·
计算机USB读写权限统一管理(在域环境中)
【摘要】
在我们企业内部进行规范和安全管理的时候,可能经常会有这样的需求:禁止企业内所有电脑的USB接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备,但是对于高管,不能做限制。
首先理解一下需求:USB设备接入,不能拷贝文件,但是可以读取,其他办公设备可正常读取、
接下来就一台探讨一下如何实现这个需求。
【正文】
实现思路及过程
1.限制USB设备,常规方法如下三种:
1)从硬件层面入手:可直接在计算机BIOS中关闭USB设备,耗时且USB设备将不可用,不符合需求,不推荐;
2)从系统技术出发,修改注册表,结合AD组策略,针对普通用户和高管OU,设置不同策略,工作组的计算机,可手动进行配置,省时,可实现需求,推荐方案;
3)第三方解决方案:一般的安全厂家都会有针对移动设备接入的管控软件,使用此方案可能会产生额外费用,IT预算不紧张的情况下,可考虑,作为可选方案。
2.实现过程
根据上一部分内容的讨论,我们选择第2)中方案,从系统技术角度出发,修改注册表,结合组策略来满足此需求。
1)首先,在注册表中需要关闭USB设备的盘符自动分配,找到如***册表项,将Start值更改为4,意思是禁止自动运行(默认是3);
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
2)删除USB存储设备的作用文件,默认存放于:系统盘Windowsinf目录下,如下图,usbstor.inf和usbstor.pnf,这两个文件是USB存储设备的作用文件,为了安全期间,建议先备份,然后在删除,可通过下面4条语句实现:
copy %Windir%infusbstor.inf %Windir%usbstor.inf /y >nul
copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y >nul
del %Windir%infusbstor.pnf /q/f >nul
del %Windir%infusbstor.inf /q/f >nul
3)接下来,禁止将电脑里的资料拷贝到USB存储设备,使USB存储设备默认成为只读状态,需要通过修改注册表实现,找到路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1
可通过如下实现:
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies" /v WriteProtect /t reg_dword /d 1 /f
4)上述的语句可以统一编写成为一个bat文件,在AD中做成开机脚本或用户登录脚本,即可实现批量更改。
··