Jeremy E Asked: 2009-06-19 11:04:56 +0800 CST2009-06-19 11:04:56 +0800 CST 2009-06-19 11:04:56 +0800 CST 您如何防止用户使用绕过安全性的 USB 驱动器 772 我们需要一种方法来防止用户从 USB 驱动器复制任何内容,除非他们是系统管理员。出于安全目的,可以采取哪些措施来删除此访问权限。 windows security usb-flash-drive 10 个回答 Voted Best Answer Shazburg 2009-06-19T11:13:41+08:002009-06-19T11:13:41+08:00 Microsoft 有一篇关于这个问题的知识库文章 (KB555324)。您必须创建自定义组策略 ADM。O'Reilly 有一个更容易理解的文章: 使用组策略禁用 USB 存储 | Windows 开发者中心。 希望这可以帮助。 Dieda 2009-06-23T05:54:58+08:002009-06-23T05:54:58+08:00 另一种选择是使用USBSecure。这是一个小型可部署脚本,它从文件共享中读取 USB 设备的白名单。因此,您可以明确允许某些用户使用 USB 存储设备或允许供应商特定设备(例如罗技的所有 USB 键盘和鼠标)。哦,它是免费软件。 epotter 2009-08-20T05:41:31+08:002009-08-20T05:41:31+08:00 如果您使用的是 Windows Vista 及更高版本,则有组策略选项可让您精细控制允许或不允许哪些 USB 设备。(如果您必须支持 WinXP,请参阅此处列出的其他答案。) 在 Windows Vista 或更高版本中,转到组策略编辑器并向下钻取到:计算机配置\管理模板\系统\设备安装\设备安装限制 在那里,您将找到按特定设备 ID 或设备类别将黑名单设备列入白名单的选项。底部还有一个非常重要的策略,允许您阻止其他策略未涵盖的所有内容。 您只需要知道设备的硬件 ID 或设备类 guid。如果您将设备插入机器,这两件事都可以在设备管理器中找到。 例如,使用现有的策略,您可以允许所有鼠标和键盘,允许特定型号的 USB 扫描仪,并阻止其他所有内容。 Matt Everson 2009-06-19T11:10:54+08:002009-06-19T11:10:54+08:00 在 Windows 中,您可以通过设置注册表项来禁用 USB 存储驱动程序。这可以在 GPO 中配置并应用于一组有限的机器。如果您想允许USB 存储设备的子集,您可能不得不求助于运行某种代理的第三方产品。 Aaron Weiker 2009-06-19T11:12:01+08:002009-06-19T11:12:01+08:00 环氧树脂效果很好 katriel 2009-06-19T11:12:08+08:002009-06-19T11:12:08+08:00 一个快速而肮脏的解决方法是使用组策略禁用对 USB 设备的访问,请查看以下文章。也有商业产品可以完成同样的事情,具有更好的安全性。 MathewC 2009-06-19T11:14:59+08:002009-06-19T11:14:59+08:00 GPO 将禁用驱动程序: http://support.microsoft.com/default.aspx/kb/555324 Fleole 2009-06-19T12:07:24+08:002009-06-19T12:07:24+08:00 所有解决方案都很好,但您还需要考虑一个能够从 USB 加载数据的过程。 我现在在一家银行,默认情况下所有 USB 端口都被一个不会加载磁盘的 GPO 锁定。 问题是当外部顾问来加载一些数据时,他们没有流程,传输iso文件或任何文件真的很痛苦,因为如果你不能插入USB密钥,你也不能在网络上插入笔记本电脑。 如果您锁定了所有 USB,请不要忘记您仍然需要一种从 USB 加载数据的方法,并且通过网络/邮件传输 5GB 的数据并不总是一个答案。 安全总是有代价的。 Alexander Pavluchenko 2009-06-21T10:30:25+08:002009-06-21T10:30:25+08:00 我认为更好的解决方案是 DeviseLock 软件: http: //www.devicelock.com/ 它非常有用并且功能强大。 Contango 2011-01-31T10:42:55+08:002011-01-31T10:42:55+08:00 AC Element Company 的 MyUSBonly 和 EverStrike 的 StopUSB 也可以使用。 如果您想安装一个新的、未知的 USB 设备,它们都要求输入密码。 老实说,两者都可以设计得更好,但至少它们可以完成工作。
Microsoft 有一篇关于这个问题的知识库文章 (KB555324)。您必须创建自定义组策略 ADM。O'Reilly 有一个更容易理解的文章:
使用组策略禁用 USB 存储 | Windows 开发者中心。
希望这可以帮助。
另一种选择是使用USBSecure。这是一个小型可部署脚本,它从文件共享中读取 USB 设备的白名单。因此,您可以明确允许某些用户使用 USB 存储设备或允许供应商特定设备(例如罗技的所有 USB 键盘和鼠标)。哦,它是免费软件。
如果您使用的是 Windows Vista 及更高版本,则有组策略选项可让您精细控制允许或不允许哪些 USB 设备。(如果您必须支持 WinXP,请参阅此处列出的其他答案。)
在 Windows Vista 或更高版本中,转到组策略编辑器并向下钻取到:计算机配置\管理模板\系统\设备安装\设备安装限制
在那里,您将找到按特定设备 ID 或设备类别将黑名单设备列入白名单的选项。底部还有一个非常重要的策略,允许您阻止其他策略未涵盖的所有内容。
您只需要知道设备的硬件 ID 或设备类 guid。如果您将设备插入机器,这两件事都可以在设备管理器中找到。
例如,使用现有的策略,您可以允许所有鼠标和键盘,允许特定型号的 USB 扫描仪,并阻止其他所有内容。
在 Windows 中,您可以通过设置注册表项来禁用 USB 存储驱动程序。这可以在 GPO 中配置并应用于一组有限的机器。如果您想允许USB 存储设备的子集,您可能不得不求助于运行某种代理的第三方产品。
环氧树脂效果很好
一个快速而肮脏的解决方法是使用组策略禁用对 USB 设备的访问,请查看以下文章。也有商业产品可以完成同样的事情,具有更好的安全性。
GPO 将禁用驱动程序:
http://support.microsoft.com/default.aspx/kb/555324
所有解决方案都很好,但您还需要考虑一个能够从 USB 加载数据的过程。
我现在在一家银行,默认情况下所有 USB 端口都被一个不会加载磁盘的 GPO 锁定。
问题是当外部顾问来加载一些数据时,他们没有流程,传输iso文件或任何文件真的很痛苦,因为如果你不能插入USB密钥,你也不能在网络上插入笔记本电脑。
如果您锁定了所有 USB,请不要忘记您仍然需要一种从 USB 加载数据的方法,并且通过网络/邮件传输 5GB 的数据并不总是一个答案。
安全总是有代价的。
我认为更好的解决方案是 DeviseLock 软件: http: //www.devicelock.com/ 它非常有用并且功能强大。
AC Element Company 的 MyUSBonly 和 EverStrike 的 StopUSB 也可以使用。
如果您想安装一个新的、未知的 USB 设备,它们都要求输入密码。
老实说,两者都可以设计得更好,但至少它们可以完成工作。