禁止USB的方法

最简单常用的就是禁用usb的注册表方法

定位到

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR

右边有一个叫start的键值

双击他将值改成4 usb就禁用了

下次要恢复只需将4改成3就好了

 

一、在WindowsXP中禁用和管理USB接口

1. 计算机未安装USB设备

这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权

限。

Step1：右击这两个文件，选择“属性→安全→高级”，在“权限”页面中取消“从父项继承那些可以应

用到子对象的权限项目，包括那些在此明确定义的项目”复选框。

Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后

单击“确定”。

这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的

“Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。

2. 计算机已安装了USB设备

这种情况可以通过修改注册表来实现。方法是修改注册表中

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改为十六位进制

数值“4”。

该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。

二、Windows NT以上系统通用方法

运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。

小提示：Windows 2000中要设置注册表的控制权限，需用Regedt32.exe注册表编辑器。

三、禁止和管理域中多台计算机USB设备的使用

方法很简单，就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控制权即可。

如果是禁用光驱，软驱，USB设备，第三方软件GFI LANGuard Portable Storage Control.v2.0也非常不错，它可以在域环境中使用。

如果使用组策略禁用USB设备,可以按照以下办法：

将下列内容保存为DisableUSBDevice.adm，在组策略的添加/删除模板中导入进行设置。

=============================================================================

CLASS USER

CATEGORY !!ADMDesc

POLICY !!MMC_DeviceManagerX
KEYNAME "Software/Policies/Microsoft/MMC/{90087284-d6d6-11d0-8353-00a0c90640bf}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!MMC_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

POLICY !!MMC_DeviceManager
KEYNAME "Software/Policies/Microsoft/MMC/{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!DEVMGR_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

End CATEGORY

CLASS MACHINE

CATEGORY !!ADMDesc

POLICY !!U_UHCD_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/uhcd"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!U_UHCI_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/usbuhci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!U_EHCI_PARAMS
KEYNAME "SYSTEM/CurrentControlSet/Services/usbehci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!U_HUB
KEYNAME "SYSTEM/CurrentControlSet/Services/usbhub"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!CD_ROM
KEYNAME "SYSTEM/CurrentControlSet/Services/cdrom"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!Floppy_Disk
KEYNAME "SYSTEM/CurrentControlSet/Services/flpydisk"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

End CATEGORY

[strings]
ADMDesc="自定义策略"
MMC_DeviceManagerX="设备管理器扩展插件"
MMC_DeviceManager="设备管理器"
SUPPORTED_Win2k="至少使用Microsoft Windows 2000"
MMC_Restrict_Explain="Disable —— 禁用设备管理器扩展插件；Enable —— 启用设备管理器扩展插件 "
DEVMGR_Restrict_Explain="Disable —— 禁用设备管理器；Enable —— 启用设备管理器"
U_UHCD_PARAMS="U通用主控制器驱动器"
STARTUPTYPE_HELP="启动类型，3-手动，4-禁用"
STARTUPTYPE="启动类型"
U_EHCI_PARAMS="Microsoft U 2.0 Enhanced Host Controller Miniport Driver"
U_UHCI_PARAMS="Microsoft U Universal Host Controller Miniport Driver"
U_HUB="Microsoft U Standard Hub Driver"
CD_ROM="光驱"
Floppy_Disk="软驱"

 

 

四：还有种方法就是让每台机子开机时导入一个注册表文件（让每台机子开机导入注册表文件），文件内容为：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]

"start"=dword:00000004

然后在OU的计算机配置--windows设置--安全设置-注册表 里面添一条：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR

在该注册表项的权限设置中，将所有用户删除！只留 domain/administrator用户！

五，域中多台计算机禁用USB的另一种方法（组策略方法）：

 

　　实现方法

　　1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器。

　　我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。

 

　　2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。

 

　　3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“C:/Windows/SYSVOL/abc.com/Policies”下（盘符依赖于您安装的操作系统所在的分区），注意其中abc.com是您的Windows 的域名，打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：

　　　* POLICY !!NoDrives

         　　　EXPLAIN !!NoDrives_Help

      　　　　PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

   　　　VALUENAME "NoDrives"

   　　　ITEMLIST

　　　NAME !!ABOnly            VALUE NUMERIC 3

　　　NAME !!COnly             VALUE NUMERIC 4

　　　NAME !!DOnly             VALUE NUMERIC   8

　　　NAME !!ABConly           VALUE NUMERIC   7

　　　NAME !!ABCDOnly       VALUE NUMERIC 15

　　　NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

          ; low 26 bits on (1 bit per drive)

　　　NAME !!RestNoDrives      VALUE NUMERIC 0

   　　　END ITEMLIST

      　　　END PART  

　　　END POLICY

　　　* POLICY !!NoViewOnDrive

         　　　EXPLAIN !!NoViewOnDrive_Help

      　　　PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

   　　　VALUENAME "NoViewOnDrive"

   　　　ITEMLIST

　　　NAME !!ABOnly            VALUE NUMERIC 3

　　　NAME !!COnly             VALUE NUMERIC 4

　　　NAME !!DOnly             VALUE NUMERIC   8

　　　NAME !!ABConly           VALUE NUMERIC   7

　　　NAME !!ABCDOnly       VALUE NUMERIC 15

　　　NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

          　　　 ; low 26 bits on (1 bit per drive)

　　　NAME !!RestNoDrives      VALUE NUMERIC 0

      　　　END ITEMLIST

      　　　END PART  

　　　　END POLICY

　　说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。

　　仔细观察上述代码，不难发现，其中一共有7个NAME项，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数（防止有人同时插入几个U盘，呵呵！）。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I=1+2+4+32+64+128+256 =487，在两个策略中的

　　NAME !!ABCDOnly     VALUE NUMERIC    15

　　下插入一行

　　NAME !!ABCFGHIOnly    VALUE NUMERIC   487

　　随后，移到System.adm文件的末尾，在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据，　　　　ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"等于号后引号内的说明您可以根据自己的喜好定义。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，您会发现您多了一个选项.

　　这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。

　　至此，全部设置完毕，让您的客户段使用此OU下的用户登录看看吧！

　　其他注意事项：

　　1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。

　　2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的Power user组的权限，即可解决。

　　3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U盘都屏蔽了，我想光驱就更该屏蔽了，如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。

　　4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘，但在子OU中又取消了屏蔽，那么客户端的U盘是不会被屏蔽的。

　　5、如果您在一个OU中设置了此屏蔽策略，但您又要在其他同级的OU中要开放一些用户的U盘时，您需要重新建一个策略，而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘，因为这是个链接到“屏蔽U盘”的策略，您实际修改的是“屏蔽U盘”策略，这会影响到他管理下的所有的OU，他们都将会应用您修改后的策略。

　　6、在域中应用组策略时，系统只能对整个域、组织单位实施组策略，不能对单个的用户或者计算机指定组策略，在实际应用的时候，可多建立几个组织单位来管理用户