放需要訪問的公共文件。可是在組策略中隱藏磁盤的七個選項都不符合我的要求,達不到只能訪問E盤跟P盤的效果(圖1)。
二、修改組策略文件隱藏驅動器
後來,偶然搜尋到了微軟網站的頁面“使用組策略對象隱藏指定驅動器”(頁面鏈接: http://support.microsoft.com/kb/231289/zh-cn),文中提到了用修改組策略文件的方法來達到隱藏及禁用磁盤分區的效果,於是立即參照操作。達到目的,方法如下。
1.確定數字與盤符的關係
因爲我需要隱藏及禁用的是除了E、P盤之外的磁盤分區,按照文章所述,需要隱藏的驅動器的值設爲1,不隱藏的驅動器的值爲0,那麼數字與盤符的對應關係如下表:
接下來將11111111110111111111101111字符串轉換爲十進制數字,這個用Windows自帶的計算器就可以辦到,轉換後的十進制數字爲:67076079。
組策略禁用usb閃存(2)
2.修改system.adm文件
搜索域控制器C盤下的system.adm文件,一下搜出來好幾個,且分佈在不同的文件夾,大小及修改日期都一樣。隨便複製了其中1個文件並用記事本打開,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079” ,如圖2。
然後繼續查找“Stings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驅動器"”,如圖3。
修改後進行保存並覆蓋掉原來的文件。
3. 編輯域用戶的組策略
重新啓動域控制器,打開“Active Directory用戶和計算機”編輯域用戶的組策略,在“用戶配置”→“管理模板”→“Windows資源管理器”的“隱藏我的電腦中這些指定的驅動器”和“防止從我的電腦訪問驅動器”的選項中果然就出現了“除E、P外的驅動器”選項,如圖4。
選擇該項並確定後,找了臺客戶機,開放其USB口,登錄到域後,插入閃存,右下角系統托盤區顯示了閃存標誌,但是在我的電腦裏卻顯示不出閃存盤符,在地址欄中輸入閃存盤符也提示不允許訪問,此時使用USB鼠標等設備卻沒有影響。成功地達到了禁用USB儲存器而不影響USB設備的使用。最後,爲保險起見,在組策略中禁用了自動播放。