现在很多单位处于安全考虑,需要禁用USB存储设备,防止员工通过U盘、移动硬盘等USB存储设备复制电脑文件的行为,毕竟很多电脑文件常常是单位的无形资产和商业机密。一旦泄密出去,将会对企业商业机密造成重大隐患。因此,如何保护电脑文件安全,就成为企业网络管理的重要方面。而通过注册表禁用usb存储设备就是其中比较有效的一个方法。但是,每台电脑都要设置注册表也会非常麻烦,这种情况下,可以通过域控制器远程修改注册表的方式来禁用USB存储设备,具体方法如下:
一、通过域策略禁用USB存储设备、域控禁用USB端口的方法
所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入GPMC.MSC”→点击确定启动组策略管理。
650) this.width=650;" border=0>
第二步:打开组策略管理,右键点击zhp.com→点击创建并链接(GPO)” →输入组策略名称禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
650) this.width=650;" border=0>
第三步:右键点击“禁止USB”策略→点击编辑”→右键点击计算机配置”下的管理模板”中的添加/删除模板”。
650) this.width=650;" border=0>
第四步:在弹出的“添加/删除模板”对话框中点击添加”按钮在弹出策略模板”对话框中来添加usb.adm”组策略模板。(这里我们可以事先把usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择usb.adm”组策略模板所存放的位置。)双击usb.adm” 组策略模板添加usb.adm” 组策略模板。
650) this.width=650;" border=0>
添加后,回到“添加/删除模板”对话框,我们此时清楚看到添加/删除模板”对话框中多了一个名称为USB”的组策略模板。
650) this.width=650;" border=0>
第五步:我们点击“添加/删除模板”对话框中的关闭”按钮,回到组策略编辑器”对话框中。此时我们就可以看到计算机配置”下的管理模板”中多了一个Custom Policy Settings”。
650) this.width=650;" border=0>
第六步:右键点击“管理模板”→“查看”→“筛选”。
650) this.width=650;" border=0>
在弹出的“筛选”对话框中去掉只显示能完全管理的策略设置”前面的勾
650) this.width=650;" border=0>
再点击“确定”按钮返回组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击Custom Policy Settings”→点击Restrict Drives”
650) this.width=650;" border=0>
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击属性”,弹出Disable USB” 属性对话框。
650) this.width=650;" border=0>
我们首先点击“已启用”按钮→在Disable USB Ports”中选择Enabled”来启用该策略。
650) this.width=650;" border=0>
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用GPupdate /force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为Enabled”,否则你做的策略是不会生效的。
此时我们点击“应用”→点击确定”返回到组策略编辑器”对话框,我们可以看到Disable USB”状态已经变为已启用”,关闭组策略编辑器”对话框返回组策略管理”对话框画面。
650) this.width=650;" border=0>
二、域控制器禁用注册表策略、域账号禁用注册表的方法
为了防止员工反向修改注册表的方式来重新启用USB存储设备,我们还必须通过域控制器来禁用注册表、禁止打开注册表编辑器
第一步:我们我们在域控制器上点击开始→运行输入GPMC.MSC”→点击确定启动组策略管理。
650) this.width=650;" border=0>
第二步:打开组策略管理,右键点击zhp.com→点击创建并链接(GPO)” →输入组策略名称禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
650) this.width=650;" border=0>
第三步:右键点击“禁止访问注册表”策略→点击编辑”→右键点击计算机配置”→“管理模板”→点击系统”。
650) this.width=650;" border=0>
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出组织访问注册表编辑工具”属性对话框→点击已启用”→点击应用”→点击确定”。
650) this.width=650;" border=0>
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate /force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机点击开始→运行输入Regdiet”则会提示如下图所示:
650) this.width=650;" border=0>
到此我们“禁止注册表”策略已经完成。
三、通过一些电脑USB接口禁用软件、禁用USB存储设备软件来禁用USB存储设备。
虽然通过域控制器禁用u盘、域策略禁用USB端口的方法可以起到一定的作用,但是大部分局域网其实并没有配备域控制器,那么这种情况下,如果人工去一台一台电脑修改注册表来禁用U盘、禁用USB存储设备,将会变得十分麻烦;同时,对于一些懂技术的员工,可以轻易通过反向修改注册表的方式来达到重新使用USB端口的目的。那么这种情况下,各种网络管控功能将会失效。因此,就需要借助于一些电脑usb端口禁用软件、USB端口控制软件来实现了。
大势至usb端口控制软件(下载地址:http://www.grabsun.com/monitorusb.html)是一款专门保护电脑文件安全,防止各种途径泄密的软件。不仅可以完全禁用U盘、禁用移动硬盘等USB存储设备,而且还可以禁止网盘、邮件、FTP文件上传和QQ发送文件等各种途径泄密,从而可以极大地保护电脑文件安全。此外,系统还可以禁止修改注册表、禁止修改组策略等操作系统的关键位置,从而可以有效防止员工试图通过修改操作系统的关键位置而重新泄密的行为。如下图所示:
图:大势至电脑文件防泄密系统
总之,企业局域网禁用USB存储设备,一方面可以通过域控制器、注册表来实现;另一方面也可以借助于一些电脑USB接口禁用软件、USB端口控制软件来实现。具体采用哪种方法,企业可以根据的需要进行选择。
