关于如何使用策略禁止USB的问题
转自:http://gnaw0725.blogdriver.com/gnaw0725/302835.html
作者:gnaw0725
日前,在Winmag和
emerbor(△)朋友讨论
:[求助]如何在Windows2000下禁止打游戏!!!!
(原帖见于
http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=5&id=481941)
其中提到的关于删除游戏和禁止usb的问题,有一定的代表性,这里特整理如下:
关于如何删除游戏:
将下面这个脚本保存为cmd,然后制定策略,将脚本放在策略中计算机登陆脚本执行它就可以了。
脚本将在计算机启动的时候执行,清除系统自带的小游戏。由于删除的顺序是按照 servicepackfile、dllcache、system32执行,将不会给系统文件保护所阻拦,进入系统后也不会有任何提示。
--------------------请不要复制此行-----------------------------
echo
y|del
%systemRoot%\ServicePackFiles\i386\spider.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\sol.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\freecell.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\Pinball.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\winmine.exe
attrib -s -h -r %systemRoot%\system32\dllcache
echo y|del %systemRoot%\system32\dllcache\spider.exe
echo y|del %systemRoot%\system32\dllcache\sol.exe
echo y|del %systemRoot%\system32\dllcache\freecell.exe
echo y|del %systemRoot%\system32\dllcache\Pinball.exe
echo y|del %systemRoot%\system32\dllcache\winmine.exe
echo y|del %systemRoot%\system32\spider.exe
echo y|del %systemRoot%\system32\sol.exe
echo y|del %systemRoot%\system32\freecell.exe
echo y|del %systemRoot%\system32\winmine.exe
cd %programfiles%\window~1\pinball
echo y|del Pinball.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\sol.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\freecell.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\Pinball.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\winmine.exe
attrib -s -h -r %systemRoot%\system32\dllcache
echo y|del %systemRoot%\system32\dllcache\spider.exe
echo y|del %systemRoot%\system32\dllcache\sol.exe
echo y|del %systemRoot%\system32\dllcache\freecell.exe
echo y|del %systemRoot%\system32\dllcache\Pinball.exe
echo y|del %systemRoot%\system32\dllcache\winmine.exe
echo y|del %systemRoot%\system32\spider.exe
echo y|del %systemRoot%\system32\sol.exe
echo y|del %systemRoot%\system32\freecell.exe
echo y|del %systemRoot%\system32\winmine.exe
cd %programfiles%\window~1\pinball
echo y|del Pinball.exe
-------------------请不要复制此行------------------------
对于系统自带的游戏,前面的方法就可以制止它们的运行。
对于需要安装的游戏,domain users是没有权限安装的。
对于绿色软件的游戏,它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。
对于需要安装的游戏,domain users是没有权限安装的。
对于绿色软件的游戏,它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。
如果通过策略限制这些小软件的运行,用户可以更改其文件名以躲避策略限制。对于改名的问题,之前也讨论过,对于win2k的ad是没有办法限制的,对于win2k3来说,虽然可以通过校验软件头部hash值来限制,但用户仍然可以使用软件修改它。最终的解决办法还是要通过隐藏驱动器结合设置本地硬盘的ntfs权限(此可以通过安全模板实现)来进一步设定。
对于fileserver上的游戏,可以通过server上存储管理来做,比如veritas central,定期监控调用频率高的程序,就可以扫描到它们。
对于fileserver上的游戏,可以通过server上存储管理来做,比如veritas central,定期监控调用频率高的程序,就可以扫描到它们。
关于屏蔽USB:
MS有此kb,见于
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;823732,主要内容如下:
如果计算机上尚未安装USB存储设备
如果计算机上尚未安装USB存储设备,请向用户或组分配对下列文件的“拒绝”权限:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
这样,用户将无法在计算机上安装USB存储设备。要向用户或组分配对Usbstor.pnf和Usbstor.inf文件的“拒绝”权限,请按照下列步骤操作:
启动Windows资源管理器,然后找到%SystemRoot%\Inf文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
返回页首
如果计算机上已经安装了USB存储设备
警告:“注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。如果计算机上已经安装了USB存储设备,请将以下注册表项中的“Start”值设置为4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
这样,当用户将USB存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
单击“开始”,然后单击“运行”。
在“打开”框中,键入“regedit”,然后单击“确定”。
找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
在右窗格中,双击“Start”。
在“数值数据”框中,键入4,单击“十六进制”(如果尚未选中),然后单击“确定”。
退出“注册表编辑器”。
如果计算机上尚未安装USB存储设备,请向用户或组分配对下列文件的“拒绝”权限:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
这样,用户将无法在计算机上安装USB存储设备。要向用户或组分配对Usbstor.pnf和Usbstor.inf文件的“拒绝”权限,请按照下列步骤操作:
启动Windows资源管理器,然后找到%SystemRoot%\Inf文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
返回页首
如果计算机上已经安装了USB存储设备
警告:“注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。如果计算机上已经安装了USB存储设备,请将以下注册表项中的“Start”值设置为4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
这样,当用户将USB存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
单击“开始”,然后单击“运行”。
在“打开”框中,键入“regedit”,然后单击“确定”。
找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
在右窗格中,双击“Start”。
在“数值数据”框中,键入4,单击“十六进制”(如果尚未选中),然后单击“确定”。
退出“注册表编辑器”。
在实践操作的时候,可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发(抱歉这里是用繁体的名称,下面用图片来说明它的位置)
通过在登陆项目中新增机码(主键)(注:一般dc如果没有使用过usb设备,那么usbstor这键值是不会产生的,可以手动添加此主键。策略分发到client后,会自动应用于client的注册表中对应键值;
在添加用户的时候可以酌情考虑,是使用domain
users还是其他;权限的设置,请点击修改旁边的拒绝,这样当usbstor主键权限继承下去后,如果原来下面的子键已经有相应的权限,那么也会以拒绝优先)
通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)
通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)
就可以完成这一点。
client登入后,如果插入usb设备,系统将会提示:
“
您的安全性特殊權限不足
,
所以無法在這部電腦上安裝新的
裝置
.
請聯絡您的站台系統管理員
,
或者登出後重新以系統
管理員的身分登入
,
然後再安裝一次
.”
至此,USB禁止策略实施成功。