利用组策略限制访问可移动存储设备

系统管理员可以利用组策略来限制用户访问可移动存储设备(例如:U盘),以免企业内部员工轻易的通过这些存储设备将重要数据带离公司

  • 如果针对计算机配置来设置这些策略的话,则任何域用户只要在这个组织单位内的计算机登录,就会受到限制
  • 如果针对用户配置来设置这些策略的话,则所有位于此组织单位内的用户到任何一台域成员计算机上登录时,都会受到限制

系统提供的对可移动设备的限制策略,如图:

  • CD和DVD:拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于CDDVD类的设备(包含通过USB连接的设备)

  • 自定义类:拒绝读取权限、拒绝写入权限

属于同一类型的设备会拥有相同的设备类型,例如所有的光驱都是隶属于CD ROM设备类型,它们都采用相同的安装与设置方式。设备类型代码是采用32个字符的GUID格式。

可以通过设备类型来拒绝用户读取或写入到拥有此GUID的存储设备

可以通过设备管理器来查询设备的GUID

  • 软盘驱动器:拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于软盘驱动器类型的设备(包含通过USB连接的设备)

  • 可移动磁盘:拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于可移动磁盘类型的设备,例如U盘或外接式USB硬盘

  • 所有可移动存储类:拒绝所有权限

拒绝用户访问所有的可移动存储设备,此策略设置的优先权高于其他策略,因此如果启用此策略的话,则不论其他策略设置如何,都会拒绝用户读取与写入到可移动存储设备。如果禁用或未配置此策略的话,则用户是否可以读取或写入到可移动存储设备,需要根据其他策略的设置而定

  • 磁带驱动器:拒绝读取权限、拒绝写入权限

拒绝用户读取或写入隶属于磁带驱动器类型的设备(包含通过USB连接的设备)

  • WPD设备:拒绝读取权限、拒绝写入权限

拒绝用户读取或写入隶属于WPD(Windows Portable Device)的设备,例如移动电话、媒体播放器、Windows CE等设备

   

针对计算机配置来设置的具体步骤:

利用组策略工具针对组织单位"财务部"下的计算机配置无法写入U盘

Step1:单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理 -> 展开组织单位"财务部" -> 选中 Finance Department GPO 并右击 -> 编辑

Step2:展开计算机配置 -> 策略 -> 管理模板 -> 系统 -> 可移动存储访问 -> 双击"可移动磁盘:拒绝写入权限"按钮

Step3:勾选"已启用",然后点击"确定"按钮,即可。

针对组织单位里用户配置来设置的方法,与针对组织单位内计算机配置来设置的方法雷同,不再赘述。

posted @ 2022-09-14 13:11  hongliang888  阅读(1001)  评论(0编辑  收藏  举报