禁用USB存储设备.docVIP

? 利用组策略让系统可以使用USB接口但不能使用闪存。 　　笔者为单位的系统管理员，管理50台左右的电脑，因为电脑多而人手不够，为方便管理，将电脑的软驱、光驱全部拆除，前置USB口的连接线也拆掉，并在BIOS里禁用了USB端口，设置了密码，使USB端口不能使用，虽说在一定程度上控制了科室工作人员使用闪存，但也因为USB口的禁用，而导致不能使用USB鼠标、打印机等设备。 　　最近有科室要求使用激光打印机及手写板，激光打印机勉强找到了能连接的COM口，而手写板设备只能使用USB接口。我想在禁止使用USB存储器的情况下又不影响USB设备（打印机、手写板）的使用，这该怎么办呢？ ??? 一、常用的方法不可行 　　我首先尝试了以下两个很多人常用的方法，结论是不可行。 　　1．使用USB控制软件。下载了几个USB控制软件，如myusbonly、USB控制大师等，试用效果却不尽如人意。Myusbonly的控制能力不错，但是却有个缺点，那就是当闪存插上后会出现闪存盘符，大约要延迟几秒的时间盘符才会消失。如果有人在这几秒的时间内拷贝文件或是使用了带病毒的闪存，那么后果也会很严重。 　　2．隐藏磁盘分区。若能隐藏并禁止访问磁盘分区，那么也可以达到我想要的效果。单位采用的是域管理，客户机使用权限较低的用户登录到域，大部分的操作都受到限制。客户机电脑硬盘共3个分区，C盘跟D盘禁止访问，只有E盘可供操作人员自由使用，此外还有一个网络驱动器P盘，存放需要访问的公共文件。可是在组策略中隐藏磁盘的七个选项都不符合我的要求，达不到只能访问E盘跟P盘的效果（图1）。 ?? 　　 ??? 二、修改组策略文件隐藏驱动器 　　后来，偶然搜寻到了微软网站的页面“使用组策略对象隐藏指定驱动器”（页面链接： /kb/231289/zh-cn），文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果，于是立即参照操作。达到目的，方法如下。 ?? 1.确定数字与盘符的关系 　　因为我需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表： ? ? ??????? 接下来将11111111110111111111101111字符串转换为十进制数字，这个用Windows自带的计算器就可以办到，转换后的十进制数字为 ??? 2.修改system.adm文件 　　搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly? VALUE NUMERIC?? ，如图2。 ? ???Windows 中有了组策略对象后，就有了下面这个让您隐藏指定的驱动器的选项：隐藏“我的电脑”中的这些指定的驱动器。但是，可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象 (GPO) 的 System.adm 文件来添加其他限制。七个默认选项是： 仅限制驱动器 A、B、C 和 D 仅限制驱动器 A、B 和 C 仅限制驱动器 A 和 B 限制所有驱动器 仅限制驱动器 C 只限制 D 驱动器 不限制驱动器 Microsoft 建议您不要更改 System.adm 文件，而要创建一个新的 .adm 文件并将此 .adm 文件导入到 GPO 中。原因是：如果您要对 system.adm 文件应用更改，则当 Microsoft 在 Service Pack 中发布新版本的 system.adm 文件时，这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”（实现基于注册表的组策略）这一白皮书介绍了如何编写自定义 .ADM 文件。要查看此白皮书，请访问下面的 Microsoft 网站： /download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppaper.doc (/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppaper.doc) 更多信息 默认域策略的 System.adm 文件的默认位置是： %SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{... 默认域策略的 System.adm 文件的默认位置是：