最近的周会上,公司领导提出了关于机密资讯管控的问题,需要加强对公司内电脑USB接口的管制。为了实现这一目标。我想了几种应对的策略:第一可以通过网管软件对局域网内电脑进行控制,这种方式控制比较自如,可以对单台电脑的接口进行控制,但是需要增加软件成本投入。 第二种可以对每台电脑的注册表进行修改,从注册表中禁用相应的选项。这种方式也可以实现, 对于企业而言如果电脑数量比较少,可以这样做。如果公司电脑比较多的话,涉及的工作量就比较大了。 第三种如果公司有域的环境windows server 2003/2008,那么就可以通过设置组策略方式,来实现。这种方式只需要在服务器端设置,并且不增加额外的费用,可以被视为一种最优的方式。
        公司的域控服务器操作系统是WIN SERVER2008,客户端操作系统是win7。下面就开始一步步在服务器上设置组策略,达到对公司所有电脑的USB接口的管理。 进入组策略管理工具GPM, 首先在公司的域上新建一条组策略,取名为USB-disable, 然后对此策略,进行编辑设定。策略设定时候,分为机器和用户, 我们选在USER下进行设置,如果在PC下进行设置,由于客户端系统已经使用过USB设备,相应的驱动程序已经被加载,通过组策略禁止的话,会有问题。在system下有removable storage access, 点击选择。里面有关于光驱,软驱, 所有移动设备等选项。直接选择禁用所有移动设备。设置完成以后, 保存。并link到USB-DISABLE策略上。在服务器上,运行GPUPDATE, 进行刷新策略。如果不行,可以使用GPUPDATE /FORCE 强行组策略更新。
        此条组策略生效后,可以到客户端先测试一下,你会发现USB设备虽然也能在系统里面显示出来,但是当你双击打开时候,系统会拒绝你访问。这样就达到了我们要求的禁用USB接口的目的。
         策略实施以后,在实际工作中又会遇到需要用到USB接口的时候, 结合公司机密管控的要求。可以适当开放某台用户电脑的USB接口作为公共使用机器,但每次进行数据拷贝的时候,需要登记拷贝信息。对于开放某台电脑的接口,可以在users 组下,再新建一个组策略,取名为USB-enable, 然后同样在system 下的Remvoable device access ,编辑允许使用所有的移动设备。保存完后,link到USB-enable. 把需要开放接口的USER加入到该组里面去。然后同样在服务器上运行GPUPDATE,使组策略生效。在开放接口的用户电脑上进行USB移动设备使用,正常可以使用。而其他的电脑则无法使用USB接口。这就达成了,我们需要的效果。但是有一点需要注意, 因为所有的策略是基于USER的基础上进行设置的,该设置只正对USER,并不是对电脑。