關於辦公電腦的USB接口管控二三點

關於辦公電腦的USB接口管控二三點（網課學習筆記）

一：考慮到防病毒和保密的需求，公共機房和辦公用機都希望限制使用U盤等移動設備。其實限制計算機使用U盤有幾種方法，簡單說明如下：

1.修改bios，將usb接口Disableed。（針對G41、H61）針對新主板及筆記本不適用。

2.修改註冊表鍵值，將[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]下的Start雙字節鍵值由默認的3該爲4即可:

3.通過控制驅動文件對USB管控，處理USB存儲設備的作用文件：進入WINDOWS系統目錄，找到X：\Windows\inf(usbstor.inf和usbstor.pnf)，考慮到後續還會重新打開USB功能，所以處理配置文件時需做好備份

方法一：是通過自定義組策略進行限制使用移動設備。其實每一條組策略都會與一處或多處註冊表鍵值相對應。所以註冊表纔是windows系統管理的核心。

1：定製組策略模板,利用組策略管理網路，爲用戶提供了強大而高效的管理功能。然而有些功能在系統本身的模板裏並不存在，比如禁止訪問註冊表、修改屏幕分辨率。

 

2：系統自身的組策略文件存放在“%systemroot%\system32\GroupPolicy\***”文件夾，可以直接用記事本編輯，也可以將自定義模板的代碼添加到任意位置。

3：本文製作的DisableUSBDrives.adm原理就是通過上面提到的修改註冊表鍵值的方法實現限制移動設備使用。當有人將USB存儲設備連接到計算機時，雖然USB設備上的指示燈在正常閃爍，但在資源管理器當中就是無法找到其盤符，因此也就無法使用USB設備了。本文之所以不去簡單修改註冊表文件是因爲，組策略對於域模式下的系統管理對於客戶端數量較多的情況。

4：下面開始製作，建立一個記事本文件，寫入如下內容

*********************************************************************

Class MACHINE                                  

CATEGORY !!FirstCategory

 

    POLICY !!DisableUSBDrives

          EXPLAIN !!E_HELP

          KEYNAME

   "SYSTEM\CurrentControlSet\Services\usbstor"

     VALUENAME "Start"

     VALUEON NUMERIC 4

     VALUEOFF NUMERIC 3

    END POLICY

END CATEGORY

[strings]

FirstCategory="自定義組策略模板"

DisableUSBDrives="禁止使用移動設備"

E_HELP="開啓——表示禁止使用移動設備；未定義或者關閉——表示可以正常使用。

*********************************************************************

6：自定義模板的使用

A：將編輯完成的文件另存爲DisableUSBDrives.adm的組策略模板文件

B：在域模式下通過AD的用戶與計算機管理打開相應組織單元的組策略，如果是單機則

在運行中輸入gpedit.msc打開組策略編輯器

C：定位到計算機配置—管理模板。在管理模板上單擊右鍵，選擇添加/刪除模板

添加建立好的DisableUSBDrives.adm文件

D：添加後默認情況下並不能看到所添加的策略。右鍵單擊管理模板，選擇查看—篩選

在彈出的對話框中，啓用篩選需求，之後即可看到禁止使用移動設備的策略，點擊啓用，設置生效

二．通過系統註冊表管制USB存儲設備，考慮到通過BIOS禁止，會導致USB端口徹底失效而造成鼠標、鍵盤等外設的正常使用，而軟終端又會佔用系統內存導致計算機卡頓等情況，所以優先考慮通過註冊表進行管制,並且可以通過SCCM進行配置項管理。

實施步驟：判定範圍：win7  win10

1. 將USB存儲設備設置爲只讀。打開註冊表，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control，新建一個爲“StorageDevicePolicies”項，選中後，在右邊的窗格新建一個名爲“WriteProtect”的DWORD值，並將數值數據設置爲1，這樣USB存儲設備只具備讀取能力。

Regedit打開註冊表，選擇[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001  優盤只讀 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies   WriteProtect]

SCCM基線說明：建立規則名稱暫用英文   WriteProtect  1  只讀爲信息  0  可讀寫  無默認可讀寫報警                   

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]  "WriteProtect"=dword:00000000  優盤可讀寫     

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]   

註冊表項不存，則判定爲優盤可讀寫