关于如何使用策略禁止USB的问题
日前,在Winmag和emerbor(△)朋友讨论 :[求助]如何在Windows 2000下禁止打游戏!!!!
(原帖见于 http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=5&id=481941)
其中提到的关于删除游戏和禁止usb的问题,有一定的代表性,这里特整理如下:
关于如何删除游戏:
将下面这个脚本保存为cmd,然后制定策略,将脚本放在策略中计算机登陆脚本执行它就可以了。
脚本将在计算机启动的时候执行,清除系统自带的小游戏。由于删除的顺序是按照 servicepackfile、dllcache、system32执行,将不会给系统文件保护所阻拦,进入系统后也不会有任何提示。
--------------------请不要复制此行-----------------------------
echo y|del %systemRoot%/ServicePackFiles/i386/spider.exe
echo y|del %systemRoot%/ServicePackFiles/dllcache/sol.exe
echo y|del %systemRoot%/ServicePackFiles/dllcache/freecell.exe
echo y|del %systemRoot%/ServicePackFiles/dllcache/Pinball.exe
echo y|del %systemRoot%/ServicePackFiles/dllcache/winmine.exe
attrib -s -h -r %systemRoot%/system32/dllcache
echo y|del %systemRoot%/system32/dllcache/spider.exe
echo y|del %systemRoot%/system32/dllcache/sol.exe
echo y|del %systemRoot%/system32/dllcache/freecell.exe
echo y|del %systemRoot%/system32/dllcache/Pinball.exe
echo y|del %systemRoot%/system32/dllcache/winmine.exe
echo y|del %systemRoot%/system32/spider.exe
echo y|del %systemRoot%/system32/sol.exe
echo y|del %systemRoot%/system32/freecell.exe
echo y|del %systemRoot%/system32/winmine.exe
cd %programfiles%/window~1/pinball
echo y|del Pinball.exe
-------------------请不要复制此行------------------------
对于系统自带的游戏,前面的方法就可以制止它们的运行。
对于需要安装的游戏,domain users是没有权限安装的。
对于绿色软件的游戏,它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。
如果通过策略限制这些小软件的运行,用户可以更改其文件名以躲避策略限制。对于改名的问题,之前也讨论过,对于win2k的ad是没有办法限制的,对于win2k3来说,虽然可以通过校验软件头部hash值来限制,但用户仍然可以使用软件修改它。最终的解决办法还是要通过隐藏驱动器结合设置本地硬盘的ntfs权限(此可以通过安全模板实现)来进一步设定。
对于fileserver上的游戏,可以通过server上存储管理来做,比如veritas central,定期监控调用频率高的程序,就可以扫描到它们。
关于屏蔽USB:
MS有此kb,见于 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;823732 ,主要内容如下:
如果计算机上尚未安装 USB 存储设备
如果计算机上尚未安装 USB 存储设备,请向用户或组分配对下列文件的“拒绝”权限:
%SystemRoot%/Inf/Usbstor.pnf
%SystemRoot%/Inf/Usbstor.inf
这样,用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:
启动 Windows 资源管理器,然后找到 %SystemRoot%/Inf 文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
如果计算机上已经安装了 USB 存储设备
警告: “注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备,请将以下注册表项中的“Start”值设置为 4:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/UsbStor
这样,当用户将 USB 存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
单击“开始”,然后单击“运行”。
在“打开”框中,键入“regedit”,然后单击“确定”。
找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/UsbStor
在右窗格中,双击“Start”。
在“数值数据”框中,键入 4,单击“十六进制”(如果尚未选中),然后单击“确定”。
退出“注册表编辑器”。
在实践操作的时候,可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发(抱歉这里是用繁体的名称,下面用图片来说明它的位置)
通过在登陆项目中新增机码(主键)(注:一般dc如果没有使用过usb设备,那么usbstor这键值是不会产生的,可以手动添加此主键。策略分发到client后,会自动应用于client的注册表中对应键值;
在添加用户的时候可以酌情考虑,是使用domain users还是其他;权限的设置,请点击修改旁边的拒绝,这样当usbstor主键权限继承下去后,如果原来下面的子键已经有相应的权限,那么也会以拒绝优先)
通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)
就可以完成这一点。
client登入后,如果插入usb设备,系统将会提示:
“您的安全性特殊權限不足,所以無法在這部電腦上安裝新的裝置.請聯絡您的站台系統管理員,或者登出後重新以系統管理員的身分登入,然後再安裝一次.”
至此,USB禁止策略实施成功。
源文档 <http://gnaw0725.blogdriver.com/gnaw0725/302835.html>
方法2 参考
| 2006-4-25
| 屏蔽U盘
1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C:WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn是您的Windows 2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT (C/D ONLY=67108851)
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,移到System.adm文件的末尾,
在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据,
ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!
其他注意事项:
1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。
2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domain users组,这对于大多数软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机的Power user组的权限,即可解决。
3、注意这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。当然U盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!如果实在要访问,可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。
4、OU是可以嵌套的,客户端组策略的应用是从域根到OU再到子OU,而且是可以覆盖的,除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘,但在子OU中又取消了屏蔽,那么客户端的U盘是不会被屏蔽的。
5、如果您在一个OU中设置了此屏蔽策略,但您又要在其他同级的OU中要开放一些用户的U盘时,您需要重新建一个策略,而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘,因为这是个链接到“屏蔽U盘”的策略,您实际修改的是“屏蔽U盘”策略,这会影响到他管理下的所有的OU,他们都将会应用您修改后的策略。
6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个的用户或者计算机指定组策略,在实际应用的时候,可多建立几个组织单位来管理用户。
loading... |
|
| 2006-3-22
| 如何禁用USB
Edward1876 wrote:
王老师:
你好,我公司要求客户端不经过网络管理员同一不许安装软件,和使用usb设备,如何用策略来实现呢?
如果是禁用光驱,软驱,USB设备,第三方软件GFI LANGuard Portable Storage Control.v2.0非常不错,它可以在域环境中使用。
如果使用组策略禁用USB设备:您可以按照以下办法:
禁止移动存储设务的模板[胡义老师原创]
--------------------------------------------------------------------------------
将下列内容保存为DisableDevice.adm,在组策略的添加/删除模板中导入进行设置。
=============================================================================
CLASS USER
CATEGORY !!ADMDesc
POLICY !!MMC_DeviceManagerX
KEYNAME "Software/Policies/Microsoft/MMC/{90087284-d6d6-11d0-8353-00a0c90640bf}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!MMC_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY
POLICY !!MMC_DeviceManager
KEYNAME "Software/Policies/Microsoft/MMC/{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!DEVMGR_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY
End CATEGORY
CLASS MACHINE
CATEGORY !!ADMDesc
POLICY !!USB_UHCD_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/uhcd"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
POLICY !!USB_UHCI_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/usbuhci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
POLICY !!USB_EHCI_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/usbehci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
POLICY !!USB_HUB
KEYNAME "SYSTEM/CurrentControlSet/Services/usbhub"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
POLICY !!CD_ROM
KEYNAME "SYSTEM/CurrentControlSet/Services/cdrom"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
POLICY !!Floppy_Disk
KEYNAME "SYSTEM/CurrentControlSet/Services/flpydisk"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY
End CATEGORY
[strings]
ADMDesc="自定义策略"
MMC_DeviceManagerX="设备管理器扩展插件"
MMC_DeviceManager="设备管理器"
SUPPORTED_Win2k="至少使用Microsoft Windows 2000"
MMC_Restrict_Explain="Disable —— 禁用设备管理器扩展插件;Enable —— 启用设备管理器扩展插件 "
DEVMGR_Restrict_Explain="Disable —— 禁用设备管理器;Enable —— 启用设备管理器"
USB_UHCD_PARAMS="USB通用主控制器驱动器"
STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"
STARTUPTYPE="启动类型"
USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"
USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"
USB_HUB="Microsoft USB Standard Hub Driver"
CD_ROM="光驱"
Floppy_Disk="软驱"
==============================================================================
如果希望通过组策略禁止用户安装软件:
可以使用软件限制策略,将默认级别设置为全部不允许(disallowed)。
loading... |
|
扫一扫
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
