通过组策略及注册表如何禁用USB设备
2007-08-25 20:53
423 查看
通过组策略及注册表如何禁用USB设备!!
还没有休完假,就接到头的电话,说要在办公室里部分机器上,禁用USB设备,唉,命苦啊,不得不开始实验过程,还好,我有二台台式的,二台手提,可供做实验,不然,死翘翘了。这些是废话,可略过不看也!!
1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。注册表文件是:
Windows 2000下
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub
或是
winxp ,win2k3下
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbstor
2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过
通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具——域安全策略——计算机配置——WINDOWS设置——安全设置——文件系统,单击右键——添加文件或文件夹。找到c:/windows/inf/usbstor.inf 和usbstor.pnf,并添加之
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0>
然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0 pop="点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小" resized="true">
确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0 pop="点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小" resized="true">
Windows XP USB Mass Storage Device Security FAQ
Q:
我们单位是个安全单位,对于数据的安全有很高的要求。我们单位的计算机上均装有Windows XP但我们单位有不少些同事使用USB FlashDisk(闪盘)接在我们单位的计算机上。领导很担心数据的外泄,也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来,怎么办呢?
A:
1、给所有用户设上非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"control userpasswords2"(不包括双引号)後确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户 的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用 convert 命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"(不包括双引号)後确定
b、在CMD命令行下键入"convert x: /FS:NTFS"(不包括双引号且其中的x表示欲转换的盘符)
3、为%SystemRoot%/Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件,点击“属性”,在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮,在打开的“权限”页中去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定
[注:欲看到文件属性的“安全”标签,需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。并且Home版需要进入安全模式下进行了前面文件夹选项设置後才可见]
Q:
上面的办法确实有效果,不过有不少机子已经装过USB Mass Storage Device了,好像已经加载过上面提到的两个文件了,对于那些机子似乎就没什么作用了,对于这一类的机子该怎么办呢?
A:
对于已经加载过上面提到的Usbstor.pnf和Usbstor.inf这两个文件的系统使用上面提到的办法确实无效了,那么请使用下面方法
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR
将名为 Start 的DWORD键键值修改为十六进制的 4
[注:此法达到的效果为插入USB 存储设备无任何反应,并且盘符也不会出现,在“磁盘管理”中也看不到该移动存储设备。达到无处外泄数据和病毒无法被读取的目的]
Q:
确实,按照上面的方法去做,没有任何反应了,也不会有盘符弹出,在“磁盘管理”中也看不到该移动存储设备了,不过不少同事可是一般把要完成的在家完成后存到闪盘里再带到单位来提交,如果按照上面的办法的话,连闪盘上的东西都无法保存转移到计算机上来。我们这边有病毒实时监控,而且给用户设上了受限权限,即使有病毒也是没什么大碍的,而且还升到了SP2了,应该不用担心太多安全方面的问题,所以该怎么办呢?
A:
如果有病毒实时监控,可要注意经常更新病毒定义库。如果是Windows XP with SP2的话,那就好办了,可以通过下面办法达到,可以读取闪盘上的数据,但却无法将计算机上的数据保存到闪盘上,从而保证了数据的不外泄。
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePolicies
如果在注册表项 Control下找不到名为 StorageDevicePolicies 的注册表项,那么则手动建立即可
c、在 StorageDevicePolicies 注册表项下建立名为 WriteProtect 的DWORD值,并将其键值定义为 1 即生效
[注:此法的效果为使用闪盘时插入闪盘,系统会如常显示出盘符,但是只能读出闪盘中的数据文件,而无法往闪盘中写入数据,从而达到防止数据外泄的目的。此法仅对Windows XP SP2有效,考虑到2003Server SP1其本质和XP SP2很像,故而大胆预测2003Server SP1应用此法一样有效。]
Q:
看来当初升级到SP2确实没白装啊,用了上面的办法到Windows XP RTM上居然是无效的。上面的方法似乎已经是最完美的了,不过发现有些同事不知道用了什么办法好像突破了这个限制,而往他的MP3上拷贝了MP3,虽然他没拷贝重要数据文件,但说明是有漏洞的啊,这该怎么办呢?
A:
估计是该用户的权限太高,要么更改为受限用户,要么去掉他对该注册表键值的控制权限即可。
如果该用户确实需要有足够的权限来完成某些任务,那么只有去掉他对该注册表键值的控制权限了
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)后确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePolicies
在该StorageDevicePolicies注册表项上右击菜单后点“权限”
c、在 “StorageDevicePolicies 的权限”中点击该用户后在“完全控制”后勾选“拒绝”复选项
d、点击“高级”按钮后去掉从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定两次即可
自我编后总结:
该FAQ以一个安全单位的管理员的疑问角度来撰写,并且就WinXP的USB存储设备的这方面的应用提出几个安全相关的疑问和解决办法。但实际上还有不少其它的数据外移手段如软盘、刻录光盘、网络等手段。所以要做好数据的防外泄有关工作光在这个USB闪盘上还不够,USB闪盘或移动硬盘只是因为普及且易携带,所以应该着重于这方面的防外泄工作。上面都是有关于技术防外泄的,实际操作中还应配合着制度等的规定来达到防外泄的目的以保护单位数据安全。
还没有休完假,就接到头的电话,说要在办公室里部分机器上,禁用USB设备,唉,命苦啊,不得不开始实验过程,还好,我有二台台式的,二台手提,可供做实验,不然,死翘翘了。这些是废话,可略过不看也!!
1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。注册表文件是:
Windows 2000下
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub
或是
winxp ,win2k3下
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbstor
2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过
通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具——域安全策略——计算机配置——WINDOWS设置——安全设置——文件系统,单击右键——添加文件或文件夹。找到c:/windows/inf/usbstor.inf 和usbstor.pnf,并添加之
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0>
然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0 pop="点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小" resized="true">
确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0 pop="点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小" resized="true">
| 如果,使用过了USB设备了,(或者不是域控怎么办?)呵呵,当然是通过注册表键值来搞定了! 找到键值所在的注册表位置,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub(2000系统下)或HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbstor(XP OR 2K3) ,在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了;如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4!!! 如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR] "Type"=dword:00000001 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,/ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,/ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB 大容量存储驱动程序" 重启机器吧,就可以了。  screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图/nCTRL+鼠标滚轮放大或缩小';}" border=0 pop="点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小" resized="true"> 另注,如果是想省些功夫,可以通过组策略来分发启动脚本的方式来达到禁用的目的!各位去试吧! 如果是几台独立服务器或是PC机,也可以直接设置c:/windows/inf/usbstor.inf 和usbstor.pnf这两个文件的权限的!! 如果较多独立服务器或是PC机的,干脆就做个注册表文件,提供他们下载,导入就行了!!嘿嘿,要重启才能生效! |
Windows XP USB Mass Storage Device Security FAQ
Q:
我们单位是个安全单位,对于数据的安全有很高的要求。我们单位的计算机上均装有Windows XP但我们单位有不少些同事使用USB FlashDisk(闪盘)接在我们单位的计算机上。领导很担心数据的外泄,也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来,怎么办呢?
A:
1、给所有用户设上非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"control userpasswords2"(不包括双引号)後确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户 的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用 convert 命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"(不包括双引号)後确定
b、在CMD命令行下键入"convert x: /FS:NTFS"(不包括双引号且其中的x表示欲转换的盘符)
3、为%SystemRoot%/Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件,点击“属性”,在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮,在打开的“权限”页中去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定
[注:欲看到文件属性的“安全”标签,需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。并且Home版需要进入安全模式下进行了前面文件夹选项设置後才可见]
Q:
上面的办法确实有效果,不过有不少机子已经装过USB Mass Storage Device了,好像已经加载过上面提到的两个文件了,对于那些机子似乎就没什么作用了,对于这一类的机子该怎么办呢?
A:
对于已经加载过上面提到的Usbstor.pnf和Usbstor.inf这两个文件的系统使用上面提到的办法确实无效了,那么请使用下面方法
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR
将名为 Start 的DWORD键键值修改为十六进制的 4
[注:此法达到的效果为插入USB 存储设备无任何反应,并且盘符也不会出现,在“磁盘管理”中也看不到该移动存储设备。达到无处外泄数据和病毒无法被读取的目的]
Q:
确实,按照上面的方法去做,没有任何反应了,也不会有盘符弹出,在“磁盘管理”中也看不到该移动存储设备了,不过不少同事可是一般把要完成的在家完成后存到闪盘里再带到单位来提交,如果按照上面的办法的话,连闪盘上的东西都无法保存转移到计算机上来。我们这边有病毒实时监控,而且给用户设上了受限权限,即使有病毒也是没什么大碍的,而且还升到了SP2了,应该不用担心太多安全方面的问题,所以该怎么办呢?
A:
如果有病毒实时监控,可要注意经常更新病毒定义库。如果是Windows XP with SP2的话,那就好办了,可以通过下面办法达到,可以读取闪盘上的数据,但却无法将计算机上的数据保存到闪盘上,从而保证了数据的不外泄。
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePolicies
如果在注册表项 Control下找不到名为 StorageDevicePolicies 的注册表项,那么则手动建立即可
c、在 StorageDevicePolicies 注册表项下建立名为 WriteProtect 的DWORD值,并将其键值定义为 1 即生效
[注:此法的效果为使用闪盘时插入闪盘,系统会如常显示出盘符,但是只能读出闪盘中的数据文件,而无法往闪盘中写入数据,从而达到防止数据外泄的目的。此法仅对Windows XP SP2有效,考虑到2003Server SP1其本质和XP SP2很像,故而大胆预测2003Server SP1应用此法一样有效。]
Q:
看来当初升级到SP2确实没白装啊,用了上面的办法到Windows XP RTM上居然是无效的。上面的方法似乎已经是最完美的了,不过发现有些同事不知道用了什么办法好像突破了这个限制,而往他的MP3上拷贝了MP3,虽然他没拷贝重要数据文件,但说明是有漏洞的啊,这该怎么办呢?
A:
估计是该用户的权限太高,要么更改为受限用户,要么去掉他对该注册表键值的控制权限即可。
如果该用户确实需要有足够的权限来完成某些任务,那么只有去掉他对该注册表键值的控制权限了
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)后确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePolicies
在该StorageDevicePolicies注册表项上右击菜单后点“权限”
c、在 “StorageDevicePolicies 的权限”中点击该用户后在“完全控制”后勾选“拒绝”复选项
d、点击“高级”按钮后去掉从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定两次即可
自我编后总结:
该FAQ以一个安全单位的管理员的疑问角度来撰写,并且就WinXP的USB存储设备的这方面的应用提出几个安全相关的疑问和解决办法。但实际上还有不少其它的数据外移手段如软盘、刻录光盘、网络等手段。所以要做好数据的防外泄有关工作光在这个USB闪盘上还不够,USB闪盘或移动硬盘只是因为普及且易携带,所以应该着重于这方面的防外泄工作。上面都是有关于技术防外泄的,实际操作中还应配合着制度等的规定来达到防外泄的目的以保护单位数据安全。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 通过组策略及注册表如何禁用USB设备
- Windows系统如何通过修改注册表启用/禁用任务管理器
- 注册表和组策略同时被禁用如何恢复
- Server系列17:如何通过组策略禁用域用户默认共享?
- 如何通过组策略禁用outlook exchange add-in,控制会议室管理工具
- 如何在运行 Windows Vista 的计算机上禁用并重新启用休眠(我的笔记本成功通过)
- 如何通过禁用按钮避免jQuery.ajax重复请求
- 如何通过组策略将指定用户加入本地计算机管理员组
- 如何在 Windows Server 2008 中通过组策略向计算机或用户部署网络打印机?
- 通过组策略禁用U盘的使用
- 如何通过组策略自动启用客户端远程桌面功能?
- 教大家如何通过注册表修改远处桌面3389端口
- 如何通过注册表,配置IE可信站点,兼容视图,ActiveX策略
- 好系统重装助手教你如何通过修改注册表完全删除程序
- 如何通过注册表修改桌面计算机/用户文档图标
- 技术QA:如何在 Windows Server 2008 中通过组策略向计算机或用户部署网络打印机? 推荐
- 如何使用vs对程序进行打包?怎么通过注册表获取安装路径?
- 如何禁用注册表 解禁注册表
- 如何使用组策略或注册表设置配置自动更新
- 在Oracle如何通过配置可以禁用Form的导出功能(Form-->Export的功能)