通过组策略禁用U盘的使用

电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn1场景USB移动存储给我们带来便利的同时，也带有不少麻烦：信息泄露、病毒传播等。某单位希望将一些受限的计算机放置在某个OU中，禁用在这些计算机上使用USB存储设备。如果将某台计算机移出受限制的OU后，又可以使用USB存储设备了。如果需求不复杂，可以不使用第三方移动存储管理软件（多数需要在客户端安装软件），而是使用组策略来达到此目的。原理推荐阅读：=kb;en-us;823732两个要点：z第一次使用USB存储设备时，主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务，并且将这个服务启动。z以后要使用USB存储设备，UsbStor服务必须处于启动状态。启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值来控制。Start值的含义为：„0Boot„1System„2AutoLoad„3LoadOnDemand默认值„4Disabled有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。这种做法有一个弱点：如是一个人将U盘插入到从来没有使用过U盘的计算机时，Windows会自动安装UsbStor服务，并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。在这个时候，这个仍然可以使用USB存储设备！电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn2解决方案根据上面的分析，只有两者相结合才是最可靠的解决方案：1、我们需要防止USBSTOR服务被安装，除非这些用户是可以使用USB存储设备的。这可以通过在组策略中限制对USBSTOR.INF和USBSTORE.PNF访问，来访问即插即用功能自动安装驱动程序。2、通过管理模板来控制USBSTOR启动类型组策略1：控制对USBSTOR.INF和USBSTORE.PNF的访问1、打开ActiveDirectory用户和计算机；2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略；3、创建一个针对USB的GPO，比如命名为“只允许指定的用户组安装USB存储驱动程序”，然后点击编辑，打开组策略编辑器；4、进入组策略编辑器，依次展开计算机配置ÆWindows设置Æ安全设置Æ文件系统；5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf”，确定；6、在“数据库安全设置”中，删除Users，添加相应组，如下所示。然后，应用、确定；7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置；确认，退出设置；8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.pnf”进行设置；9、关闭组策略编辑器；电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn310、使用“gpupdate/force”，强行刷新策略。组策略2：控制对USBSTOR.INF和USBSTORE.PNF的访问1、创建自定义的管理模板文件。使用记事本创建一个文本文件，保存后缀为.adm文件，如USBStore.admCLASSMACHINECATEGORYServicesundDriversPOLICYUSBStorageKEYNAMESystem\CurrentControlSet\Services\usbstorPARTStartuptypeDROPDOWNLISTVALUENAMEStartITEMLISTNAME0-BootVALUENUMERIC0NAME1-SystemVALUENUMERIC1NAME2-AutoLoadVALUENUMERIC2DEFAULTNAME3-LoadOnDemandVALUENUMERIC3NAME4-DisabledVALUENUMERIC4ENDITEMLISTENDPART电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn4ENDPOLICYENDCATEGORY2、如果通过管理模板修改注册表，如果以后是不应用此策略了，这些值也不会恢复原有的值。所以，为了达到“仅对受限OU的计算机禁用USB移动存储设备，当计算机从受限OU中移除后又恢复USB移动设备的使用”的目的，所以建议先在域的级别上创建一个组策略--“允许使用USB移动存储设备”3、在组策略编辑器中添加自定义的管理模板电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn5电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn64、添加了自定义的模板后，由于筛选的原因，默认情况下并没有将设置荐显示出来电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn7清除只显示完全管理的策略设置这样，可以显示出来设置值电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn85、选择启动类型为3-LoadOnDemand电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn96、然后，在禁用USB移动存储设备OU上创建一个组策略--“禁止使用USB移动存储设备”。设置方法与前面相似，只不过是在启动类型中选择4-DisableFAQQ：如果管理员在已经被禁用USB移动存储的计算机上进行维护工作时，想临时启用USB移动存储，如何做？A：在已经安装了USB存储驱动的计算机上，可以在命令提示符下执行netstartusbstor。在使用之后，可以执行netstopusbstorQ：能否达到在指定计算机上，有的用户可以使用USB存储设备，有的用户则不能？A：由于是前面提供的是针对计算机的策略，故而无法针对用户来控制。如果想达到这个目的可以从用户登录脚本上想办法Q：如果客户端的系统所在的分区不是NTFS,那么这个安全策略是否起作用?A：如果系统所在分区不是NTFS，则无法对Usbstor.pnf、Usbstor.inf来设置许可，所以不能防止USB存储驱动程序的安装。电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn10电话：(0371)657063366570633765706339传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002主页：：service@mail.create.com.cn11Q：能否只允许用户使用某个U盘？比如“专盘专用”？A：第三方的软件如GFILANguard、CenterToolsDriveLock等可以达到此目的，这类软件需要客户端安装agent软件。Vista在USB存储管理上有一些新的增强。