禁止員工使用 USB 外接式儲存設備 @ 哞丫哞

使用可移除式的USB儲存裝置，已成為網路之外最主要的資料存取與交換方式，便利之餘，卻同時衍生平時不容易發現的危機，例如只靠一隻隨身碟或一片記憶卡，就可以快速複製大量的文件，甚至是一整個資料庫檔案，直接就能帶離公司；而日益猖獗的USB病毒更是另一項嚴重的威脅，例如最近十分流行的Kavo。要解決這些問題，你就必須要面對封鎖USB。

一、在 Windows Server 2000 下

登錄檔如下

Enable USB

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000003

Disable USB

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004

我們可寫成一 reg檔讓user自動執行，可是每次執行都會跑出詢問視窗實在是很討厭

可另外編寫一 bat 檔

ex: regedit -s \\192.168.1.1\usb$\disable_usb.reg

放在 GPO 裡的電腦設定\windows設定\指令碼\啟動去執行

此方式雖然可以讓 Client 無法安裝隨身碟,

但User 還是可以利用 .reg 的方式修改機碼.

可開啟群組原則/ [電腦設定] / [Windows設定] / [安全性設定] / [登入] / 右鍵 [新增機碼]

指定要控管的機碼後，即可編輯[安全性設定]加入 DomainAdmin 群組後，即可讓user無法修改機碼

設定USB 為唯讀狀態

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

二、另一種更方便的作法則是在Windows Server 2003下

將下列文字存成一個ADM檔案：
=================================
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="自定群組管理原則"
categoryname="禁止卸除式硬體"
policynameusb="禁止USB隨插即用裝置"
policynamecd="禁止光碟機"
policynameflpy="禁止軟碟機"
policynamels120="禁止高容量軟碟機"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="關閉 USB Ports"
labeltextcd="關閉 CD-ROM 裝置"
labeltextflpy="關閉軟碟機裝置"
labeltextls120="關閉大容量軟碟機裝置"
Enabled="啟用"
Disabled="停用"
============================================
之後在群組原則物件編輯器中的系統管理範本裡面，新增匯入製作的ADM檔案，匯入後雖然系統管理範本中會增加了一個自定義群組管理原則的選單，但是會發現裡面什麼都沒有出現，很多人到了這邊都以為是失敗了，其實不然！
這時候在群組物件編輯器上面的工具列中，找到檢視-->篩選-->不要勾選只顯示可以完全管理的原則設定後，這時候在到剛剛匯入的原則中就會出現可以管理的選項了！