组策略是Window衡痕贤伎s操作系统提供的一项强大的控制功能,通过组策略可以控制操作系统各个功能模块或服务打开或关闭。因此,通过组策略禁吹涡皋陕用U盘、屏蔽USB端口的使用也是一项比较简单易用的控制USB接口设备的方法。当然,由于需要对每台电脑进行单独设置,因此如果是在较大规模的局域网中,如果网管想禁用整个局域网电脑的U盘或USB存储设备的使用则最好部署专业的USB监控软件——“大势至USB控制系统”;如果公司电脑数量较少,同时公司员工技术水平不太高的情况下,通过组策略进行禁止USB接口使用、阻止USB存储设备的接入,是一个比较简单省心的办法。具体操作分两种情况:
一、如果计算机上尚未安装 USB 存储设备
如果计算机上尚未安装 USB 存储设备,请向以下文件指派用户或组及本地系统帐户“拒绝”权限。
·%SystemRoot%\Inf\Usbstor.pnf
·%SystemRoot%\Inf\Usbstor.inf
这样,用户将无法在计算机上安装 USB 存储设备。要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:
1.启动 Windows 资源管理器,然后找到 %SystemRoot%\Inf 文件夹。
2.右键单击“Usbstor.pnf”文件,然后单击“属性”。
3.单击“安全”选项卡。
4.在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
5.在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。注意:此外,还需将系统帐户添加到“拒绝”列表中。
6.在“组或用户名称”列表中,选择“系统”帐户。
7.在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
8.右键单击“Usbstor.inf”文件,然后单击“属性”。
9.单击“安全”选项卡。
10.在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
11.在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。
12.在“组或用户名称”列表中,选择“系统”帐户。
13.在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
二、如果计算机上已经安装了 USB 存储设备
如果计算机上已经安装了 USB 存储设备,请将以下注册表项中的“Start”值设置为 4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
这样,当用户将 USB 存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
1.单击“开始”,然后单击“运行”。
2.在“打开”框中,键入regedit,然后单击“确定”。
3.找到并单击以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
4.在详细窗格中,双击“开始”。
5.在“数值数据”框中,键入4,单击“十六进制”(如果尚未选中),然后单击“确定”。
6.退出注册表编辑器。
总之,企业局域网禁用电脑USB端口的方法很多,最终目的是达到禁用USB存储设备(如U盘、移动硬盘、手机存储卡等USB设备的使用),但同时还不能影响USB鼠标键盘的使用,因为现在很多鼠标、键盘都是USB接口。总体而言,通过组策略禁止USB接口的方法比较适合小规模的网络环境,对于较大规模推荐使用专业的USB监控软件、USB管理软件来实现。
