USB禁用usbstor 禁用usb接口
为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windowsinf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),
注意事项:
(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户
1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;
2、在右边单击鼠标右键选择--添加文件;
3、选择系统目录下的C:windowsinfusbstor.inf文件,单击确定;
4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;
5、出现如下对话框,继续单确定;
6、按照如上方法再把C:windowsinfusbstor.pnf添加进去,如下图;
7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;
8、查看客户端计算机c:windowsinfusbstor.inf及usbstor.pnf的NTFS权限,发现里面所有安全组已被删除。策略应用成功,普通用户无法再使用USB存储设备。
详细操作如下:
1,在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中,
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.
为了方便大家阅读重新更新了一下图片.
正确的使用方法是在要设置的驱动器里选择”Disabled”或”Enabled”
例1:禁用软驱;
“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。
例2:启用软驱
“Disabled Floppy”->选择disabled Floppy Drive为“Disabled
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" height=434>
将以下内容复制到记事本,另存为usb.adm文件
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEMCurrentControlSetServicesUSBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALNAME "Start"
ITEMLIST
NAME !!Disabled VAL NUMERIC 3 DEFAULT
NAME !!Enabled VAL NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEMCurrentControlSetServicesCdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALNAME "Start"
ITEMLIST
NAME !!Disabled VAL NUMERIC 1 DEFAULT
NAME !!Enabled VAL NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEMCurrentControlSetServicesFlpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALNAME "Start"
ITEMLIST
NAME !!Disabled VAL NUMERIC 3 DEFAULT
NAME !!Enabled VAL NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEMCurrentControlSetServicesSfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALNAME "Start"
ITEMLIST
NAME !!Disabled VAL NUMERIC 3 DEFAULT
NAME !!Enabled VAL NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
详细操作如下:
1,在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中,
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.
禁用USB接口
一般来说不管是大公司还是中小企业都会非常重视自己的网络安全,根据可靠资料显示表明造成计算机安全隐患的最主要原因有两个,一个是操作系统自身的漏洞以及使用者下载非法程序造成的,而另一种则是因为使用者使用带有病毒的移动介质(诸如U盘,移动硬盘,MP3,数码相机等)造成的,当用户把移动介质插在计算机上后病毒会迅速从移动设备上传播到本地计算机硬盘中。
第一种情况我们可以通过启用系统更新来避免,而第二种情况一直没有好的处理方法,毕竟日常工作中需要频繁的交换文件,这时不可避免的需要使用移动介质。不过对于一些企业的内部机房来说,可能平时只需要进行一些培训或者上网浏览操作,并不需要使用移动介质来传输数据,这时我们就可以通过禁用USB接口来实现对移动介质上病毒的防治目的。
一,什么样的设备才起作用?
本文将为各位读者介绍通过权限设置的方法防止USB设备被随意使用的方法,但是通过此方法后我们仍然可以使用一些USB外设,诸如USB打印机和扫描仪。被禁用的仅仅是移动存储介质——U盘、移动盘、MP3、数码相机等。所以说该方法一点也不会影响到日常工作。
二,文件权限法:
文件权限法说白了就是对管理USB存储设备的系统文件权限加以限制,把%SystemRoot%InfUsbstor.pnf和%SystemRoot%InfUsbstor.inf两个文件的“完全控制”权限去掉。该方法适用于电脑新安装后从来没有接过USB存储设备(即一次都没接过U盘之类的介质,当然打印机扫描仪等等不带存储功能的产品不算)。
第一步:启动Windows资源管理器,然后找到%SystemRoot%Inf文件夹。(如图1)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图1(点击看大图)
第二步:右键单击“Usbstor.pnf”文件,然后单击“属性”。 (如图2)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图2(点击看大图)
第三步:如果你没有看到“安全”标签,说明你的计算机C盘的文件格式不是NTFS,一般来说是FAT32。只有我们将该磁盘分区改为NTFS格式后才可以对某个文件或文件夹设置权限。我们可以在相应的C分区上点鼠标右键选择“属性”来查看是FAT32文件系统还是NTFS文件系统。(如图3)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图3(点击看大图)
第四步:如果我们的C盘分区文件系统是FAT32那么可以执行convert命令将其进行转换。具体方法是通过“开始->运行->输入CMD”进入命令行模式,然后键入convert c: /fs:ntfs。这样系统将自动把该分区的文件系统进行修改。不过由于是对C盘系统盘进行操作,所以转换过程需要在“下一次重新启动系统时才会运行”。(如图4)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图4(点击看大图)
第五步:但是有的时候即使你的系统转换成NTFS格式也没有出现安全标签,特别是对XP系统来说,当我们在想设置共享权限的文件夹上点鼠标右键选择“共享和安全”后出现的设置窗口中却没有“安全”标签。(如图5),要想共享只能把该文件夹或文件复制到“共享文档”中。实际上这是因为我们使用了简单共享方式,要想取消这种简单共享方式需要打开“我的电脑”,在上方菜单中选择“工具->文件夹选项”。在“查看”标签中找到“使用简单文件共享”,将其前头的对勾去掉即可。(如图6)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图6(点击看大图)
第六步:确定完毕后我们还需要设置一下“网络安装向导”。在文件夹属性中的共享标签点“网络安装向导”。(如图7)然后在网络安装向导中按照提示一步步进行即可。(如图8)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图7(点击看大图)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图8(点击看大图)
第七步:设置好网络安装向导后我们就可以和WINDOWS2000一样通过文件夹属性中的“共享”标签和“安全”标签来分配访问该目录的用户及其权限了。(如图9)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图9(点击看大图)
小提示:
默认情况下如果你是用administrator管理员帐户登录的系统,那么他是不能够被修改成没有权限访问系统文件夹中的数据的。要想禁用USB存储设备必须单独建立一个另外的帐户,哪怕他是管理员组的帐号也可以通过上面介绍的方法将其对于“Usbstor.pnf”文件的完全控制权限剥夺。
第八步:继续上面的设置工作,右键单击找到的“Usbstor.pnf”文件,然后单击“属性”。在安全标签中的“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组,当然你也可以通过“添加”按钮对单独用户进行设置。
第九步:在“组或用户权限”列表中,单击已选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。(如图10)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图10(点击看大图)
小提示:
在进行此步操作时还需要注意一点的是要将系统帐户也添加到“拒绝”列表中。
第十步:像寻找“Usbstor.pnf”文件及设置权限一样,我们还需要对“Usbstor.inf”进行同样的设置,右键单击“Usbstor.inf”文件,该文件也是存在于系统文件夹中的INF目录中,然后单击“属性”。(如图11)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图11(点击看大图)
第十一步:在弹出的设置窗口中单击“安全”选项卡。 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组,同样也可以利用“添加”按钮对单独用户进行设置。 。然后在“组或用户权限”列表中,单击已选中“完全控制”旁边的“拒绝”复选框,最后单击“确定”。(如图12)
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
图12(点击看大图)
当我们顺利的完成了对这两个文件的权限分配操作后,使用该被设置了对此两个文件拒绝访问权限的用户就无法再使用USB存储设备了,当把U盘或移动硬盘插到计算机的USB接口时只会收到“权限访问拒绝”的提示。当然正如上文所说连接USB接口的打印机或扫描仪都是没有问题的,一切正常,一点也不影响使用。
三,注册表限制法:
如果电脑已经用过USB存储设备,那么禁止起来就更加方便了,直接使用注册表文件进行导入操作即可。
禁止使用USB存储设备的注册表内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储设备"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORSecurity]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
我们将上面的代码保存成一个以REG为后缀的文本文件,然后双击该文件导入注册表就完成了禁止该计算机使用USB存储设备的操作。所有用户都无法用USB存储设备了,这点和上面仅仅是根据用户或用户组来限制的方法是不同的,效果更好应用范围更广。
开启USB存储设备使用权限的注册表内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储设备"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORSecurity]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
我们将上面的代码保存成一个以REG为后缀的文本文件,然后双击该文件导入注册表就完成了开启该计算机使用USB存储设备的操作。所有用户都可以使用USB存储设备。
四,总结:
本文提供了两种方法来解决病毒或木马通过USB存储设备进行传播的问题,通过两种方法对本地计算机的USB存储设备访问权限进行了限制,使得某个用户或所有用户都无法使用USB存储设备,两种方法各有利弊。第一种是针对某个用户或用户组进行限制的,而第二种则是对该计算机所有用户限制使用USB存储设备的方法,当然对于想在整个网络中多台计算机一起进行限制的话,笔者还是建议从应用出发,使用注册表导入的方法来完成,毕竟只需要一个文件然后运行即可,通过组策略或者某些广播软件可以轻松实现,省去了要往返于所有计算机分配文件夹访问权限的操作。
更多阅读
怎么解决扫描仪USB扫描仪无法识别问题 扫描仪usb无法识别
为了更方便地安装和使用扫描仪,不少入门用户都开始与USB接口的扫描仪进行了“亲密接触”。原以为USB扫描仪比普通接口的扫描仪好使用一些,可谁曾想到,USB扫描仪也时不时地给用户添乱。这不,以前能正常工作的扫描仪,转眼之间竟然成为
游戏手柄连接电脑如何设置 virtualbox的usb设备
游戏手柄连接电脑如何设置——简介许多街机游戏让人回味,于是就把他们安装在电脑上,过过童年的瘾。但是游戏手柄连接上电脑后,如何设置呢?游戏手柄连接电脑如何设置——工具/原料JoyToKey游戏手柄连接电脑如何设置——方法/步骤游戏手
什么是usb电风扇?usb电风扇有什么种类? 电风扇种类
什么是usb电风扇?usb电风扇有什么种类?——简介当夏天炎热的天气来临时,相信很多人都会觉得使用电脑时特别的热,所以通常大家都会在旁边摆上一部风扇凉快凉快。但是有时又觉得这样很不方便,在这里,小编给大家介绍一款usb电风扇。USB风扇是
USB电暖手套怎以样 高尔夫7 手套箱 usb
USB电暖手套怎以样——简介USB是英文Universal Serial BUS(通用串行总线)的缩写,而其中文简称为“通串线”。USB电暖手套是采用日本进口高科技碳纤维发热材料,用5V低电压(一般电脑USB接口),相当于4节5号小电池供电,发热的手套。USB电暖
电脑usb接口不能用没反应的诊断修复方法 usb接口没反应怎么办
当出现电脑usb接口不能用没反应的时候,我们千万别慌张,不要认为电脑坏了不能修复了,我们现在就为介绍修复方法,我们首先检查一下插入的设备是否正常,如鼠标、U盘等是不是好的,如果在别的机子上也不能读出,就要考虑插入的设备有问题了。如果