none
GPO禁用USB隨身碟問題 RRS feed

  • 問題

  • 小弟使用官方釋出的文件,(http://support.microsoft.com/?scid=kb%3Ben-us%3B555324&x=15&y=13)
    試圖利用GPO禁用USB隨身碟,初期測試真的可以進行控管,
    但後期發現了一個問題,
    只要是 Client  接上 "沒有使用過" 的USB隨身碟,
    就失效了,必須重新開機或 gpupdate /force 才可以.

    請問這是正常的嗎? 是否有其它方式補救? 還是只是小弟的誤解?
    懇請指教,非常感謝.


    2008年5月26日 上午 09:34

解答

  • 1.試試將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR的權限整個拿掉,連administrator也不能存取。

    2.若可以解決,配合subinacl工具,將所有的client整個都改掉。

     

    2008年5月27日 上午 03:46

所有回覆

  • 1.試試將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR的權限整個拿掉,連administrator也不能存取。

    2.若可以解決,配合subinacl工具,將所有的client整個都改掉。

     

    2008年5月27日 上午 03:46
  • Ehunang,
    成功了,我在GPO設定只有 DomainAdmin 才可變更機碼,
    測試後,Client會抓的到有USB隨身碟,但因權限不足,無法安裝使用,
    謝謝.
    2008年5月27日 上午 05:19
  • 針對這個需求,已經在Vista上做了很大的加強。

    在Vista的Policy可以找到針對USB storage 做一些限制 Computer Configuration>Administrative Templates>System>Removable Storage Access
    2008年5月27日 上午 05:34
  •  

    想請問一下,怎樣在GPO上設定只有 DomainAdmin 才可變更機碼???可以跟我提一下嗎???
    2008年6月12日 上午 01:38
  •  HLIT 寫信:

     

    想請問一下,怎樣在GPO上設定只有 DomainAdmin 才可變更機碼???可以跟我提一下嗎???

     

     

    開啟群組原則/ [電腦設定] / [Windows設定] / [安全性設定] / [登入] / 右鍵 [新增機碼]

    指定要控管的機碼後,即可編輯[安全性設定],

    加入 DomainAdmin 群組即可.

    請參考.

    2008年6月12日 上午 01:54
  •  Ehuang 寫信:

    1.試試將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR的權限整個拿掉,連administrator也不能存取。

    2.若可以解決,配合subinacl工具,將所有的client整個都改掉。

     

     

    經過驗證,

    此方式雖然可以讓 Client 無法安裝隨身碟,

    但User 還是可以利用 .reg 的方式修改機碼.

     

    2008年6月12日 上午 01:58
  • 不好意思

    想先請問一下,2000 AD是否無GPO可設定禁用USB裝置??

    還是說可照文件regpolicy.doc新增templete ???謝謝!

    2008年6月13日 上午 03:55
  • 怎么我利用GPO禁用USB隨身碟無效呢

     

    2008年7月8日 上午 10:47

  • 沒錯,我之前的經驗也是如此,雖然拿掉了,但是"沒有使用過"的裝上去當下,還是可以用。就算利用GPO鎖住User編輯登錄檔也一樣,初次安裝的隨身儲存裝置無效。
    後來我們公司改用另一個登錄檔,將USB鎖成唯讀,也就是允許員工帶東西進來公司(當然防毒機制要好),但是不允許員工將公司資料儲存到隨身碟。然後一樣配合GPO鎖住登錄檔,目前已經使用了快兩年了。

    資料引述自網站資料
    方案5:將USB大容量儲存裝置設定成只能唯讀

    1.
    重複方案4之步驟12,進入「登錄編輯視窗」。

    2.
    接著進入「HKEY_LOCAL_MACHINESystemCurrentControlSet Control」子登錄目錄下,檢視是否有名為「StorageDevicePolicies」的機碼存在,如果有的話,請直接跳至步驟4

    3.
    若目錄下沒有該機碼,可在「Control」子目錄上,點取滑鼠右鍵,並在下拉視窗中點取「新增/機碼」,將該機碼命名為「StorageDevicePolicies」。
    4.在「StorageDevicePolicies」機碼上,點取滑鼠右鍵,然後點選「新增/DWORD值」。
    5.接著,「登錄編輯視窗」右欄框中會出現「新數值#1」,將該數值命名為「WriteProtect」。
    6.在「WriteProtect」數值名稱上按滑鼠右鍵,於下拉視窗中點取「修改」,即會跳出「編輯DWORD值」視窗。

    7.
    將「編輯DWORD值」視窗中的16進位之「數值資料」,改成「1」(預設值為0),然後按下「確定」鍵。
    8.USB隨身碟插入USB埠中試試看,將USB隨身碟中的資料複製到桌面上,結果確定可以讀取無誤。

    9.
    接下來,再試著將電腦中的資料複製到USB隨身碟中,結果卻出現「複製檔案或資料夾發生錯誤」警訊視窗,說明員工電腦只能讀取USB隨身碟資料,但卻無法將電腦中的資料複製到隨身碟上,整個設定於焉大功告成。
    1. 此一方案的優點為員工仍可正常讀取USB隨身碟或外接式硬碟中的資料,但是卻無法將公司網路上或員工電腦中的重要資料,存到USB儲存裝置當中,如此一來,即無須擔心重要的資料遭到惡意員工藉由USB儲存裝置任意外流。但是,該方案仍有安全疑慮,因為惡意程式很可能因此透過USB儲存裝置,傳播到企業各 端點電腦、甚至網路之中。
    2008年7月10日 上午 01:36
  • janhome:

    講解的非常細﹐謝謝﹗

    但是我還是想一部份員工的USB完全禁止(病毒太多)﹐小部份開放只讀。

    請繼續指教﹗

    2008年7月10日 上午 02:22
  •  

    我已經按照上述的官方文件的code內容存成UNICODE的.ADM檔案,但是當我利用本機的GPO來測試匯入時,我只有能過看到"Restrict Drives"這個項目而已,裡面就是空的了?

     

    請教一下為什麼沒有引入"Disable USB"那些選項呢?還有什麼要注意的嗎?

    2008年11月3日 上午 03:39
  •  

    我自己找到問題在哪裡了!

     

    按右鍵"檢視"->"篩選"->"只顯示可以完全控制的原則設定"不勾選

     

    即可顯示!!提供給跟我遇到一樣問題的朋友參考......

     

    2008年11月3日 上午 04:08
  •  

    這該不會是user本身就具有本機的admin權限造成的問題吧!!

     

    如果user在本機端不具有admin權限時,應該插入新的usb裝置之後

    就會直接秀出無法安裝usb裝置才對

     

    如果按照上述的做法,那等同於在登入的同時

    就宣告機碼無法讓user修改,即使擁有本機的admin也是一樣

     

    可是…

    這樣一來,user做的任何設定值相關修改不就也無法生效了嗎?

    因為機碼被domainadmin鎖死了

    2008年11月27日 上午 07:37
  • 親愛的 Roger

     

    請問在如何在[群組原則]/ [電腦設定] / [Windows設定] / [安全性設定] 中, 能夠找到[登入] 呢?
    2008年11月28日 上午 03:33
  • 請問此處具體應指定哪個機碼???

    2012年5月26日 上午 08:21