利用Windows組策略禁用U盤
利用Windows組策略禁用U盤是如何實(shí)現(xiàn)的呢?具體內(nèi)容如下所述。
如今U盤的使用很普遍了,無論品牌機(jī)還是兼容機(jī),大伙在購置回家后都喜歡搭配上個(gè)U盤,拷起東西來很方便。然而,在單位由于受到商業(yè)競(jìng)爭(zhēng)的原因,大多數(shù)機(jī)器上是不允許使用U盤的,因?yàn)槟菢永习逍睦锊皇娣瑩?dān)心商業(yè)泄密。這不,最近單位老總要求本人徹底封殺U盤(除了有特權(quán)的用戶)。趕快行動(dòng)吧,不然老板怪罪下來,吃不了可兜著走。
我們單位大多數(shù)使用的是window2000、windowxp系統(tǒng)。Window98所占的比例不多,因此重點(diǎn)放在屏蔽window2000、windowxp上。關(guān)于封殺usb接口的文章在網(wǎng)上挺多的,大多數(shù)是通過cmos的修改來屏蔽usb接口,或者是將window系統(tǒng)中的i386文件夾下的設(shè)備壓縮包徹底刪除,再者就是通過停用usb總線控制器。這些方法有的在達(dá)到目的的同時(shí),也阻礙了其他設(shè)備的應(yīng)用,效果不是很友好。這讓我想到了是否應(yīng)用Windows組策略來實(shí)現(xiàn)封殺的目的,因?yàn)樵谠瓉砦以盟鈿⑦^某個(gè)盤區(qū)的使用,當(dāng)然不是因?yàn)樗饺说奈锛彩菫榱水a(chǎn)品的保密。思路很好,那實(shí)踐一下看看效果如何吧?
當(dāng)然,通過組策略禁止U盤需要一定的計(jì)算機(jī)系統(tǒng)知識(shí),如果你覺得復(fù)雜,也可以通過專門的U盤管理軟件來實(shí)現(xiàn),例如當(dāng)前國內(nèi)使用較多的“大勢(shì)至USB控制系統(tǒng)”(下載地址:http://www.grablan.com/monitorusb.html),通過在電腦上安裝之后就可以完全禁止U盤、移動(dòng)硬盤、手機(jī)存儲(chǔ)(現(xiàn)在手機(jī)存儲(chǔ)空間挺大的)等USB存儲(chǔ)設(shè)備,而不影響USB鼠標(biāo)鍵盤的使用,同時(shí)也可以防止被員工突破,可以很好地保護(hù)單位商業(yè)機(jī)密和信息安全,有興趣的網(wǎng)友可以下載使用。
首先,在“開始—>運(yùn)行.”中輸入”gpedit.msc”后,便打開了如下圖1所示:
圖 1
我們就是利用“防止從‘我的電腦”訪問驅(qū)動(dòng)器“來設(shè)置禁止usb接口。雙擊打開啟用后,發(fā)現(xiàn)并不像我們想象的那樣驅(qū)動(dòng)盤符都存在,如圖2所示:
圖 2
而且存在這么一個(gè)問題,每個(gè)電腦的分區(qū)數(shù)不同,分配給U盤的區(qū)號(hào)也不同,怎樣將其封殺呢?
經(jīng)過一段時(shí)間的摸索,我找到了控制Windows組策略的模板文件,它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm,用筆記本打開后,截圖如圖3:
圖 3
呵呵,發(fā)現(xiàn)了吧?在“NAME!!×Only VALUENUMERIC ×”語句,前面的好似一個(gè)定義,跟我們?cè)趫D2看到的效果相似,而且有這么句“low 26 bits on(1bit per drive)”,意思說“26位每一個(gè)設(shè)備占1位”。每個(gè)分區(qū)是按著1、2、4、8、16、32、等逐步遞增,于是經(jīng)過試驗(yàn),果然如此,只要將除了硬盤分區(qū)保留外,我們將所有的字母寫上,同時(shí)算出數(shù)值。
即將:
NAME!! EFGHIONLY VALUE NUMERIC 496
(注:我這里只是舉了5個(gè)盤符,為什么?后面說明)
將上面的語句在“!!NoDrives_Help”和“!!NoViewOnDrive”兩個(gè)地方上填寫。并且在圖4所示的位置,也要加入一行:
圖 4
EFGHIONLY=“限制驅(qū)動(dòng)器E、F、G、H、I”。
否則,在你重新打開gpedit時(shí)會(huì)出錯(cuò)誤信息。當(dāng)所有工作做完后,保存該文檔,打開Windows組策略,看看效果:
圖5所示:
圖 5
呵呵,是吧?在下拉菜單中出現(xiàn)了我們?cè)O(shè)置的驅(qū)動(dòng)器號(hào)了。
選中它后點(diǎn)擊確定。拿U盤試一下,果然,出現(xiàn)了圖6的警告提示:
圖 6
此時(shí),也許你會(huì)問通過這樣一改,注冊(cè)表發(fā)生了什么變化嗎?運(yùn)行“regedit”,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的“NoViewOnDrive”鍵值賦予了十六進(jìn)制“1f0”,換算成十進(jìn)制是多少?呵呵,不要告訴我,你不會(huì)么!
(注:由此,我們得到了用注冊(cè)表來封閉U盤的方法)
雖然,U盤被封住了,但是通過計(jì)算機(jī)管理中的磁盤管理,更改U盤的盤符,找個(gè)26個(gè)字母的后某一位。結(jié)果U盤有復(fù)活了。這就是為什么前面提到要多算幾個(gè)盤符的數(shù)值的原因。
到這里,其實(shí)封閉工作也做的的差不多了。假設(shè)還不放心,如果用戶打開Windows組策略,更改設(shè)置怎么辦?那我們通過運(yùn)行注冊(cè)表,打開:[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]下的“Restrict_Run”的鍵值,改為“1”。當(dāng)有的用戶想運(yùn)行Windows組策略時(shí),就出現(xiàn)了如下圖7提示:
圖 7
嗯,這下,不通過注冊(cè)表,administrator也休想打開了。
最后,關(guān)于win98上面的封殺辦法,我們可以通過控制驅(qū)動(dòng)來實(shí)現(xiàn),相對(duì)來說簡(jiǎn)單。
利用Windows組策略禁用U盤已經(jīng)介紹完了,好了,感興趣的朋友,趕快試驗(yàn)一下吧!更多有關(guān)組策略的知識(shí)有待于讀者去學(xué)習(xí)和鞏固。
【編輯推薦】
