中国领先的IT技术网站
|
|

利用Windows组策略禁用U盘

本文介绍了用Windows组策略功能封杀U盘的方法。

作者:佚名来源:天极网|2011-07-21 11:12

【沙龙】51CTO诚邀您9月23号和多位技术大咖一起聊智能CDN的优化之路,抓紧时间哦!


利用Windows组策略禁用U盘是如何实现的呢?具体内容如下所述。

如今U盘的使用很普遍了,无论品牌机还是兼容机,大伙在购置回家后都喜欢搭配上个U盘,拷起东西来很方便。然而,在单位由于受到商业竞争的原因,大多数机器上是不允许使用U盘的,因为那样老板心里不舒服,担心商业泄密。这不,最近单位老总要求本人彻底封杀U盘(除了有特权的用户)。赶快行动吧,不然老板怪罪下来,吃不了可兜着走。

我们单位大多数使用的是window2000、windowxp系统。Window98所占的比例不多,因此重点放在屏蔽window2000、windowxp上。关于封杀usb接口的文章在网上挺多的,大多数是通过cmos的修改来屏蔽usb接口,或者是将window系统中的i386文件夹下的设备压缩包彻底删除,再者就是通过停用usb总线控制器。这些方法有的在达到目的的同时,也阻碍了其他设备的应用,效果不是很友好。这让我想到了是否应用Windows组策略来实现封杀的目的,因为在原来我曾利用它封杀过某个盘区的使用,当然不是因为私人的物件也是为了产品的保密。思路很好,那实践一下看看效果如何吧?

当然,通过组策略禁止U盘需要一定的计算机系统知识,如果你觉得复杂,也可以通过专门的U盘管理软件来实现,例如当前国内使用较多的“大势至USB控制系统”(下载地址:http://www.grablan.com/monitorusb.html),通过在电脑上安装之后就可以完全禁止U盘、移动硬盘、手机存储(现在手机存储空间挺大的)等USB存储设备,而不影响USB鼠标键盘的使用,同时也可以防止被员工突破,可以很好地保护单位商业机密和信息安全,有兴趣的网友可以下载使用。

首先,在“开始—>运行.”中输入”gpedit.msc”后,便打开了如下图1所示:

利用Windows组策略禁用U盘

图 1

我们就是利用“防止从‘我的电脑”访问驱动器“来设置禁止usb接口。双击打开启用后,发现并不像我们想象的那样驱动盘符都存在,如图2所示:

利用Windows组策略禁用U盘

图 2

而且存在这么一个问题,每个电脑的分区数不同,分配给U盘的区号也不同,怎样将其封杀呢?

经过一段时间的摸索,我找到了控制Windows组策略的模板文件,它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm,用笔记本打开后,截图如图3:

利用Windows组策略禁用U盘

图 3

呵呵,发现了吧?在“NAME!!×Only VALUENUMERIC ×”语句,前面的好似一个定义,跟我们在图2看到的效果相似,而且有这么句“low 26 bits on(1bit per drive)”,意思说“26位每一个设备占1位”。每个分区是按着1、2、4、8、16、32、等逐步递增,于是经过试验,果然如此,只要将除了硬盘分区保留外,我们将所有的字母写上,同时算出数值。

即将:

NAME!! EFGHIONLY VALUE NUMERIC 496

(注:我这里只是举了5个盘符,为什么?后面说明)

将上面的语句在“!!NoDrives_Help”和“!!NoViewOnDrive”两个地方上填写。并且在图4所示的位置,也要加入一行:

利用Windows组策略禁用U盘

图 4

EFGHIONLY=“限制驱动器E、F、G、H、I”。

否则,在你重新打开gpedit时会出错误信息。当所有工作做完后,保存该文档,打开Windows组策略,看看效果:

图5所示:

利用Windows组策略禁用U盘

图 5

呵呵,是吧?在下拉菜单中出现了我们设置的驱动器号了。

选中它后点击确定。拿U盘试一下,果然,出现了图6的警告提示:

利用Windows组策略禁用U盘

图 6

此时,也许你会问通过这样一改,注册表发生了什么变化吗?运行“regedit”,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的“NoViewOnDrive”键值赋予了十六进制“1f0”,换算成十进制是多少?呵呵,不要告诉我,你不会么!

(注:由此,我们得到了用注册表来封闭U盘的方法)

虽然,U盘被封住了,但是通过计算机管理中的磁盘管理,更改U盘的盘符,找个26个字母的后某一位。结果U盘有复活了。这就是为什么前面提到要多算几个盘符的数值的原因。

到这里,其实封闭工作也做的的差不多了。假设还不放心,如果用户打开Windows组策略,更改设置怎么办?那我们通过运行注册表,打开:[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]下的“Restrict_Run”的键值,改为“1”。当有的用户想运行Windows组策略时,就出现了如下图7提示:

利用Windows组策略禁用U盘

图 7

嗯,这下,不通过注册表,administrator也休想打开了。

最后,关于win98上面的封杀办法,我们可以通过控制驱动来实现,相对来说简单。

利用Windows组策略禁用U盘已经介绍完了,好了,感兴趣的朋友,赶快试验一下吧!更多有关组策略的知识有待于读者去学习和巩固。

【编辑推荐】

  1. Windows组策略本地设置与审计
  2. 设置U盘在Ubuntu 10.10不自动播放
  3. Windows组策略完善主机安全整改实战
  4. 五个必须立刻实施的Windows组策略选项
  5. 利用Windows组策略管理网络共享的技巧
【责任编辑:韩亚珊 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

数据挖掘:概念与技术

本书第1版曾被KDnuggets的读者评选为最受欢迎的数据挖掘专著,是一本可读性极佳的教材。它从数据库角度全面系统地介绍了数据挖掘的基本概念...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 学习达标赢Beats耳机