封堵用户USB接口(鼠标、键盘除外)方法
Windows xp系统
1.域用户组策略方法如下:
整个操作思路如下:
1).通过注册表修改的方式实现客户端电脑USB接口不能用。
2).利用BAT批处理文件自动执行的方式,实现客户端注册表的自动修改。 3).通过域组策略指派客户端电脑自动运行制定的批处理文件。
下面就如何实现上述操作以及可能碰到的问题进行阐述;
1).文件准备。本次操作需要准备两个文件,我将两个文件分别命名为usb.bat 和 usb.reg 。
文件内容分别如下: Usb.bat内容: @echo off
@regedit /s \\\\xxx.xxx.xxx.xxx\\netlogon\%usbstor.reg @echo on Exit
(备注:xxx.xxx.xxx.xxx代表域服务器的IP地址,使用时修改为自己域服务器的ip地址即可)
usb.reg内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR] \ \\
\0,5c,00,44,00,\\
1
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\\
00,52,00,2e,00,53,00,59,00,53,00,00,00 \大容量存储设备\
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR\\Security]
\,00,00,00,02,\\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 以上内容可以直接拷贝到txt记事本文件内,然后将后缀名修改为bat和reg保存就可以了。
(备注:\“如将start值改为'3',就代表打开USB接口功能。)
2).文件放置。上面的两个文件,usb.reg是为了实现修改客户端电脑注册表,使USB接口不能用。Usb.bat是为了让客户端可以自动导入usb.reg文件的。
将以上两个文件拷贝到以下路径:“\\\\xxx.xxx.xxx.xxx\\netlogon” (备注:xxx.xxx.xxx.xxx代表域服务器的IP地址,使用时修改为自己域服务器的ip地址即可。)以备后续调用。
3).编辑域服务器的组策略。
2
打开“AD用户和计算机”选中包含所有计算机的“组织容器”或“组”,右键—属性—组策略—新建一个组策略,选择 “计算机设置—管理模版—登陆—在用户登录时运行这些程序”策略,启用策略,在“显示—添加—添加项目“对话框中输入Usb.bat文件所在的网络路径。
(例如:\\\\192.168.0.1\\netlogon\%usb.bat, 192.168.0.1是域服务器的ip地址。)
4).强制刷新组策略。
在Win2000系统的计算机上使用secedit /refreshpolicy machine_policy /enforce命令强制计算机策略生效,而使用secedit /refreshpolicy user_policy /enforce强制用户策略生效;
在XP或2003的计算机使用gpupdate /force就可以使计算机策略和用户策略都进行刷新生效;
完成以上步骤,客户端通常就可以自动执行策略,关闭USB接口功能了,不过该方法对USB键盘、鼠标不起作用,只会关闭USB存储器。 **可能遇到的问题点及解决方案。
1).XP系统的客户端可能会弹出“打开文件-安全警告“询问是否运行批处理文件。
解决方法:修改域策略中bat文件的危险等级。
进入AD的默认域组策略,在 “用户配置--管理模板--windows组件--附件管理器”点“低等危险文件类型抱含列表--右键--属性” 选 “已启用” 再在指定低等危险扩展名里输入.bat 最后确定.ok了.如果你要加多个,比如同时要加exe和reg等,中间用“,”逗号分隔开。
备注:该策略应该在“在用户登录时运行这些程序”策略的前面,即上一级。也就是说要先于”在用户登录时运行这些程序” 策略前执行。这样才能避免弹出安全警告。
2).用户权限不够,无法导入usb.reg注册表文件。
解决方法:修改对应的注册表项的权限,使所有域用户都有权更改,同样可以
3
在域组策略中配置。
打开“AD用户和计算机”选中包含所有计算机的“组织容器”或“组”,找到前面新建的组策略,选择 “编辑” 进入“计算机设置—windows设置—安全设置
—
注
册
表
--右
键
--添
加
密
钥
,
选
中
“MACHINE\\SYSTEM\\CurrentControlSet\\Services”表项—“确定”,在弹出的“数据库安全设置”对话框中添加域用户(domain users)并为其分配“完全控制”权限,确定即可。
2.本机用户本地策略如下:
1). 点击『开始』菜单中的“运行”并键入“control userpasswords2“(不包括双引号)后确定,在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2). 在“运行”对话框中输入“regedit”,回车后,打开注册表编辑器,依次
展
开
如
下
分
支
[HKEY_LOCAL_MACHINE
\\SYSTEM\\CurrentCntrolSet\\Services\\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器,重新启动计算机,使设置生效。重启后,当有人将USB 存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器当中就是无法找到其盘符,因此也就无法使用USB设备了。
3).禁掉管理员帐号。
3.第三方软件
【大势至USB控制大师2013】专门是为了适应以上提到的种种需求而开发制作,软件优先采用MicroSoft公司最新USB2.0驱动、底层VXD/DDK驱动以及系统HOOK(API)技术实现,安全可靠稳定有保障,同时软件还具备对USB设备
4
自动识别能力,很多独创的加密控制技术在业界同类软件中处于领先水平,是企业或单位内部防止资料泄密外漏的最佳选择工具,另外软件还具有硬盘加密、上网控制、系统安全设置等功能。
【大势至USB控制大师20013】则采用C/S模式实现对公司或企业内部局域网中所有电脑的控制,管理员只需在管理端点几下鼠标,所有电脑的控制均掌握在自己手中。
【软件功能】
● 彻底禁止使用USB存储设备。「受到限制的存储设备包括:U盘、闪存、USB移动硬盘、USB刻录机、MP3、MP4、DV摄像机、手机存储卡等等,但本选项对于USB键盘、USB鼠标及USB手写笔等非存储设备不受影响」
● 彻底控制使用USB存储设备。「通过本功能可实现对USB存储设备进行“只读访问”、“禁止访问”、“读写访问”等驱动级别的控制,“只读访问”选项让USB存储设备只允许读取,不允许写入,用户可以从中读取、复制文件,但不能删除文件,不能修改文件或文件属性,更不能进行格式化或修改USB存储设备的物理扇区,而“禁止访问”则完全拒绝访问USB存储设备,一切对USB存储设备的访问修改操作即被禁止」
● 彻底禁止使用所有USB设备。「受到限制的USB设备包括:USB存储设备和非USB存储设备,即电脑上所有通过USB接口进行通信或传输的设备将被禁止使用,如:USB移动硬盘、USB鼠标等等」
● 禁止使用光驱和软驱。「该选项可禁止用户使用光盘驱动器和软盘驱动器,想通过光驱安装软件或通过软盘拷贝资料等行文都被完全禁止」
● 禁止上网。「该选项可以中断互联网的连接,达到禁止QQ、收发邮
5
USB口禁用系列
