AD策略屏蔽USB驱动

在公司局域网中,有时候处于网络安全的考虑,需要禁止电脑USB接口使用,尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用,而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法,具体有以下两种方法:

 

方法一:通过域策略禁用usb.adm驱动、禁止加载USB驱动的方式禁用USB接口使用

        先下载附件里的usb.adm文件( http://www.jb51.net/softs/402857.html )

spacer.gif

1、DC里的OU里新建一条GPO组策略

 

2右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作wKiom1e4CdaAn7JaAALjikk6yIc411.png-wh_50

3为了方便大家阅读重新更新了一下图片

正确的使用方法是在要设置的驱动器里选择”Disabled”或”Enabled”

例1:禁用USB;

“Disabled USB”->选择disabled USB Drive为“Enabled”。

 例2:启用USB

wKioL1e4CfLTVH5iAAGrIQz8NQc770.png-wh_50

“Disabled USB”->选择disabled USB Drive为“Disabled 

 

4、把目标电脑的域登录帐号和域电脑名加入到对应有该策略的OU

wKioL1e4ChXxfu5fAATf95Yn8Hg925.png-wh_50

 


5、启用USB1)解除驱动  2)运行--=>>>gpupdate /force

 

 

方法:通过专门的电脑USB接口管理软件、电脑U口禁用软件来禁止USB端口使用
 

如果你觉得通过AD组策略的方式禁用USB端口使用较为复杂,则可以通过专门的电脑USB端口禁用软件来实现,例如有一款大势至USB接口禁用软件(下载地址:http://www.grablan.com/monitorusb.html),只需要点点鼠标就可以完全禁用U盘、禁用移动硬盘和手机内存卡的使用,同时还不影响非USB存储设备(如USB鼠标键盘和加密狗的使用),同时还可以禁止打开注册表、禁止打开组策略、禁止修改组策略、禁止修改 开机启动项、禁止通过U盘启动操作系统、禁止光驱启动操作系统等,从而全面保护操作系统的安全,如下图所示:

wKioL1e4ClijmVO4AAMy4hxeWUE825.png-wh_50


图:大势至USB接口禁用软件屏蔽USB接口使用、禁用USB端口使用

总之,禁用电脑USB接口使用、屏蔽U口使用的方法很多,通过组策略、注册表等都可以实现。但是,上述方法存在着被用户反向修改而重新启用USB端口的风险,而通过专门的电脑USB接口管理软件来禁止U盘、禁止usb端口使用是一项比较有效的方法。