2012年7月31日 星期二

使用群組原則禁止使用USB

如有Windows 2008 R2以後的Server可以直接使用Windows 2008中的群組原則管理編輯器。

針對使用者設定:\\使用者設定\喜好設定\Windows 設定\登錄
針對電腦設定:\\電腦設定\喜好設定\Windows 設定\登錄。
加入以下登錄資訊即可

Hive:HKEY_LOCAL_MACINE
機碼路徑:SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
數值名稱:WriteProtect
數值類型:REG_DWORD
數值資料: 00000001
基底:十六進位

某些狀況下,系統管理員會從AD 下手,將USB 、CD-ROM、Floppy用「群組原則」給鎖起來,使用方法即可將設定給解開(前提:USER為Administrators群組人員)。

要設定USB的群組原則時,需先確認USB驅動程式是否已正常安裝,如果沒正常安裝,有可能是從bios即被停用,此種狀況需先從bios作設定(如放電)

以下為windows 2000以後的設定方法:
  • 先把下列群組設定存成一個檔案如:usb.adm

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname

POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY

POLICY !!policynameusbreadonly
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextusbreadonly
PART !!labeltextusbreadonly DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY

POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY

POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY

POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="自定群組管理原則"
categoryname="禁止卸除式硬體"
policynameusb="禁止USB隨插即用裝置"
policynameusbreadonly="禁止USB隨插即用裝置的寫入權限"
policynamecd="禁止光碟機"
policynameflpy="禁止軟碟機"
policynamels120="禁止高容量軟碟機"
explaintextusb="關閉這部電腦上的USB裝置,停用 usbstor.sys 驅動"
explaintextusbreadonly="關閉這部電腦上的USB裝置的寫入權限,修改 WriteProtect 保護"
explaintextcd="關閉這部電腦上的CD-ROM裝置,停用 cdrom.sys 驅動"
explaintextflpy="關閉這部電腦上的軟碟機裝置,停用 flpydisk.sys 驅動"
explaintextls120="關閉這部電腦上的高容量軟碟機裝置,停用 sfloppy.sys 驅動"
labeltextusb="關閉 USB Ports"
labeltextusbreadonly="關閉USB隨插即用裝置的寫入權限"
labeltextcd="關閉 CD-ROM 裝置"
labeltextflpy="關閉軟碟機裝置"
labeltextls120="關閉大容量軟碟機裝置"
Enabled="啟用"
Disabled="停用" 

  • 這個功能可以在AD使用,也可以使用在本機電腦裡。適用Windows 2000 以後的作業系統 
  • 本機電腦請照以下步驟操作:
  1. 「開始」=>「執行」=>「gpedit.msc」,執行「群組原則」設定程式
  2. 進到群組原則後,選擇「電腦設定」=>「系統管理範本」。然後按右鍵,選新增移除範本。按下新增,選擇剛剛的usb.adm,然後按「關閉」 
  3. 按下MCC上方的「檢視」=>「篩選」=>「只顯示可以完全管理原則設定」取消勾選
  4. 回到系統管理範本,會多出一項「Custom Policy Settings」,即可設定相關硬體裝置(USB、CD-ROM、Floppy)
  5. 設定USB 裝置時其名稱為,其子項目裡的「Disabled USB Port = Enable」代表「啟用禁止功能」(不能使用USB)
    如果要能使用USB Device ,則需改成「Disabled USB Port = Disable」,即可正常使用USB裝置
  6. 設定ok 後,如果沒有馬上生效,則執行「開始」=>「執行」=>「gpupdate /force」即會馬上生效
    1. USB裝置可能需要重新插入
    2. 光碟機則需要重新開機。

  • AD群組派送請照以下步驟操作:
  1. 「開始」=>「執行」=>「gpmc.msc」,執行「群組原則管理」設定程式
  2. 進到群組原則管理後,選擇「群組原則物件」=>新增GPO「Disable_USB」。然後點選「Disable_USB」按右鍵「編輯」,點選\\電腦設定\系統管理範本\,按右鍵選新增移除範本。按下新增,選擇剛剛的usb.adm,然後按「關閉」
  3. 按下MCC上方的「檢視」=>「篩選」=>「只顯示可以完全管理原則設定」取消勾選
  4. 回到系統管理範本,會多出一項「Custom Policy Settings」,即可設定相關硬體裝置(USB、CD-ROM、Floppy)
  5. 設定USB 裝置時其名稱為,其子項目裡的「Disabled USB Port = Enable」代表「啟用禁止功能」(不能使用USB)
    如果要能使用USB Device ,則需改成「Disabled USB Port = Disable」,即可正常使用USB裝置 
  6. 將 「Disable_USB」連結至AD上的站台、網域或組織單位。並設定要套用至那些群組、使用者或電腦。
  7. 設定ok 後,如果沒有馬上生效,則於要套用的電腦端執行「開始」=>「執行」=>「gpupdate /force」即會馬上生效
    1. USB裝置可能需要重新插入
    2. 光碟機則需要重新開機。

參考來源:
http://192.192.75.66/elearn/winserver/
http://rabbitming.pixnet.net/blog/post/14326314-%5B%E6%95%99%E5%AD%B8%E8%BD%89%E8%BC%89%5Dusb%E5%A4%A7%E5%AE%B9%E9%87%8F%E5%84%B2%E5%AD%98%E8%A3%9D%E7%BD%AE%E5%AE%89%E5%85%A8%E7%A6%81%E7%94%A8%E5%A4%A7%E6%B3%95
http://blog.db.idv.tw/2008/09/usb-device.html

沒有留言:

張貼留言