由于安全须要,要禁用U盘的使用,但是不禁用其它usb接口的设备,查了一下,发现有一份资料这样写:
运行注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEMControlSet002\Services\USBSTOR键,取消System的所有控制权。如果要分配控制权,只需要对相应用户设置控制权限就可以了。
问题1:我按照上面的描述,我在DC上的组策略中的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面没有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?
问题2:上面要求分配控制权,如果客户端的系统所在的分区不是NTFS,那么这个安全策略是否起作用?
关于Active Directory中禁用移动存储的问题
一、关于如何使用策略禁用USB的问题 此文章中借用MS KB823732 来说明禁用USB存储设备的原理,但这个方法存在两点问题:
1、要求用户之前没有使用过USB,否则可能就不起作用了。
2、由于是针对计算机的策略,故而无法针对用户来控制。(用户有可能在其他计算机上登陆,也有可能临时的开放使用USB设备)
BTW:用策略控制移动存储有些难度,制作策略比较麻烦,于是国外的一个MVP Simon Geary 写了一个kb555324 HOWTO: 使用组策略来禁用 USB、 CD-ROM、 软盘和 LS-120 驱动程序 大家可以用他写的adm模版直接导入GPO使用。
二、移动存储管理 由于上面方法中存在的问题,我就写了这个文章,大家可以用一些第三方的工具来灵活管控用户账户使用USB的权限,诸如 GFI LANguard 或者 CenterTools DriveLock 等等。这些工具都具有如下这些特点:
需要部署客户端的Agent
可以针对用户账户处理
可以管理更多类型的移动存储,比如DVD刻录机,比如蓝牙,比如MP3、smartphone等等
可以通过远程管理
问题1:我按照上面的描述,我在DC上的组策略中的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面没有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?
回答:如果系统所在分区不是NTFS,则安全项目无效。