源自微軟KB http://support.microsoft.com/kb/823732/zh-cn
如果計算機上尚未安裝 USB 存儲設備
如果計算機上尚未安裝 USB 存儲設備,請向用戶或組分配對下列文件的“拒絕”權限:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
這樣,用戶將無法在計算機上安裝 USB 存儲設備。
要向用戶或組分配對 Usbstor.pnf 和 Usbstor.inf 文件的“拒絕”權限,請按照下列步驟操作:
啓動 Windows 資源管理器,然後找到 %SystemRoot%\Inf 文件夾。
右鍵單擊“Usbstor.pnf”文件,然後單擊“屬性”。
單擊“安全”選項卡。
在“組或用戶名稱”列表中,單擊要爲其設置“拒絕”權限的用戶或組。
在“用戶名或組名 的權限”列表中,單擊以選中“完全控制”旁邊的“拒絕”複選框,然後單擊“確定”。
右鍵單擊“Usbstor.inf”文件,然後單擊“屬性”。
單擊“安全”選項卡。
在“組或用戶名稱”列表中,單擊要爲其設置“拒絕”權限的用戶或組。
在“用戶名或組名 的權限”列表中,單擊以選中“完全控制”旁邊的“拒絕”複選框,然後單擊“確定”。
如果計算機上已經安裝了 USB 存儲設備
警告: “註冊表編輯器”使用不當可導致嚴重問題,可能需要重新安裝操作系統。Microsoft 不能保證您可以解決因“註冊表編輯器”使用不當而導致的問題。使用註冊表編輯器需要您自擔風險。 如果計算機上已經安裝了 USB 存儲設備,請將以下註冊表項中的“Start”值設置爲 4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
這樣,當用戶將 USB 存儲設備連接到計算機時,該設備將無法運行。要設置“Start”的值,請按照下列步驟操作:
單擊“開始”,然後單擊“運行”。
在“打開”框中,鍵入“regedit”,然後單擊“確定”。
找到並單擊下面的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
在右窗格中,雙擊“Start”。
在“數值數據”框中,鍵入 4,單擊“十六進制”(如果尚未選中),然後單擊“確定”。
退出“註冊表編輯器”。
在實踐操作的時候,可以結合策略中的設定計算機安全屬性中的“登陸”和“文件系統”來做策略的分發
通過在登陸項目中新增機碼(主鍵)(注:一般dc如果沒有使用過usb設備,那麼usbstor這鍵值是不會產生的,可以手動添加此主鍵。策略分發到client後,會自動應用於client的註冊表中對應鍵值; 在添加用戶的時候可以酌情考慮,是使用domain users還是其他;權限的設置,請點擊修改旁邊的拒絕,這樣當usbstor主鍵權限繼承下去後,如果原來下面的子鍵已經有相應的權限,那麼也會以拒絕優先)
通過在檔案系統中新增資料夾(文件夾)(注:在指定文件夾路徑的時候,爲了使用win2k和winxp,請使用%systemroot%)
就可以完成這一點。
client登入後,如果插入usb設備,系統將會提示:
“您的安全性特殊權限不足,所以無法在這部電腦上安裝新的裝置.請聯絡您的站臺系統管理員,或者登出後重新以系統管理員的身分登入,然後再安裝一次.”
至此,USB禁止策略實施成功。