在这篇文章中,您将学习如何使用组策略禁用USB设备。您可以使用组策略阻止Windows计算机上的USB设备。
在今天的现代工作场所,每个员工都拥有和使用至少一个USB存储设备。的USB代表通用串行总线。USB通常用于将鼠标、键盘、打印机和外部硬盘等设备插入计算机。
USB设备流行的原因之一是它们很容易连接到你的电脑。你可以插入任何USB存储设备,Windows有能力检测到这个设备,并使其能够使用。
与允许USB驱动器相关的风险
防止数据盗窃最常见的方法之一是禁用USB存储设备。由于USB设备是便携式的,可以很容易地连接到计算机,这些设备构成非常真实的安全威胁。错误使用USB存储设备会对组织构成严重的安全威胁。
USB设备通常用于将数据从一个设备传输到另一个设备。但这可能会带来安全风险。防止风险的一种方法是通过组策略对象阻止USB设备。
员工可以把一个u盘插到他的笔记本电脑上漏出敏感信息或者安装未经授权的应用程序,这可能导致进一步的安全问题。
此外,员工的USB设备可能包含一个恶意软件或恶意代码这可能会导致恶意软件扩散到公司的网络。
因此,许多组织不允许USB设备连接到计算机,他们通过组策略禁用USB设备或通过组策略阻止USB设备。
值得庆幸的是,微软已经让阻止USB和使用未经授权的USB存储设备变得相对简单。在本文中,我们将展示如何使用组策略对象阻止对USB存储设备的访问。
如何使用组策略禁用USB设备
组策略对象(GPOs)是一种跨Windows域集中管理设置的方法。GPO可以用来禁用计算机上的USB设备。
要阻断USB设备,需要创建一个组策略对象并进行相应的设置。然后可以将组策略对象链接到活动目录容器或站点,或者将其应用于单个系统。
例如,您可以在Active Directory中创建一个OU,并在该OU中添加少量测试计算机。我们为阻止USB设备而创建的组策略将链接到该OU。
让我们看看如何使用组策略禁用USB设备。创建组策略对象,可以登录域控制器或Windows Server组策略管理工具.
启动组策略管理右键单击域控制器上的工具组策略对象,点击新.向GPO提供一个名称,例如块USB设备并点击好吧.
右键单击GPO并单击编辑.这将启动组策略管理编辑器在这里可以定义阻止Windows计算机的USB设备的设置。
在组策略管理编辑器,导航到计算机配置\策略\管理模板\系统\可移动存储访问。
可移动存储访问GPO选项
可移动存储接入包含多种存储设备的策略,包括:
- 设置强制重启的时间(以秒为单位)
- CD和DVD:拒绝执行访问
- CD和DVD:拒绝读访问
- CD和DVD:拒绝写访问
- 自定义类:拒绝读访问
- 自定义类:拒绝写访问
- 软盘驱动器:拒绝执行访问
- 软盘驱动器:拒绝读访问
- 软驱:拒绝写访问
- 可移动磁盘:拒绝执行访问
- 可移动磁盘:拒绝读访问
- 可移动磁盘:拒绝写访问
- 所有可移动存储类:拒绝所有访问
- 所有可移动存储:允许远程会话直接访问
- 磁带机:拒绝执行访问
- 磁带机:拒绝读访问
- 磁带机:拒绝写访问
- WPD设备:拒绝读访问
- WPD设备:拒绝写访问
在所有的可移动存储访问策略中,我们将配置一个设置”所有可移动存储类:拒绝所有访问”。
所有可移动存储类:拒绝所有访问:此策略设置允许您配置对所有可移动存储类的访问。此策略设置优先于任何单独的可移动存储策略设置。如果启用此策略设置,则不允许访问任何可移动存储类。如果禁用或不配置此策略设置,则允许对所有可移动存储类进行写和读访问。
右键单击策略设置所有可移动存储类:拒绝所有访问并点击编辑.如果启用此策略,则它将阻止对连接到计算机的任何可移动存储类的访问。点击启用并点击应用然后好吧.
阻断USB设备的GPO已经准备好。我们将把这个GPO应用到我们在初始步骤中创建的OU上。右键单击OU,单击链接一个现有的GPO.
从GPO列表中选择策略块USB设备并点击好吧.
使用组策略阻断USB设备
在本节中,我们将测试在Windows设备上阻止USB驱动器的GPO。在客户端计算机上执行a组策略更新使用命令gpupdate /力.
将任何USB设备连接到计算机,您应该会看到“访问被拒绝”。错误信息“Drive not accessible, Access is denied”表示组策略成功阻断USB设备。我们应用的策略将阻止用户安装任何类型的可移动媒体。
对于使用组策略连接Windows AD的基于Windows的pc,我们希望阻止USB电话的共享选项。我们试着遵循一些对某些人有效但对我们无效的方法。
我们已应用计算机策略进行块设备安装
系统/设备安装/设备安装限制>禁止安装与这些设备id匹配的设备
设备ID“USB \ class_e0”
我只是不确定设备ID“USB\class_e0”是否正确?
此外,我检查了一些手机的硬件id,它们都有不同的id,比如
USB\VID_22D9&PID_276A&REV_0404&MI_00
USB\VID_2717&PID_FF80&REV_0404&MI_00
USB\VID_04E8&PID_6863&REV_0400&MI_00 USB\VID_04E8&PID_6863&MI_00
我可以用“USB\VID”这样的东西一起阻止所有设备吗?
我们可以屏蔽特定的USB设备而允许特定的USB设备吗?
在客户端usb驱动器工作
我做所有的步骤,但客户也使用笔驱动
你能帮助
gpupdate /力
使用这个命令
如何使可移动存储访问的特定用户谁在域??
如果我想为一个或两个用户启用它,我应该怎么做
你好,每个人。我有175个客户,但他们不在一个域中。如何禁用所有客户端usb除了鼠标和键盘的策略从active directory dhcp?
采用此方法后,是否还允许使用USB充电设备?
谢谢
是的
我想禁用所有可移动媒体访问,但这是不实际的业务。是否有一种方法禁用所有访问,但允许管理员覆盖,以便有人可以使用USB棒,并有管理员允许它与他们的凭证?
嗨,PRAJWAL,我在标准管理模板中找不到这样的模板
问个小问题,兄弟,如果我们在每台客户端机器上都做gpupdate,会花时间的。没有客户端我们如何执行gpupdate
伟大的分享Prajwal . .是否有任何方法允许USB存储访问仅为Windows 10工作组设备的管理员!
他只适用于存储设备吗?禁用键盘吗?
仅可移动存储设备
好吧,但是怎么能阻止使用iTunes访问的苹果iphone,这个策略对iphone不起作用;)
每一个用户都可以
尽管通过使用组策略禁用USB设备是有效的,但这并不是最友好或最简单的方法。这也不是最安全、最有效的方法。CurrentWare AccessPatrol是一个端点安全软件,允许管理员在其网络上设置端点设华体会体育系列备策略。该软件适用华体会体育系列于不仅仅是USB设备,因为它可以用来阻止或允许智能手机,声卡,适配器,蓝牙设备和更多。通过一个中央控制台,管理员可以应用端点安全策略,甚至可以运行报告查看网络中的端点活动。最流行的端点报告之一是File Operations History报告,它显示了连接到网络上的所有端点设备,以及从每个特定设备复制、删除或移动的文件/程序。
我一直在使用AccessPatrol来保护我的医疗诊所中的网络,以防止数据泄露,因为我的病人的医疗数据对我的业务至关重要,不能被利用。
是否有一种方法为管理员使用usb端口而不禁用的策略
我们公司正在使用威胁锁定器。它很容易管理,并允许阻塞USB设备,DVD/BD等。它还有助于允许或拒绝对文件服务器和应用程序白名单的路径访问。
右键单击组策略对象并单击new将不会创建你已经做了截图的东西…下次在跳过几个步骤之前,请决定你是为普通用户还是为自己做一个循序渐进的教程。(后者不需要教程)
谢谢你的文章。你知道是否有一种方法只允许一组u盘(基于硬件ID)在用户的电脑上,并阻止所有其他USB驱动器吗?也许一家公司可以购买一些USB企业u盘,允许在用户的电脑上工作,但所有其他的u盘都应该被拒绝。
谢谢
我确实尝试了这个,但仍然启用usb访问,你知道为什么吗?
嗨,我应用了策略,它被应用了,我可以看到,使用gpresult /r,但当我插入usb,我能够复制和从usb。在这种情况下,我登录到服务器2012r2作为普通用户,我看到所有其他的策略被应用和工作,但usb拒绝是不工作的,即使它被应用
谢谢您,先生。我对服务器环境很陌生。感谢您提供的宝贵职位。
谁来解释一下如何重新启用USB存储针对特定用户。
亲爱的先生,
我们有win2008r2服务器,现在我们计划实现sccm。我们如何配置SCCM,建议许可细节
谢谢
要了解更多关于SCCM许可的信息,请访问此链接-https://www.microsoft.com/en-in/欢迎您~cloud-platform/system-center-configuration-manager-licensing
我需要帮助通过GPO禁用蓝牙
请建议
如何通过gpo禁用蓝牙
嗨,Prajwal,我是一名初级网络管理员,我的老板希望禁用键盘端口,mr可以帮助我吗?
当应用上述策略时,它也在阻塞剩余驱动器(D:,E:)。帮我请
当应用上述策略时,它也在阻塞剩余驱动器(D:,E:)。帮我请
到目前为止,我们已经创建了一个组策略对象,下一步是将GPO链接到包含要阻止USB设备的计算机帐户的OU。右键单击OU并单击链接现有GPO。
我在这个阶段,但我看到的是我的“块USB”对象是在“组策略对象”,因此,我不能右键单击并链接一个现有的GPO。
这样做,它也阻止访问CD和DVD驱动器。
很好的指示,谢谢普拉杰瓦尔。我已经实现了这一成功,但不知道如何启用USB禁用pc上的一组用户的USB存储。我认为我可以简单地复制这个GPO,但选择禁用而不是启用,然后在链接GPO时将其移到列表的上端,以便它具有优先级。到目前为止还没有效果。什么好主意吗?谢谢,朗
嗨,Prajwal,好文章。嗯,我刚接触团体政策。我的问题是,配置这个策略也会禁用usb鼠标和键盘吗?
不会的,因为GPO只影响可移动存储,而不影响USB端口本身。
对不起禁用管理员或禁用所有用户,因为当我这样做,它只禁用admin而不是用户
嗨,拉瑟,你能把问题发到这里吗//www.photo-critics.com/community/
将此策略应用到选定的用户组,并且不链接到现有的组
嗨,谢谢你的信息,我是系统管理员的新手,所以我为一个组织工作,我们有100台计算机连接到一个windows server 2012的网络,我没有任何安全的网络,所以想知道杀毒软件是最好的网络,我听说我们有杀毒服务器是什么,我如何远程访问用户,通常公司使用什么软件远程访问系统的问题。华体会体育系列
嗨,Zaid,你能成为论坛的一部分吗//www.photo-critics.com/community/
您可以使用它VNC
从链接如何阻止USB访问使用GPO。如果在一个组织中,我们将此策略应用到所有用户(包括BYOD用户),如果BYOD用户在网络外使用他们的系统,是否有可能使用USB甚至使用域帐户登录。
请确认是否有其他方式
嗨,Kichu,你能成为论坛的一部分吗//www.photo-critics.com/community/
@Kurt -你的意思是你想创建一个允许用户为他们的账户设置简单密码的策略?
是的. .
如何使用组策略为用户创建简单的密码