現(xiàn)在很多單位處于安全考慮，需要禁用USB存儲(chǔ)設(shè)備，防止員工通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等USB存儲(chǔ)設(shè)備復(fù)制電腦文件的行為，畢竟很多電腦文件常常是單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密。一旦泄密出去，將會(huì)對(duì)企業(yè)商業(yè)機(jī)密造成重大隱患。因此，如何保護(hù)電腦文件安全，就成為企業(yè)網(wǎng)絡(luò)管理的重要方面。而通過(guò)注冊(cè)表禁用usb存儲(chǔ)設(shè)備就是其中比較有效的一個(gè)方法。但是，每臺(tái)電腦都要設(shè)置注冊(cè)表也會(huì)非常麻煩，這種情況下，可以通過(guò)域控制器遠(yuǎn)程修改注冊(cè)表的方式來(lái)禁用USB存儲(chǔ)設(shè)備，具體方法如下：

一、通過(guò)域策略禁用USB存儲(chǔ)設(shè)備、域控禁用USB端口的方法

所以我們?cè)谟颦h(huán)境下就可以通過(guò)在DC上建立策略，客戶(hù)端應(yīng)用策略后我們就比一臺(tái)臺(tái)的去客戶(hù)端修改注冊(cè)表來(lái)的簡(jiǎn)單省事多了。

好的言歸正傳，大家先下載我博文中的附件，附件內(nèi)是該文中的核心。其次我想推薦大家可以在自己的DC上安裝GPMC組策略管理工具，來(lái)方便我們大家來(lái)對(duì)組策略管理已經(jīng)排錯(cuò)。

第一步：我們我們?cè)谟蚩刂破魃宵c(diǎn)擊開(kāi)始→運(yùn)行輸入GPMC.MSC”→點(diǎn)擊確定啟動(dòng)組策略管理。

650) this.width=650;" border=0>

第二步：打開(kāi)組策略管理，右鍵點(diǎn)擊zhp.com→點(diǎn)擊創(chuàng)建并鏈接（GPO）” →輸入組策略名稱(chēng)禁止USB”。因?yàn)槲覀冞@次的策略是希望企業(yè)內(nèi)所有計(jì)算機(jī)都應(yīng)用，故我們?cè)谟蚣?jí)別上創(chuàng)建一條GPO組策略。

650) this.width=650;" border=0>

第三步：右鍵點(diǎn)擊“禁止USB”策略→點(diǎn)擊編輯”→右鍵點(diǎn)擊計(jì)算機(jī)配置”下的管理模板”中的添加/刪除模板”。

650) this.width=650;" border=0>

第四步：在彈出的“添加/刪除模板”對(duì)話(huà)框中點(diǎn)擊添加”按鈕在彈出策略模板”對(duì)話(huà)框中來(lái)添加usb.adm”組策略模板。（這里我們可以事先把usb.adm”組策略模板拷貝到c:\windows\inf目錄下也可以通過(guò)路徑選擇usb.adm”組策略模板所存放的位置。）雙擊usb.adm” 組策略模板添加usb.adm” 組策略模板。

650) this.width=650;" border=0>

添加后，回到“添加/刪除模板”對(duì)話(huà)框，我們此時(shí)清楚看到添加/刪除模板”對(duì)話(huà)框中多了一個(gè)名稱(chēng)為USB”的組策略模板。

650) this.width=650;" border=0>

第五步：我們點(diǎn)擊“添加/刪除模板”對(duì)話(huà)框中的關(guān)閉”按鈕，回到組策略編輯器”對(duì)話(huà)框中。此時(shí)我們就可以看到計(jì)算機(jī)配置”下的管理模板”中多了一個(gè)Custom Policy Settings”。

650) this.width=650;" border=0>

第六步：右鍵點(diǎn)擊“管理模板”→“查看”→“篩選”。

650) this.width=650;" border=0>

在彈出的“篩選”對(duì)話(huà)框中去掉只顯示能完全管理的策略設(shè)置”前面的勾

650) this.width=650;" border=0>

再點(diǎn)擊“確定”按鈕返回組策略編輯器”畫(huà)面。

第七步：點(diǎn)擊“計(jì)算機(jī)配置”→“管理模板”→點(diǎn)擊Custom Policy Settings”→點(diǎn)擊Restrict Drives”

650) this.width=650;" border=0>

第八步：例如我們要禁止USB接口（大家可以放心，雖然我們禁止USB接口但是不影響我們使用USB接口的打印機(jī)、鍵鼠累設(shè)備），右鍵點(diǎn)擊“Disable USB”→點(diǎn)擊屬性”，彈出Disable USB” 屬性對(duì)話(huà)框。

650) this.width=650;" border=0>

我們首先點(diǎn)擊“已啟用”按鈕→在Disable USB Ports”中選擇Enabled”來(lái)啟用該策略。

650) this.width=650;" border=0>

注意：這里我要提醒的是，很多朋友可能在這里就把該策略點(diǎn)擊“已啟用”按鈕后，然后用GPupdate /force”來(lái)強(qiáng)行在客戶(hù)端和DC上刷新策略，最后發(fā)現(xiàn)為什么策略已經(jīng)啟用了，就是不生效呢。這里我要提醒大家就是一定要點(diǎn)擊“已啟用”后還要在下面選項(xiàng)中選為Enabled”，否則你做的策略是不會(huì)生效的。

此時(shí)我們點(diǎn)擊“應(yīng)用”→點(diǎn)擊確定”返回到組策略編輯器”對(duì)話(huà)框，我們可以看到Disable USB”狀態(tài)已經(jīng)變?yōu)橐褑⒂?rdquo;，關(guān)閉組策略編輯器”對(duì)話(huà)框返回組策略管理”對(duì)話(huà)框畫(huà)面。

650) this.width=650;" border=0>

二、域控制器禁用注冊(cè)表策略、域賬號(hào)禁用注冊(cè)表的方法

為了防止員工反向修改注冊(cè)表的方式來(lái)重新啟用USB存儲(chǔ)設(shè)備，我們還必須通過(guò)域控制器來(lái)禁用注冊(cè)表、禁止打開(kāi)注冊(cè)表編輯器

第一步：我們我們?cè)谟蚩刂破魃宵c(diǎn)擊開(kāi)始→運(yùn)行輸入GPMC.MSC”→點(diǎn)擊確定啟動(dòng)組策略管理。

650) this.width=650;" border=0>

第二步：打開(kāi)組策略管理，右鍵點(diǎn)擊zhp.com→點(diǎn)擊創(chuàng)建并鏈接（GPO）” →輸入組策略名稱(chēng)禁止訪(fǎng)問(wèn)注冊(cè)表”。因?yàn)槲覀冞@次的策略是希望企業(yè)內(nèi)所有計(jì)算機(jī)都應(yīng)用，故我們?cè)谟蚣?jí)別上創(chuàng)建一條GPO組策略。

650) this.width=650;" border=0>

第三步：右鍵點(diǎn)擊“禁止訪(fǎng)問(wèn)注冊(cè)表”策略→點(diǎn)擊編輯”→右鍵點(diǎn)擊計(jì)算機(jī)配置”→“管理模板”→點(diǎn)擊系統(tǒng)”。

650) this.width=650;" border=0>

第三步：右鍵點(diǎn)擊“組織訪(fǎng)問(wèn)注冊(cè)表編輯工具”→“屬性”彈出組織訪(fǎng)問(wèn)注冊(cè)表編輯工具”屬性對(duì)話(huà)框→點(diǎn)擊已啟用”→點(diǎn)擊應(yīng)用”→點(diǎn)擊確定”。

650) this.width=650;" border=0>

好的下面我們來(lái)驗(yàn)證下我們策略的效果，因?yàn)槲覀冏龅氖怯?jì)算機(jī)策略，我們首先在DC上運(yùn)行“GPupdate /force”命令然再到客戶(hù)端計(jì)算機(jī)重啟計(jì)算機(jī)來(lái)應(yīng)用該策略。此時(shí)我們發(fā)現(xiàn)我們?cè)诳蛻?hù)端計(jì)算機(jī)點(diǎn)擊開(kāi)始→運(yùn)行輸入Regdiet”則會(huì)提示如下圖所示：

650) this.width=650;" border=0>

到此我們“禁止注冊(cè)表”策略已經(jīng)完成。

三、通過(guò)一些電腦USB接口禁用軟件、禁用USB存儲(chǔ)設(shè)備軟件來(lái)禁用USB存儲(chǔ)設(shè)備。

雖然通過(guò)域控制器禁用u盤(pán)、域策略禁用USB端口的方法可以起到一定的作用，但是大部分局域網(wǎng)其實(shí)并沒(méi)有配備域控制器，那么這種情況下，如果人工去一臺(tái)一臺(tái)電腦修改注冊(cè)表來(lái)禁用U盤(pán)、禁用USB存儲(chǔ)設(shè)備，將會(huì)變得十分麻煩；同時(shí)，對(duì)于一些懂技術(shù)的員工，可以輕易通過(guò)反向修改注冊(cè)表的方式來(lái)達(dá)到重新使用USB端口的目的。那么這種情況下，各種網(wǎng)絡(luò)管控功能將會(huì)失效。因此，就需要借助于一些電腦usb端口禁用軟件、USB端口控制軟件來(lái)實(shí)現(xiàn)了。

大勢(shì)至usb端口控制軟件（下載地址：http://www.grabsun.com/monitorusb.html）是一款專(zhuān)門(mén)保護(hù)電腦文件安全，防止各種途徑泄密的軟件。不僅可以完全禁用U盤(pán)、禁用移動(dòng)硬盤(pán)等USB存儲(chǔ)設(shè)備，而且還可以禁止網(wǎng)盤(pán)、郵件、FTP文件上傳和QQ發(fā)送文件等各種途徑泄密，從而可以極大地保護(hù)電腦文件安全。此外，系統(tǒng)還可以禁止修改注冊(cè)表、禁止修改組策略等操作系統(tǒng)的關(guān)鍵位置，從而可以有效防止員工試圖通過(guò)修改操作系統(tǒng)的關(guān)鍵位置而重新泄密的行為。如下圖所示：

圖：大勢(shì)至電腦文件防泄密系統(tǒng)

總之，企業(yè)局域網(wǎng)禁用USB存儲(chǔ)設(shè)備，一方面可以通過(guò)域控制器、注冊(cè)表來(lái)實(shí)現(xiàn)；另一方面也可以借助于一些電腦USB接口禁用軟件、USB端口控制軟件來(lái)實(shí)現(xiàn)。具體采用哪種方法，企業(yè)可以根據(jù)的需要進(jìn)行選擇。

最新評(píng)論