技术分享
Windows域控制器限制用户使用USB存储设备
00 分钟
2024-7-1
2024-7-8
type
status
date
slug
summary
tags
category
icon
password
全公司用户电脑版本为Windows 10专业版。

计算机配置

1、在组策略管理中的组策略对象中,新建一个组策略命名为“禁止USB存储” 2、编辑组策略,计算机配置——策略——管理模版:从本地计算机中检索的策略定义(ADMX文件)——系统——可移动存储访问
notion image
notion image
 
通过双击上面的禁止安装可移动设备,然后再配置中选择已启用,即可在win7下禁止使用U盘、移动硬盘的使用。
 
notion image
 
另外一种方法是通过注册表来禁止U盘使用、禁用USB存储设备。具体如下: 1、运行REGEDIT 2、展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 3、右击Start,将其值改为4,则可将U盘禁用,若要取消禁用,只需将4改回3.
 

用户配置

编辑组策略-用户配置-策略-管理模板:从本地计算机中检索的策略定义(ADMX文件)-系统-可移动存储访问
notion image
 

区别

notion image
 

允许或禁止使用指定设备

一些情况下,并不需要对所有设备进行统一的封杀。例如,备份专用的移动硬盘等。因此,需要灵活实现组策略的配置,就需要用到限制设备 ID 的做法。
 
计算机配置 -> 管理模板 -> 系统 -> 设备安装 -> 设备安装限制
notion image
通过对“设备安装限制”下的
  • 允许安装与下列设备 ID 相匹配的设备
  • 阻止安装与下列任何设备 ID 相匹配的设备
 
设备 ID,即设备的永久唯一标识符。设备 ID 可用于识别或查找设备。
先将希望被阻止的设备连接至计算机,然后使用“设备管理器”查看其设备 ID。打开“设备管理器”(可以在开始菜单搜索框中输入:devmgmt.msc),在设备列表中找到需要被阻止的设备,并右键单击打开“属性”窗口,在“属性”窗口中查看:详细信息 -> 属性:
notion image
 
启用该组策略并配置,单击“显示”按钮,将刚才复制的“硬件 ID”填入“硬件 ID”
notion image
 

其他限制功能

使用同样的方法,可以实现对一类设备的特殊管理,只需使用其“设备类 GUID”配合不同的组策略管理条目即可。
在组策略中,刚才我们使用的那两个分类下,还有诸多条目可以控制光驱、软驱、磁带机等设备。用户可以通过不同的策略配置以实现更加丰富灵活多变的管理。

参考

使用组策略限制设备使用
随着 USB 接口设备的普及,给我们带来方便之余,伴随着也带来了不少风险,例如病毒、机密文件丢失等问题。现在有不少公司、企业,甚至是学校,为了防止各种风险,都不希望员工使用 U 盘或者其他可移动存储设备。传统的做法都是将 USB 接口堵死,将其用玻璃胶封住,这样子做,不仅破坏了硬件,导致其他 USB 设备无法使用,而且其工作量实在是大——如今的电脑动辄就有十来个 USB 接口,一个机房至少也有几十台计算机。
使用组策略限制设备使用
https://learn.microsoft.com/zh-cn/previous-versions/msdn10/ff805226(v=msdn.10)
使用组策略限制设备使用
刷新组策略
了解如何在本地计算机上手动刷新组策略。
刷新组策略
https://learn.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/server-certs/refresh-group-policy
刷新组策略
使用组策略管理设备安装 - Windows Client Management
了解如何使用 组策略 管理设备安装限制。
使用组策略管理设备安装 - Windows Client Management
https://learn.microsoft.com/zh-cn/windows/client-management/client-tools/manage-device-installation-with-group-policy
使用组策略管理设备安装 - Windows Client Management
上一篇
使用组策略配置Windows防火墙设置和规则
下一篇
查看AD域控用户最后登录时间