如何使用组策略阻止Windows中的U盘?
将新的USB设备连接到计算机时,Windows会自动检测该设备并安装相应的驱动程序。因此,用户几乎可以立即使用连接的U盘或者设备。在一些组织中,出于安全原因,禁止使用USB存储设备(闪存驱动器、USB硬盘、SD卡等),以防止敏感数据泄漏和感染计算机。本文介绍如何使用组策略(GPO)禁用外部可移动U盘。
配置GPO以禁用域计算机上的USB存储设备
在所有版本的Windows中,从Windows 7开始,我们可以使用组策略灵活地管理对外部驱动器(USB、CD/DVD、软盘、磁带等)的访问(我们不考虑通过BIOS设置禁用USB端口的根本方法)。可以通过编程方式阻止仅使用U盘,而不会影响诸如鼠标、键盘、打印机等USB设备(这些设备不被识别为可移动磁盘)。
如果AD域的基础结构满足以下要求,则USB设备阻止策略将起作用:
Active Directory架构版本-Windows Server 2008或者更新版本; 说明组策略集允许控制Windows上可移动媒体的安装和使用,仅在AD版本44中出现。
桌面操作系统–Windows 7或者更新版本。
我们将限制在某个AD容器(OU)中的所有计算机使用U盘。我们可以将USB块策略应用于整个域,但这将影响服务器和其他技术设备。假设我们要将策略应用于名为 工作站的OU。要执行此操作,请打开GPO管理控制台( **gpmc.msc]),右键单击OU工作站并创建一个新策略( 在此域中创建GPO并将其链接到此处
提示。对于独立计算机,可以使用本地组策略编辑器编辑USB设备限制策略- gpedit.msc. 本地组策略编辑器在Windows Home Edition中不可用,但我们可以这样安装:如何启用gpedit.msc在Windows 10 Home上。
设置GPO名称“ 禁用USB访问”。
修改GPO设置( 编辑)。
阻止外部存储设备的设置在GPO的用户和计算机部分都可用:
用户配置->策略->管理模板->系统->可移动存储访问。
计算机配置->策略->管理模板->系统->可移动存储访问。
如果要阻止所有计算机用户使用USB存储设备,则需要在“计算机配置”部分配置设置。
在 可移动存储访问部分,有几个策略允许我们禁用不同类型的存储类(CD/DVD、FDD、USB设备、磁带等)的使用。
CD和DVD:拒绝执行访问。
CD和DVD:拒绝读取权限。
CD和DVD:拒绝写入访问。
自定义类:拒绝读取访问。
自定义类:拒绝写入访问。
软盘驱动器:拒绝执行访问。
软盘驱动器:拒绝读取访问。
软盘驱动器:拒绝写入访问。
可移动磁盘:拒绝执行访问。
可移动磁盘:拒绝读取访问。
可移动磁盘:拒绝写入访问。
所有可移动存储类:拒绝所有访问。
所有可移动存储:允许在远程会话中直接访问。
磁带机:拒绝执行访问。
磁带机:拒绝读取访问。
磁带机:拒绝写入访问。
Windows便携设备–此类设备包括智能手机、平板电脑、播放器等。
WPD设备:拒绝写入访问。
如我们所见,我们可以拒绝启动每个设备类的可执行文件(防止计算机感染病毒),禁止在外部介质上读取数据和写入/编辑文件。
“最强”限制策略- 所有可移动存储类:拒绝所有访问允许完全禁用对所有类型外部存储设备的访问。打开策略,打开并选中 启用。
在客户端计算机上启用和更新策略(gpupdate/force)后,操作系统会检测到连接的外部设备(不仅是USB设备,还包括任何外部驱动器),但尝试打开这些设备时,会出现错误:
Location is not available Drive is not accessible. Access is denied.
提示。通过在注册表项HKEY U CURRENT U USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices中创建值为 00000001的DWORD参数 Deny U All,可以设置相同的限制。
在同一策略部分中,我们可以对使用外部U盘配置更灵活的限制。
例如,要防止向USB闪存驱动器和其他类型的U盘写入数据,应启用策略 可移动磁盘:拒绝写入访问。
在这种情况下,用户将能够从USB闪存驱动器中读取数据,但当他们试图向其写入信息时,他们将收到拒绝访问错误:
Destination Folder Access Denied You need permission to perform this action
我们可以使用 可移动磁盘:拒绝执行访问策略阻止可执行文件和脚本文件从U盘运行。
通过GPO为特定用户禁用U盘
经常有必要为域中除管理员以外的所有用户阻止U盘。
最简单的方法是在GPO中使用 安全过滤。例如,要防止将USB块策略应用于域管理员组,请执行以下操作:
1 在组策略管理控制台中选择禁用USB访问策略;
2 在安全过滤部分,添加域管理员组;
3 进入委托选项卡,点击高级。在安全设置编辑器中,指定不允许域管理员组应用此GPO(应用组策略–拒绝)。
可能还有另一个任务——您需要允许除特定用户组外的每个人使用外部USB驱动器。创建安全组“拒绝USB”,并将此组添加到GPO的安全设置中。对于此组,设置读取和应用GPO的权限,并只保留已验证用户或域计算机组的读取权限(通过取消选中应用组策略复选框)。
通过注册表和组策略首选项阻止USB和可移动设备
通过配置由上面讨论的策略通过组策略首选项(GPP)设置的注册表设置,可以更灵活地控制对外部设备的访问。以上所有策略都对应于HKLM(或HKCU)\SOFTWARE\Policys\Microsoft\Windows\RemovableStorageDevices键中的某些注册表项(默认情况下此注册表项丢失)。
要启用其中一个策略,必须在指定的密钥中创建一个新的子项,该子项的名称为要阻止对(第2列)和具有约束类型(Deny\u Read、Deny\u Write或Deny\u Execute)的设备类的访问。如果此参数的值等于1,USB限制处于活动状态,如果0–此设备类上没有重新设置。
Policy nameDevice Class GUIDRegistry parameter nameFloppy Drives:
Deny read access{53f56311-b6bf-11d0-94f2-00a0c91efb8b}Deny\_ReadFloppy Drives:
Deny write access{53f56311-b6bf-11d0-94f2-00a0c91efb8b}Deny\_WriteCD and DVD:
Deny read access{53f56308-b6bf-11d0-94f2-00a0c91efb8b}Deny\_ReadCD and DVD:
Deny write access{53f56308-b6bf-11d0-94f2-00a0c91efb8b}Deny\_WriteRemovable Disks:
Deny read access{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}Deny\_ReadRemovable Disks:
Deny write access{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}Deny\_WriteTape Drives:
Deny read access{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}Deny\_ReadTape Drives:
Deny write access{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}Deny\_WriteWPD Devices:
Deny read access{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}Deny\_ReadWPD Devices:
Deny write access{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}Deny\_Write
您可以手动创建指定的注册表项和参数。在下面的屏幕截图中,我创建了一个RemovableStorageDevices键和一个名为 {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}.的子键,在REG\u DWORD参数的帮助下,我禁止从USB驱动器写入和运行可执行文件。
禁用USB存储将在应用策略后立即生效(无需重新启动计算机)。如果USB闪存驱动器已连接到计算机,则在重新连接之前,它将一直可用。
您可以使用这些注册表项和GPP的项目级目标来灵活地应用限制使用外部USB存储设备的策略。您可以将策略应用于特定的AD安全组、站点、操作系统版本和OU(甚至可以使用[WMI筛选器]). 例如,您可以创建Storage Devices Restrict域组并添加要限制使用USB驱动器的计算机帐户。在GPP策略的项目级别目标->;安全组部分中,使用计算机在组中选项指定此组。这将对添加到此广告组的计算机应用USB阻止策略。
注。类似地,您可以为未在此列表中列出的设备类创建自己的策略。您可以在驱动程序属性的device class GUID属性的值中找到设备类ID。
通过注册表禁用USB存储驱动程序
您可以完全禁用 USBSTOR(USB大容量存储驱动程序)驱动程序,这是正确检测和安装USB存储设备所必需的。
在单机上,可以通过将Start注册表参数的值从3更改为4来禁用此驱动程序。您可以通过PowerShell执行此操作:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4
重新启动计算机并尝试连接USB存储设备。现在它不应该出现在文件资源管理器或磁盘管理控制台中,并且在设备管理器中您将看到设备驱动程序安装错误。
注。这是在[过时]中禁用USB驱动器的唯一方法(http://woshub.com/windows-xp-end-of-support-notification/)Windows XP/Windows Server 2003,因为在这些版本中没有单独的组策略设置来限制对外部USB设备的访问。
您可以使用组策略首选项禁用USBSTOR驱动程序在域计算机上运行。为此,您需要进行[通过GPO更改注册表]
这些设置可以部署到所有域计算机。创建一个新的组策略,将其链接到带有计算机的OU,并在计算机配置->;首选项->;Windows设置->;注册表部分中,使用以下值创建一个新参数:
- Action: Update
- Hive: HKEY_LOCAK_MACHINE
- Key path: SYSTEM\CurrentControlSet\Services\USBSTOR
- Value name: Start
- Value type: REG_DWORD
- Value data: 00000004
只允许连接特定的USB存储设备
您可以使用特定的注册表设置来允许特定(认可的)USB存储驱动器连接到您的计算机。让我们快速看看如何配置它。
将任何USB存储设备连接到计算机时,USBSTOR驱动程序将安装该设备,并在HKEY\u LOCAL\u MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR下创建一个单独的注册表项。此注册表项包含有关USB驱动器的信息(例如,Disk&;Ven\ Kingstom&;Prod\ DT\ U 1010\ U G2&Rev\ U 12.00)。
您可以使用以下PowerShell命令列出曾经连接到计算机的USB驱动器:Get ItemProperty–Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName
您可以删除以前连接的USB闪存驱动器的所有注册表项,但需要的注册表项除外。
然后需要更改USBSTOR注册表项的权限,以便每个人(包括系统和管理员)都只有读取权限。因此,当您连接任何USB驱动器时(除了允许的),Windows将无法安装该设备。
