关于办公电脑的USB接口管控二三点

关于办公电脑的USB接口管控二三点（网课学习笔记）

一：考虑到防病毒和保密的需求，公共机房和办公用机都希望限制使用U盘等移动设备。其实限制计算机使用U盘有几种方法，简单说明如下：

1.修改bios，将usb接口Disableed。（针对G41、H61）针对新主板及笔记本不适用。

2.修改注册表键值，将[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]下的Start双字节键值由默认的3该为4即可:

3.通过控制驱动文件对USB管控，处理USB存储设备的作用文件：进入WINDOWS系统目录，找到X：\Windows\inf(usbstor.inf和usbstor.pnf)，考虑到后续还会重新打开USB功能，所以处理配置文件时需做好备份

方法一：是通过自定义组策略进行限制使用移动设备。其实每一条组策略都会与一处或多处注册表键值相对应。所以注册表才是windows系统管理的核心。

1：定制组策略模板,利用组策略管理网路，为用户提供了强大而高效的管理功能。然而有些功能在系统本身的模板里并不存在，比如禁止访问注册表、修改屏幕分辨率。

 

2：系统自身的组策略文件存放在“%systemroot%\system32\GroupPolicy\***”文件夹，可以直接用记事本编辑，也可以将自定义模板的代码添加到任意位置。

3：本文制作的DisableUSBDrives.adm原理就是通过上面提到的修改注册表键值的方法实现限制移动设备使用。当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。本文之所以不去简单修改注册表文件是因为，组策略对于域模式下的系统管理对于客户端数量较多的情况。

4：下面开始制作，建立一个记事本文件，写入如下内容

*********************************************************************

Class MACHINE                                  

CATEGORY !!FirstCategory

 

    POLICY !!DisableUSBDrives

          EXPLAIN !!E_HELP

          KEYNAME

   "SYSTEM\CurrentControlSet\Services\usbstor"

     VALUENAME "Start"

     VALUEON NUMERIC 4

     VALUEOFF NUMERIC 3

    END POLICY

END CATEGORY

[strings]

FirstCategory="自定义组策略模板"

DisableUSBDrives="禁止使用移动设备"

E_HELP="开启——表示禁止使用移动设备；未定义或者关闭——表示可以正常使用。

*********************************************************************

6：自定义模板的使用

A：将编辑完成的文件另存为DisableUSBDrives.adm的组策略模板文件

B：在域模式下通过AD的用户与计算机管理打开相应组织单元的组策略，如果是单机则

在运行中输入gpedit.msc打开组策略编辑器

C：定位到计算机配置—管理模板。在管理模板上单击右键，选择添加/删除模板

添加建立好的DisableUSBDrives.adm文件

D：添加后默认情况下并不能看到所添加的策略。右键单击管理模板，选择查看—筛选

在弹出的对话框中，启用筛选需求，之后即可看到禁止使用移动设备的策略，点击启用，设置生效

二．通过系统注册表管制USB存储设备，考虑到通过BIOS禁止，会导致USB端口彻底失效而造成鼠标、键盘等外设的正常使用，而软终端又会占用系统内存导致计算机卡顿等情况，所以优先考虑通过注册表进行管制,并且可以通过SCCM进行配置项管理。

实施步骤：判定范围：win7  win10

1. 将USB存储设备设置为只读。打开注册表，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control，新建一个为“StorageDevicePolicies”项，选中后，在右边的窗格新建一个名为“WriteProtect”的DWORD值，并将数值数据设置为1，这样USB存储设备只具备读取能力。

Regedit打开注册表，选择[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001  优盘只读 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies   WriteProtect]

SCCM基线说明：建立规则名称暂用英文   WriteProtect  1  只读为信息  0  可读写  无默认可读写报警                   

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]  "WriteProtect"=dword:00000000  优盘可读写     

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]   

注册表项不存，则判定为优盘可读写