注意事項(xiàng)：
（1）使用前請(qǐng)確認(rèn)你的系統(tǒng)盤(pán)使用的是NTFS權(quán)限，否則此策略將無(wú)效,。
(2) 此策略只能對(duì)計(jì)算機(jī),，不針對(duì)用戶(hù)
1、打開(kāi)組策略編輯器gpmc,，選擇計(jì)算機(jī)配置--安全設(shè)置--文件系統(tǒng),；
2、在右邊單擊鼠標(biāo)右鍵選擇－－添加文件,；
3,、選擇系統(tǒng)目錄下的C:\windows\inf\usbstor.inf文件,單擊確定；
4,、出現(xiàn)權(quán)限設(shè)置對(duì)話(huà)框,，注意這一步很重要一定要?jiǎng)h除所有的組；
5,、出現(xiàn)如下對(duì)話(huà)框,，繼續(xù)單確定；
6,、按照如上方法再把C:\windows\inf\usbstor.pnf添加進(jìn)去,，如下圖；
7,、找一臺(tái)客戶(hù)端計(jì)算機(jī)驗(yàn)證策略,，強(qiáng)制刷新策略,重新啟動(dòng)計(jì)算機(jī)；
8,、查看客戶(hù)端計(jì)算機(jī)c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS權(quán)限,，發(fā)現(xiàn)里面所有安全組已被刪除。策略應(yīng)用成功,，普通用戶(hù)無(wú)法再使用USB存儲(chǔ)設(shè)備,。
詳細(xì)操作如下:
１,，在DC里的OU里新建一條GPO組策略
２、添加至組策略----計(jì)算機(jī)配置----管理模板中,，
３,、注意在“查看”----“篩選”中去掉“只顯示能完全管理的策略設(shè)置”前面的勾
４、右鍵管理模板--點(diǎn)添加刪除模板--添加usb.adm的模板文件--點(diǎn)關(guān)閉窗口中出現(xiàn)custom policy settings進(jìn)入,就可以看到那個(gè)設(shè)備的,右鍵你想設(shè)置的設(shè)備如disable usb 出現(xiàn)屬性對(duì)話(huà)框點(diǎn)已啟用在disable usb ports 中選enabled確定后重啟計(jì)算機(jī),就會(huì)發(fā)現(xiàn)usb接口不能用了,要恢復(fù)就禁用或選disabled,其它設(shè)備也是同樣的操作.
為了方便大家閱讀重新更新了一下圖片.
正確的使用方法是在要設(shè)置的驅(qū)動(dòng)器里選擇”Ｄisabled”或”Enabled”
例1：禁用軟驅(qū);
“Disabled Floppy”->選擇disabled Floppy Drive為“Enabled”,。
例2：?jiǎn)⒂密涷?qū)
“Disabled Floppy”->選擇disabled Floppy Drive為“Disabled
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" height=434>

 

 

 

 

 

將以下內(nèi)容復(fù)制到記事本,，另存為usb.adm文件
CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALNAME "Start"
       ITEMLIST
        NAME !!Disabled VAL NUMERIC 3 DEFAULT
        NAME !!Enabled VAL NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALNAME "Start"
       ITEMLIST
        NAME !!Disabled VAL NUMERIC 1 DEFAULT
        NAME !!Enabled VAL NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALNAME "Start"
       ITEMLIST
        NAME !!Disabled VAL NUMERIC 3 DEFAULT
        NAME !!Enabled VAL NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALNAME "Start"
       ITEMLIST
        NAME !!Disabled VAL NUMERIC 3 DEFAULT
        NAME !!Enabled VAL NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
詳細(xì)操作如下:
１，在DC里的OU里新建一條GPO組策略
２,、添加至組策略----計(jì)算機(jī)配置----管理模板中,，
３、注意在“查看”----“篩選”中去掉“只顯示能完全管理的策略設(shè)置”前面的勾
４,、右鍵管理模板--點(diǎn)添加刪除模板--添加usb.adm的模板文件--點(diǎn)關(guān)閉窗口中出現(xiàn)custom policy settings進(jìn)入,就可以看到那個(gè)設(shè)備的,右鍵你想設(shè)置的設(shè)備如disable usb 出現(xiàn)屬性對(duì)話(huà)框點(diǎn)已啟用在disable usb ports 中選enabled確定后重啟計(jì)算機(jī),就會(huì)發(fā)現(xiàn)usb接口不能用了,要恢復(fù)就禁用或選disabled,其它設(shè)備也是同樣的操作.

 

 

 

禁用USB接口
一般來(lái)說(shuō)不管是大公司還是中小企業(yè)都會(huì)非常重視自己的網(wǎng)絡(luò)安全，根據(jù)可靠資料顯示表明造成計(jì)算機(jī)安全隱患的最主要原因有兩個(gè),，一個(gè)是操作系統(tǒng)自身的漏洞以及使用者下載非法程序造成的,，而另一種則是因?yàn)槭褂谜呤褂脦в胁《镜囊苿?dòng)介質(zhì)（諸如U盤(pán),，移動(dòng)硬盤(pán),，MP3,，數(shù)碼相機(jī)等）造成的,，當(dāng)用戶(hù)把移動(dòng)介質(zhì)插在計(jì)算機(jī)上后病毒會(huì)迅速?gòu)囊苿?dòng)設(shè)備上傳播到本地計(jì)算機(jī)硬盤(pán)中,。
    第一種情況我們可以通過(guò)啟用系統(tǒng)更新來(lái)避免,，而第二種情況一直沒(méi)有好的處理方法，畢竟日常工作中需要頻繁的交換文件,，這時(shí)不可避免的需要使用移動(dòng)介質(zhì)。不過(guò)對(duì)于一些企業(yè)的內(nèi)部機(jī)房來(lái)說(shuō),，可能平時(shí)只需要進(jìn)行一些培訓(xùn)或者上網(wǎng)瀏覽操作，并不需要使用移動(dòng)介質(zhì)來(lái)傳輸數(shù)據(jù)，這時(shí)我們就可以通過(guò)禁用USB接口來(lái)實(shí)現(xiàn)對(duì)移動(dòng)介質(zhì)上病毒的防治目的,。
    一，什么樣的設(shè)備才起作用,？
    本文將為各位讀者介紹通過(guò)權(quán)限設(shè)置的方法防止USB設(shè)備被隨意使用的方法,，但是通過(guò)此方法后我們?nèi)匀豢梢允褂靡恍︰SB外設(shè)，諸如USB打印機(jī)和掃描儀,。被禁用的僅僅是移動(dòng)存儲(chǔ)介質(zhì)——U盤(pán),、移動(dòng)盤(pán),、MP3,、數(shù)碼相機(jī)等,。所以說(shuō)該方法一點(diǎn)也不會(huì)影響到日常工作,。
    二，文件權(quán)限法：
    文件權(quán)限法說(shuō)白了就是對(duì)管理USB存儲(chǔ)設(shè)備的系統(tǒng)文件權(quán)限加以限制,，把%SystemRoot%\Inf\Usbstor.pnf和%SystemRoot%\Inf\Usbstor.inf兩個(gè)文件的“完全控制”權(quán)限去掉,。該方法適用于電腦新安裝后從來(lái)沒(méi)有接過(guò)USB存儲(chǔ)設(shè)備（即一次都沒(méi)接過(guò)U盤(pán)之類(lèi)的介質(zhì)，當(dāng)然打印機(jī)掃描儀等等不帶存儲(chǔ)功能的產(chǎn)品不算）,。
    第一步：?jiǎn)?dòng)Windows資源管理器,，然后找到%SystemRoot%\Inf文件夾。（如圖1）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖1（點(diǎn)擊看大圖）
    第二步：右鍵單擊“Usbstor.pnf”文件,，然后單擊“屬性”。 （如圖2）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖2（點(diǎn)擊看大圖）
    第三步：如果你沒(méi)有看到“安全”標(biāo)簽,，說(shuō)明你的計(jì)算機(jī)C盤(pán)的文件格式不是NTFS,，一般來(lái)說(shuō)是FAT32。只有我們將該磁盤(pán)分區(qū)改為NTFS格式后才可以對(duì)某個(gè)文件或文件夾設(shè)置權(quán)限,。我們可以在相應(yīng)的C分區(qū)上點(diǎn)鼠標(biāo)右鍵選擇“屬性”來(lái)查看是FAT32文件系統(tǒng)還是NTFS文件系統(tǒng),。（如圖3）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖3（點(diǎn)擊看大圖）
    第四步：如果我們的C盤(pán)分區(qū)文件系統(tǒng)是FAT32那么可以執(zhí)行convert命令將其進(jìn)行轉(zhuǎn)換。具體方法是通過(guò)“開(kāi)始->運(yùn)行->輸入CMD”進(jìn)入命令行模式,，然后鍵入convert c: /fs:ntfs,。這樣系統(tǒng)將自動(dòng)把該分區(qū)的文件系統(tǒng)進(jìn)行修改。不過(guò)由于是對(duì)C盤(pán)系統(tǒng)盤(pán)進(jìn)行操作,，所以轉(zhuǎn)換過(guò)程需要在“下一次重新啟動(dòng)系統(tǒng)時(shí)才會(huì)運(yùn)行”,。（如圖4）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖4（點(diǎn)擊看大圖）
    第五步：但是有的時(shí)候即使你的系統(tǒng)轉(zhuǎn)換成NTFS格式也沒(méi)有出現(xiàn)安全標(biāo)簽，特別是對(duì)XP系統(tǒng)來(lái)說(shuō),，當(dāng)我們?cè)谙朐O(shè)置共享權(quán)限的文件夾上點(diǎn)鼠標(biāo)右鍵選擇“共享和安全”后出現(xiàn)的設(shè)置窗口中卻沒(méi)有“安全”標(biāo)簽,。（如圖5），要想共享只能把該文件夾或文件復(fù)制到“共享文檔”中,。實(shí)際上這是因?yàn)槲覀兪褂昧撕?jiǎn)單共享方式,，要想取消這種簡(jiǎn)單共享方式需要打開(kāi)“我的電腦”，在上方菜單中選擇“工具->文件夾選項(xiàng)”,。在“查看”標(biāo)簽中找到“使用簡(jiǎn)單文件共享”,，將其前頭的對(duì)勾去掉即可,。（如圖6）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖6（點(diǎn)擊看大圖）
    第六步：確定完畢后我們還需要設(shè)置一下“網(wǎng)絡(luò)安裝向?qū)?#8221;。在文件夾屬性中的共享標(biāo)簽點(diǎn)“網(wǎng)絡(luò)安裝向?qū)?#8221;,。（如圖7）然后在網(wǎng)絡(luò)安裝向?qū)е邪凑仗崾疽徊讲竭M(jìn)行即可,。（如圖8）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖7（點(diǎn)擊看大圖）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖8（點(diǎn)擊看大圖）
    第七步：設(shè)置好網(wǎng)絡(luò)安裝向?qū)Ш笪覀兙涂梢院蚖INDOWS2000一樣通過(guò)文件夾屬性中的“共享”標(biāo)簽和“安全”標(biāo)簽來(lái)分配訪(fǎng)問(wèn)該目錄的用戶(hù)及其權(quán)限了。（如圖9）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖9（點(diǎn)擊看大圖）
    小提示：
    默認(rèn)情況下如果你是用administrator管理員帳戶(hù)登錄的系統(tǒng),，那么他是不能夠被修改成沒(méi)有權(quán)限訪(fǎng)問(wèn)系統(tǒng)文件夾中的數(shù)據(jù)的,。要想禁用USB存儲(chǔ)設(shè)備必須單獨(dú)建立一個(gè)另外的帳戶(hù)，哪怕他是管理員組的賬號(hào)也可以通過(guò)上面介紹的方法將其對(duì)于“Usbstor.pnf”文件的完全控制權(quán)限剝奪,。
    第八步：繼續(xù)上面的設(shè)置工作,，右鍵單擊找到的“Usbstor.pnf”文件，然后單擊“屬性”,。在安全標(biāo)簽中的“組或用戶(hù)名稱(chēng)”列表中,，單擊要為其設(shè)置“拒絕”權(quán)限的用戶(hù)或組，當(dāng)然你也可以通過(guò)“添加”按鈕對(duì)單獨(dú)用戶(hù)進(jìn)行設(shè)置,。
    第九步：在“組或用戶(hù)權(quán)限”列表中,，單擊已選中“完全控制”旁邊的“拒絕”復(fù)選框，然后單擊“確定”,。（如圖10）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖10（點(diǎn)擊看大圖）
    小提示：
    在進(jìn)行此步操作時(shí)還需要注意一點(diǎn)的是要將系統(tǒng)帳戶(hù)也添加到“拒絕”列表中,。
    第十步：像尋找“Usbstor.pnf”文件及設(shè)置權(quán)限一樣，我們還需要對(duì)“Usbstor.inf”進(jìn)行同樣的設(shè)置,，右鍵單擊“Usbstor.inf”文件,，該文件也是存在于系統(tǒng)文件夾中的INF目錄中，然后單擊“屬性”,。（如圖11）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖11（點(diǎn)擊看大圖）
    第十一步：在彈出的設(shè)置窗口中單擊“安全”選項(xiàng)卡,。 在“組或用戶(hù)名稱(chēng)”列表中，單擊要為其設(shè)置“拒絕”權(quán)限的用戶(hù)或組,，同樣也可以利用“添加”按鈕對(duì)單獨(dú)用戶(hù)進(jìn)行設(shè)置,。 。然后在“組或用戶(hù)權(quán)限”列表中,，單擊已選中“完全控制”旁邊的“拒絕”復(fù)選框,，最后單擊“確定”。（如圖12）
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}">
圖12（點(diǎn)擊看大圖）
    當(dāng)我們順利的完成了對(duì)這兩個(gè)文件的權(quán)限分配操作后,，使用該被設(shè)置了對(duì)此兩個(gè)文件拒絕訪(fǎng)問(wèn)權(quán)限的用戶(hù)就無(wú)法再使用USB存儲(chǔ)設(shè)備了,，當(dāng)把U盤(pán)或移動(dòng)硬盤(pán)插到計(jì)算機(jī)的USB接口時(shí)只會(huì)收到“權(quán)限訪(fǎng)問(wèn)拒絕”的提示。當(dāng)然正如上文所說(shuō)連接USB接口的打印機(jī)或掃描儀都是沒(méi)有問(wèn)題的,，一切正常,，一點(diǎn)也不影響使用。
三，注冊(cè)表限制法：
    如果電腦已經(jīng)用過(guò)USB存儲(chǔ)設(shè)備,，那么禁止起來(lái)就更加方便了,，直接使用注冊(cè)表文件進(jìn)行導(dǎo)入操作即可。
    禁止使用USB存儲(chǔ)設(shè)備的注冊(cè)表內(nèi)容如下：
    Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲(chǔ)設(shè)備"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
    我們將上面的代碼保存成一個(gè)以REG為后綴的文本文件,，然后雙擊該文件導(dǎo)入注冊(cè)表就完成了禁止該計(jì)算機(jī)使用USB存儲(chǔ)設(shè)備的操作,。所有用戶(hù)都無(wú)法用USB存儲(chǔ)設(shè)備了，這點(diǎn)和上面僅僅是根據(jù)用戶(hù)或用戶(hù)組來(lái)限制的方法是不同的,，效果更好應(yīng)用范圍更廣,。
    開(kāi)啟USB存儲(chǔ)設(shè)備使用權(quán)限的注冊(cè)表內(nèi)容如下：
    Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲(chǔ)設(shè)備"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
    我們將上面的代碼保存成一個(gè)以REG為后綴的文本文件，然后雙擊該文件導(dǎo)入注冊(cè)表就完成了開(kāi)啟該計(jì)算機(jī)使用USB存儲(chǔ)設(shè)備的操作,。所有用戶(hù)都可以使用USB存儲(chǔ)設(shè)備,。
四，總結(jié)：
    本文提供了兩種方法來(lái)解決病毒或木馬通過(guò)USB存儲(chǔ)設(shè)備進(jìn)行傳播的問(wèn)題,，通過(guò)兩種方法對(duì)本地計(jì)算機(jī)的USB存儲(chǔ)設(shè)備訪(fǎng)問(wèn)權(quán)限進(jìn)行了限制,，使得某個(gè)用戶(hù)或所有用戶(hù)都無(wú)法使用USB存儲(chǔ)設(shè)備，兩種方法各有利弊,。第一種是針對(duì)某個(gè)用戶(hù)或用戶(hù)組進(jìn)行限制的,，而第二種則是對(duì)該計(jì)算機(jī)所有用戶(hù)限制使用USB存儲(chǔ)設(shè)備的方法，當(dāng)然對(duì)于想在整個(gè)網(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)一起進(jìn)行限制的話(huà),，筆者還是建議從應(yīng)用出發(fā),，使用注冊(cè)表導(dǎo)入的方法來(lái)完成，畢竟只需要一個(gè)文件然后運(yùn)行即可,，通過(guò)組策略或者某些廣播軟件可以輕松實(shí)現(xiàn),，省去了要往返于所有計(jì)算機(jī)分配文件夾訪(fǎng)問(wèn)權(quán)限的操作。