组策略是Windows操作系统中一项非常强大的功能,理论上通过组策略可以实现几乎所有的功能。通过组策略禁止U盘使用、组策略禁用usb存储设备就是其中非常重要的一项。本文以XP系统为例,说明在XP系统下如何禁止U盘工具的使用、禁用USB存储设备?
方法一、XP组策略禁止U盘使用、xp组策略禁用usb存储设备的方法
当我们进入组策略编辑的时候,会遇到这样一个问题。见下图。
找到“防止从'我的电脑'访问驱动器”这一栏,点击属性。见下图。
发现这一栏里面没有U盘这个选项。然后,好多人就束手无策了。
别急,好戏还在后头。
打开C盘,找到以下文件。路径如下:C:\WINDOWS\system32\GroupPolicy\Adm。
GroupPolicy这个文件夹是隐藏的,需要对文件夹选项进行设置,改成显示所有文件夹。
然后用记事本打开system.adm这个文件。找到以下代码,做一些修改。
分别在上面截图的代码中输入以下代码:“NAME !!HOnly VALUE NUMERIC 128”。
大家可能很奇怪,为什么要这样输,我们来分析一下:
NAME !!XXONLY VALUE NUMERIC XX
上面ONLY前面的叉叉 ,就是盘符号,说白了,就是你取的名称,而写I的意思就是让我们自己能够理解分辨,根据自己的实际情况取就行了。如果你的U盘插上去是H盘,你也可以写个HONLY,自己知道就行了。
后面的叉叉,我写的数字是256。这个数字代表的就是盘符的位置。为什么是256,不是128呢?这样来解释。A盘=1,B盘=2,C盘=4,D盘=8,E盘=16,F=32,G盘=64,H盘=128,I盘=256,……..按照26个字母的顺序,后面是成倍的递增。因为我的U盘插电脑上后是I盘,所以我禁止的就是I盘了,写256。
如果换个角度来说,我们要禁止的是H,I 两个盘,则我们把他们的数字加起来就行了,即后面写的数字为128+256=384,所以后面数字写384就行了,这样就禁止了H和I盘了。
随后,移到System.adm文件的末尾,在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
应用了组策略,保存后,当用户登录时,便会发现你的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符都看不到U盘了。
方法二、通过屏蔽U口软件、屏蔽USB端口软件来实现U盘禁止使用
如果你觉得通过组策略屏蔽U的操作比较复杂,则也可以使用一些U盘禁用软件来实现。相对于操作系统来说,比较简单同时也无法通过反向修改组策略绕过监控的情况。例如有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html),在电脑安装完毕之后,就自动后台隐藏运行,并且唤出软件界面需要输入管理员设置的密码,这样保护了软件的运行安全,不会被用户卸载。同时,通过大势至U盘控制软件禁止U盘使用的操作也非常简单,点点鼠标就可以禁止U盘、禁用移动硬盘的使用;同时还可以只让使用指定的U盘、公司统一分配的U盘和移动硬盘;只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件,或者从电脑向U盘复制文件必须输入密码等。如下图所示:
图:大势至u盘禁用工具软件
同时,通过本系统还可以屏蔽邮件附件、屏蔽网盘上传文件、屏蔽FTP文件上传以及屏蔽QQ发送文件等,防止通过网络途径泄密的行为。
此外,通过这个软件还可以禁止安装软件、禁止运行软件、禁止随意打开网页、禁止修改组策略、禁止修改注册表等,防止随意修改操作系统这些功能模块给电脑带来的风险。
