·

計算機USB讀寫許可權統一管理(在域環境中)

【摘要】

在我們企業內部進行規範和安全管理的時候，可能經常會有這樣的需求：禁止企業內所有電腦的USB介面進行檔案拷貝，但不能妨礙印表機、滑鼠鍵盤、掃描器、加密狗等等一切需要USB介面工作的外部裝置，但是對於高管，不能做限制。

首先理解一下需求：USB裝置接入，不能拷貝檔案，但是可以讀取，其他辦公裝置可正常讀取、

接下來就一臺探討一下如何實現這個需求。

【正文】

實現思路及過程

1.限制USB裝置，常規方法如下三種：

1)從硬體層面入手：可直接在計算機BIOS中關閉USB裝置，耗時且USB裝置將不可用，不符合需求，不推薦；

2)從系統技術出發，修改登錄檔，結合AD組策略，針對普通使用者和高管OU，設定不同策略，工作組的計算機，可手動進行配置，省時，可實現需求，推薦方案；

3)第三方解決方案：一般的安全廠家都會有針對移動裝置接入的管控軟體，使用此方案可能會產生額外費用，IT預算不緊張的情況下，可考慮，作為可選方案。

2.實現過程

根據上一部分內容的討論，我們選擇第2）中方案，從系統技術角度出發，修改登錄檔，結合組策略來滿足此需求。

1)首先，在登錄檔中需要關閉USB裝置的碟符自動分配，找到如***冊表項，將Start值更改為4，意思是禁止自動執行（預設是3）；

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

2)刪除USB儲存裝置的作用檔案，預設存放於:系統盤\Windows\inf目錄下，如下圖，usbstor.inf和usbstor.pnf，這兩個檔案是USB儲存裝置的作用檔案，為了安全期間，建議先備份，然後在刪除，可通過下面4條語句實現：

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul

del %Windir%\inf\usbstor.pnf /q/f >nul

del %Windir%\inf\usbstor.inf /q/f >nul

3)接下來，禁止將電腦裡的資料拷貝到USB儲存裝置，使USB儲存裝置預設成為只讀狀態，需要通過修改登錄檔實現，找到路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

在其下新建一個名為“StorageDevicePolicies”的項，選中它，在右邊的窗格中新建一個名為“WriteProtect”的DWORD值，並將其數值資料設定為1

可通過如下實現：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v WriteProtect /t reg_dword /d 1 /f

4)上述的語句可以統一編寫成為一個bat檔案，在AD中做成開機指令碼或使用者登入指令碼，即可實現批量更改。

··