爲了對USB更徹底的控制本次更新將對系統的usbstor.inf和usbstor.pnf的文件權限進行控制這兩個文件位於windows\inf目錄下(這兩個文件是USB存儲設備的驅動文件,本策略的原理是利用NTFS權限阻止普通用戶加載驅動),
注意事項:
(1)使用前請確認你的系統盤使用的是NTFS權限,否則此策略將無效。
(2) 此策略只能對計算機,不針對用戶
1、打開組策略編輯器gpmc,選擇計算機配置--安全設置--文件系統;
2、在右邊單擊鼠標右鍵選擇--添加文件;
3、選擇系統目錄下的C:\windows\inf\usbstor.inf文件,單擊確定;
4、出現權限設置對話框,注意這一步很重要一定要刪除所有的組;
5、出現如下對話框,繼續單確定;
6、按照如上方法再把C:\windows\inf\usbstor.pnf添加進去,如下圖;
7、找一臺客戶端計算機驗證策略,強制刷新策略,重新啓動計算機;
8、查看客戶端計算機c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS權限,發現裏面所有安全組已被刪除。策略應用成功,普通用戶無法再使用USB存儲設備。
先下載附件裏的usb.adm文件
詳細操作如下:
1,在DC裏的OU裏新建一條GPO組策略
2、添加至組策略----計算機配置----管理模板中,
3、注意在“查看”----“篩選”中去掉“只顯示能完全管理的策略設置”前面的勾
4、右鍵管理模板--點添加刪除模板--添加usb.adm的模板文件--點關閉窗口中出現custom policy settings進入,就可以看到那個設備的,右鍵你想設置的設備如disable usb 出現屬性對話框點已啓用在disable usb ports 中選enabled確定後重啓計算機,就會發現usb接口不能用了,要恢復就禁用或選disabled,其它設備也是同樣的操作.
爲了方便大家閱讀重新更新了一下圖片.
正確的使用方法是在要設置的驅動器裏選擇”Disabled”或”Enabled”
例1:禁用軟驅;
“Disabled Floppy”->選擇disabled Floppy Drive爲“Enabled”。
例2:啓用軟驅
“Disabled Floppy”->選擇disabled Floppy Drive爲“Disabled
