用AD域组策略来实现USB 只读、读写、禁用的管控
用AD域组策略来实现USB 只读、读写、禁用的管控
前提:
1、windows2008R2中,针对USB的管控策略不支持winXP;
2、传统修改注册表的形式,在插拔U盘设备后会被USB驱动自动重置键值破解;
已知问题:
1、禁用后的USB被启用后,IPHONE手机无法连接计算机;
方案:
为了细化USB权限分级,增强USB权限管控,降低数据泄露的风险,经讨论决定对OU的USB管控策略进行升级。对申请权限细化为只读、读写、禁用三类。
通过计算机策略分别实现USB的开启、只读、禁用权限管控。
对计算机OU进行调整,建立下级子OU,以对应三种权限。
考虑windows2008R2域控不支持XP的USB管控策略,使用脚本对注册表和驱动文件进行改写,以支持XP系统。
1、 制定3个组策略分别对用三级权限 A:禁用:
启动脚本:QD-No-usb.bat reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor" /v "Start" /t reg_dword /d "4" /f \\修改usbstor值为4,禁用usb reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v "WriteProtect" /t reg_dword /d "1" /f \\添加建值writeprotect=1,usb设置只读(保证权限) ren C:\Windows\Inf\usbstor.inf usbstor.inf1 \\改名usb驱动,准备替换,不改名无法输出新驱动 @echo off&setlocal EnableDelayedExpansion for /f "delims=" %%b in ('type C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set "str=!str: 3= 4!" \\对改名的USB驱动内容进行修改 3修改为4(数字前有空格),避免驱动自动修复注册表 echo !str! >>C:\Windows\Inf\usbstor.inf \\输出修改的驱动文件 )
\\del C:\Windows\Inf\usbstor.inf1 ren C:\Windows\Inf\usbstor.inf1 usbstor_back.inf1 \\删除改名的文件(最好不删除,重命名备份)
B:读写权限
启动脚本:QD-RW-usb.bat reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor" /v "Start" /t reg_dword /d "3" /f reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StroageDevicePolicies" /f ren C:\Windows\Inf\usbstor.inf usbstor.inf1 @echo off&setlocal EnableDelayedExpansion for /f "delims=" %%b in ('type C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set "str=!str: 4= 3!" echo !str! >>C:\Windows\Inf\usbstor.inf ) del C:\Windows\Inf\usbstor.inf1
C:只读权限
启动脚本:QD-R-usb.bat reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor" /v "Start" /t reg_dword /d "3" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v "WriteProtect" /t reg_dword /d "1" /f ren C:\Windows\Inf\usbstor.inf usbstor.inf1 @echo off&setlocal EnableDelayedExpansion for /f "delims=" %%b in ('type C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set "str=!str: 4= 3!" echo !str! >>C:\Windows\Inf\usbstor.inf ) del C:\Windows\Inf\usbstor.inf1
以上,3条策略,分别下发三个OU进行独立管控。 |
·