返回
彻底禁用usb存储 -- 超越微软kb

彻底禁用usb存储 -- 超越微软kb

ID:14770149

大小:52.00 KB

页数:25页

时间:2018-07-30

彻底禁用usb存储 -- 超越微软kb_第1页
彻底禁用usb存储 -- 超越微软kb_第2页
彻底禁用usb存储 -- 超越微软kb_第3页
彻底禁用usb存储 -- 超越微软kb_第4页
彻底禁用usb存储 -- 超越微软kb_第5页
资源描述:

《彻底禁用usb存储 -- 超越微软kb》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、彻底禁用USB存储--超越微软KB彻底禁用USB存储--超越微软KB我想这个是很多做网管的需要干的事情,禁用USB存储。前提是我们不能从BIOS里面禁用,一个是容易破解(拔电池),主要还是因为我们还需要使用USB鼠标以及Bitlocker,所以只能从系统里面动脑筋。首先是KB555324,http://support.microsoft.com/kb/555324/zh-cn这里介绍的方法需要自定义一个组策略,看上去好像很好很强大,很简单,可是有一个致命的问题,谁也无法保证那个OU下就一定没有Server的计算机帐号,此时就容易误杀,比不上用Script可以先判断一下。或者你会说可以用

2、WMI筛选,不过就我们的环境目前没权限设这个,而且也不太会写。另外就是到底效果咋样,能否禁掉还未可知。这位看客可能要说了,KB说的还有假?不错,我相信KB,但是有时会不适用。何出此言?请继续往下看然后就是KB823732,http://support.microsoft.com/kb/823732/zh-cn这个方法应该是很好,很根本了(MicrosoftService所言),然后我又借用http://www.cnitblog.com/joyclear/archive/2008/05/10/43525.html所说的用Xcacls来设权限,可是在XPSP2以及之前的版本中都没有Xcac

3、ls这个命令,只有Cacls这个命令,而Cacls的问题是不带/y参数,所以又找了http://support.microsoft.com/kb/135268/zh-cn来实现,有看官可能要说了,你可以使用网络共享的Xcacls来啊,唉,这不是有本地自带的命令,就尽量用本地的了吗。好,万事俱备,开始脚本吧,好像很简单,也就3~4行的批处理啊,XP是OK,可是在Vista下就有问题了,如果插入新设备,Vista总是还能找到,如果是旧设备,在计算机管理中卸载掉再插入闪存,Vista还是能够使用。而且会把HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

4、ServicesUsbStor下面的Start的值自动改回到3,真是见鬼了。按照KB的说法,在拒绝INF和PNF文件后,装新设备时会由于没有权限读这两个文件,导致安装失败,可是好像Vista就是有办法。个天杀的,把老子搞得一点脾气没有,小事变成大事了。搞不定啊。个NND,你不是会把注册表改回来吗,老子把注册表的权限也给你Deny掉,看你咋整?后来发现(无数次实验),只要在上述健的位置,把SYSTEM帐号给Deny掉,就真的可以在Vista下也禁用掉USB了,连那两个INF和PNF文件都不要做任何修改,这可是微软都不知道的哦。可是问题来了,鼠标点点改注册表权限是方便的,用脚本或者命令该

5、咋办呢?翻便微软网站也只找到一个Regini命令,可是要命的是看了半天帮助,也没找到可以设置Deny权限的选项。找到SETACL这个超级权限管理工具,我用的是0.904版的,用法比较简单,http://www.helge.mynetcologne.de/setacl/program/setacl0.904/setacl.exe现在新的是2.0版本的,功能超强,参数众多,当然用的也比较累了。http://sourceforge.net/project/showfiles.php?group_id=69165这下基本技术就解决了,下面是写脚本和部署了,因为客户端没有管理员权限,所以脚本必须

6、要用在计算机策略中的开机脚本中,然而很显然公司里面肯定还是有人要使用USB存储的,比如说老板们,当他们填写申请单来要求开通的时候,helpdesk怎样才能很方便的来为他们解除限制呢?而解除限制是分两块的,一个是把注册表权限给改回来,另外一个是让组策略以后不能再次生效。前者可以写一个Restore的脚本,后者就通过组策略的安全设置喽。建一个组,然后在GPMC中设置那个组策略中这个组被拒绝。然后在Restore的脚本中加入将计算机帐号加入到这个组的功能。关于Restore的脚本,还有一个问题就是,如果就是一个很简单的脚本,没有任何安全措施,一旦将来这个脚本流传出去(很有可能),那么每个人都

7、可以Run一下来解除限制,到那时这个限制也就是一个摆设了。所以首先脚本要加密,其次要在Run的时候验证用户身份,只有特定帐号才可以使用。好了,整个技术和管理思路就是这样了,下面就是两个脚本。最好还要说一下就是,我发现Vista和XP在usbstor.inf和usbstor.pnf上最大的不同是,XP下这两个文件的Owner是Administrators,而在Vista下的owner是System,而为USB安装驱动经实验是使用的System帐号

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。