Security
適用於 Windows XP 網路的可移動媒體阻止策略
Windows Vista 以上有一個組策略設置來阻止可移動媒體,例如 USB 快閃記憶體驅動器和 USB 行動電話。
然而,Windows XP 缺少這樣的設置(或者我找不到它),因此我需要一種替代策略來為所有非管理員使用者帳戶會話實施網路範圍的可移動媒體阻止。
是否有我可以使用的獨立軟體,或自動為新使用者啟用的系統資料庫設置?(我們的使用者帳戶通過 Windows Server 2008 在域內,任何使用者都可以登錄到任何 PC)
我還沒有找到一種萬能的策略來在域電腦上進行設置。您肯定需要查看不同的方法*(甚至可能必須自己嘗試其中的一些)*,然後看看哪種方法最適合您的使用者(和您)。Microsoft 建議**修改系統資料庫,但未提及使用更有效的方法(如GPO和/或啟動/登錄腳本**)實現此的方法。
Hannes Schmidt 的這篇部落格文章更詳細地介紹了一種使用帶有 ADM 模板(由他提供)的 GPO 來限制 USB 儲存設備使用的自動化方法。它旨在限制即插即用 (PNP) 程序為USBSTOR執行(訪問 USBSTOR.INF 和 USBSTORE.PNF)。我喜歡這種方法的地方在於,它仍然允許**“允許”**使用者訪問使用 USB 儲存設備(例如管理員和特殊原因組),他們只需要執行幾個額外的步驟。
如何!
- 在 Active Directory 使用者和電腦中,打開現有 GPO 或創建新 GPO 並將其打開。使用該 GPO 的安全設置來指定它影響的電腦。
- 在該 GPO 中,轉到電腦配置 - Windows 設置 - 安全設置 - 文件系統並創建一個新條目(右鍵點擊文件系統並選擇添加文件)。指定 USBSTOR.INF 的位置(通常是 SystemRoot%\Inf\USBSTOR.INF)
- 更改新條目的安全設置。您在此處指定的安全設置將在應用 GPO 的每台電腦的 USBSTOR.INF 上強制執行。此過程不是附加的,這意味著 USBSTOR.INF 以前的安全設置將被 GPO 中給出的安全設置覆蓋。因此,建議將完全控制權授予 SYSTEM 和本地管理員。但與 USBSTOR.INF 的預設安全設置不同,您不應該向所有人授予任何權限。您無需明確拒絕訪問 - 只需省略每個人的條目。或者,您可以授予特定組的讀取權限。該組的成員將能夠使用 USB 儲存設備。
- 對 USBSTOR.PNF 重複上述兩個步驟。
- 下載USBSTOR.ADM。
- 返回 GPO,右鍵點擊電腦配置下的管理模板,然後選擇添加/刪除模板。點擊添加並瀏覽到 USBSTOR.ADM 的位置。關閉對話框。
- 您現在應該在管理模板中有一個名為服務和驅動程序的附加條目。點擊它。如果為空,請從菜單中選擇查看並取消選中僅顯示策略。點擊管理模板中的服務和驅動程序。它現在應該顯示 USB 儲存策略。點兩下它,選擇啟用並從啟動類型下拉菜單中選擇禁用。同樣,必須啟用該策略,而必須禁用啟動類型。
- 關閉對話框以及 GPO 並啟動/重新啟動您的工作站之一。確保沒有 USB 儲存設備連接到該電腦。以管理權限登錄並檢查 USBSTOR.INF 和 USBSTOR.PNF 的權限。檢查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start 的值。應該是 4。如果 UsbStor 密鑰根本不存在也可以。
- 在同一工作站上,以不應訪問 USB 儲存的使用者身份註銷並重新登錄。連接 USB 記憶棒或類似設備。什麼都不應該發生。取出記憶棒。
- 以應該有權訪問 USB 儲存的使用者身份登錄,並在連接記憶棒之前在命令 shell 或開始 - 執行中執行 net start usbstor。記憶棒應初始化並映射到驅動器號。如果 USBSTOR 無法啟動,可能是因為這是第一次將記憶棒插入工作站,在這種情況下 USBSTOR 尚未安裝。儘管如此,記憶棒應該被正確初始化和映射,但您需要重新啟動才能重新應用管理模板,從而再次禁用 USBSTOR。或者,您可以通過下載並點兩下USBSTOR.REG以及執行 net stop usbstor 來手動禁用它。
- 指示有權訪問 USB 儲存的使用者在連接 USB 儲存設備之前需要執行 net start usbstor。
**通過閱讀Hanne 文章**下方的評論,您會發現大量故障排除技巧。