文档及模板可在 http://pan.baidu.com/s/1qYTcjTy 下载
pro_usb_users.adm 此模板可禁用到 指定盘符,针对用户策略
pro_usb_computers.adm 此模板 针对计算机,一般只要它就好了。
可以从 3 个方面下手
- adm 配置 文件。
- 注册表
- usb驱动
其实 adm配置文件,看起来是修改了本地组策略,其实最后还是通过修改注册表实现的。
我们只保留可以查看ABCDE 盘。其他的盘符,不可查看,不可读写。
服务端 Server 2003 \
客户端 XP 的版本为 sp3, E盘为光驱,F盘为U盘
第一种方法 (不推荐这种,虽 可图像化访问,但可以用DOS访问)
要用到两个键
NoDrives 禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时,可以通过直接访问完全路径进行访问)
NoViewOnDrive 禁止访问(其实可以通过命令行访问的),
值为0 时,为启用功能, 为1时是不启用。
可以在 excel 中弄好自己想要隐藏的,复制到计算器内,转成16进制就好了
结果为 3FFFFE0
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03ffffe0
"NoViewOnDrive"=dword:03ffffe0
这样,除了ABCDE 其他磁盘,为不显示,不可读写(但命令行可以访问)
第二 种呢、就是 修改 usbhub(旧系统) USBSTOR 现在的系统
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]
"Start"=dword:00000004
https://support.microsoft.com/zh-cn/kb/823732 官方文档
此处需要注意一下
修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
的Start为4时,每次接入新设备时,还会变为3,只有策略再次刷新过后,下次接入该USB才不可被识别.
当然清理过USB 痕迹,就也再次被识别, 例如使用 usbviewer 工具
知道 注册表修改了 什么,我们就开始写 adm 文件
https://support.microsoft.com/en-us/kb/555324 可以下载模板文件,但注意开头为CLASS MACHINE 也就是说,它是计算机配置的模板,针对计算机的配置,需要重启PC的。
第一种禁用到盘符的,是针对用户的,注销用户就可,adm文件编码请使用UCS-2,否则会乱码
之前 修改注册表的 16进制、在adm文件要转为10进制。
在 域控上 建立一个 GPO 用户模板引用 此规则 ,保存为 xx.adm 即可
----------------复制以下----------------------------
CLASS USER
CATEGORY !!category
CATEGORY !!categoryname
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!policyNoDrives
EXPLAIN !!explaindrives
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
&n