利用Windows組策略禁用U盤是如何實現(xiàn)的呢？具體內(nèi)容如下所述。

如今U盤的使用很普遍了，無論品牌機還是兼容機，大伙在購置回家后都喜歡搭配上個U盤，拷起東西來很方便。然而，在單位由于受到商業(yè)競爭的原因，大多數(shù)機器上是不允許使用U盤的，因為那樣老板心里不舒服，擔心商業(yè)泄密。這不，最近單位老總要求本人徹底封殺U盤(除了有特權的用戶)。趕快行動吧，不然老板怪罪下來，吃不了可兜著走。

我們單位大多數(shù)使用的是window2000、windowxp系統(tǒng)。Window98所占的比例不多，因此重點放在屏蔽window2000、windowxp上。關于封殺usb接口的文章在網(wǎng)上挺多的，大多數(shù)是通過cmos的修改來屏蔽usb接口，或者是將window系統(tǒng)中的i386文件夾下的設備壓縮包徹底刪除，再者就是通過停用usb總線控制器。這些方法有的在達到目的的同時，也阻礙了其他設備的應用，效果不是很友好。這讓我想到了是否應用Windows組策略來實現(xiàn)封殺的目的，因為在原來我曾利用它封殺過某個盤區(qū)的使用，當然不是因為私人的物件也是為了產(chǎn)品的保密。思路很好，那實踐一下看看效果如何吧?

當然，通過組策略禁止U盤需要一定的計算機系統(tǒng)知識，如果你覺得復雜，也可以通過專門的U盤管理軟件來實現(xiàn)，例如當前國內(nèi)使用較多的“大勢至USB控制系統(tǒng)”(下載地址：http://www.grablan.com/monitorusb.html)，通過在電腦上安裝之后就可以完全禁止U盤、移動硬盤、手機存儲(現(xiàn)在手機存儲空間挺大的)等USB存儲設備，而不影響USB鼠標鍵盤的使用，同時也可以防止被員工突破，可以很好地保護單位商業(yè)機密和信息安全，有興趣的網(wǎng)友可以下載使用。  

首先，在“開始—>運行.”中輸入”gpedit.msc”后，便打開了如下圖1所示:

圖 1

我們就是利用“防止從‘我的電腦”訪問驅(qū)動器“來設置禁止usb接口。雙擊打開啟用后，發(fā)現(xiàn)并不像我們想象的那樣驅(qū)動盤符都存在，如圖2所示:

圖 2

而且存在這么一個問題，每個電腦的分區(qū)數(shù)不同，分配給U盤的區(qū)號也不同，怎樣將其封殺呢?

經(jīng)過一段時間的摸索，我找到了控制Windows組策略的模板文件，它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm，用筆記本打開后，截圖如圖3:

圖 3

呵呵，發(fā)現(xiàn)了吧?在“NAME!!×Only VALUENUMERIC ×”語句，前面的好似一個定義，跟我們在圖2看到的效果相似，而且有這么句“low 26 bits on(1bit per drive)”，意思說“26位每一個設備占1位”。每個分區(qū)是按著1、2、4、8、16、32、等逐步遞增，于是經(jīng)過試驗，果然如此，只要將除了硬盤分區(qū)保留外，我們將所有的字母寫上，同時算出數(shù)值。

即將:

NAME!! EFGHIONLY VALUE NUMERIC 496

(注:我這里只是舉了5個盤符，為什么?后面說明)

將上面的語句在“!!NoDrives_Help”和“!!NoViewOnDrive”兩個地方上填寫。并且在圖4所示的位置，也要加入一行:

圖 4

EFGHIONLY=“限制驅(qū)動器E、F、G、H、I”。

否則，在你重新打開gpedit時會出錯誤信息。當所有工作做完后，保存該文檔，打開Windows組策略，看看效果:

圖5所示:

圖 5

呵呵，是吧?在下拉菜單中出現(xiàn)了我們設置的驅(qū)動器號了。

選中它后點擊確定。拿U盤試一下，果然，出現(xiàn)了圖6的警告提示:

圖 6

此時，也許你會問通過這樣一改，注冊表發(fā)生了什么變化嗎?運行“regedit”，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的“NoViewOnDrive”鍵值賦予了十六進制“1f0”，換算成十進制是多少?呵呵，不要告訴我，你不會么!

(注:由此，我們得到了用注冊表來封閉U盤的方法)

雖然，U盤被封住了，但是通過計算機管理中的磁盤管理，更改U盤的盤符，找個26個字母的后某一位。結果U盤有復活了。這就是為什么前面提到要多算幾個盤符的數(shù)值的原因。

到這里，其實封閉工作也做的的差不多了。假設還不放心，如果用戶打開Windows組策略，更改設置怎么辦?那我們通過運行注冊表，打開:[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]下的“Restrict_Run”的鍵值，改為“1”。當有的用戶想運行Windows組策略時，就出現(xiàn)了如下圖7提示:

圖 7

嗯，這下，不通過注冊表，administrator也休想打開了。

最后，關于win98上面的封殺辦法，我們可以通過控制驅(qū)動來實現(xiàn)，相對來說簡單。

利用Windows組策略禁用U盤已經(jīng)介紹完了，好了，感興趣的朋友，趕快試驗一下吧!更多有關組策略的知識有待于讀者去學習和鞏固。

【編輯推薦】

1. Windows組策略本地設置與審計
2. 設置U盤在Ubuntu 10.10不自動播放
3. Windows組策略完善主機安全整改實戰(zhàn)
4. 五個必須立刻實施的Windows組策略選項
5. 利用Windows組策略管理網(wǎng)絡共享的技巧