關於如何使用策略禁止USB的問題

日前，在winmag和

emerbor(△)朋友討論:[求助]如何在windows 2000下禁止打遊戲！！！！

（原帖見於

關於如何刪除遊戲：

將下面這個指令碼儲存為cmd，然後制定策略，將指令碼放在策略中計算機登陸指令碼執行它就可以了。

指令碼將在計算機啟動的時候執行，清除系統自帶的小遊戲。由於刪除的順序是按照 servicepackfile、dllcache、system32執行，將不會給系統檔案保護所阻攔，進入系統後也不會有任何提示。

--------------------請不要複製此行-----------------------------

echo

y|del

%systemroot%/servicepackfiles/i386/spider.exe

echo

y|del

%systemroot%/servicepackfiles/dllcache/sol.exe

echo

y|del

%systemroot%/servicepackfiles/dllcache/freecell.exe

echo

y|del

%systemroot%/servicepackfiles/dllcache/pinball.exe

echo

y|del

%systemroot%/servicepackfiles/dllcache/winmine.exe

attrib

-s

-h

-r

%systemroot%/system32/dllcache

echo

y|del

%systemroot%/system32/dllcache/spider.exe

echo

y|del

%systemroot%/system32/dllcache/sol.exe

echo

y|del

%systemroot%/system32/dllcache/freecell.exe

echo

y|del

%systemroot%/system32/dllcache/pinball.exe

echo

y|del

%systemroot%/system32/dllcache/winmine.exe

echo

y|del

%systemroot%/system32/spider.exe

echo

y|del

%systemroot%/system32/sol.exe

echo

y|del

%systemroot%/system32/freecell.exe

echo

y|del

%systemroot%/system32/winmine.exe cd

%programfiles%/window~1/pinball

echo

y|del

pinball.exe

-------------------請不要複製此行------------------------

對於系統自帶的遊戲，前面的方法就可以制止它們的執行。

對於需要安裝的遊戲，domain

users是沒有許可權安裝的。

對於綠色軟體的遊戲，它們執行所需要的dll也是系統執行所需要的。故而不太可能刪除遊戲執行所需要的dll檔案。

如果通過策略限制這些小軟體的執行，使用者可以更改其檔名以躲避策略限制。對於改名的問題，之前也討論過，對於win2k的ad是沒有辦法限制的，對於win2k3來說，雖然可以通過校驗軟體頭部hash值來限制，但使用者仍然可以使用軟體修改它。最終的解決辦法還是要通過隱藏驅動器結合設定本地硬碟的ntfs許可權（此可以通過安全模板實現）來進一步設定。

對於fileserver上的遊戲，可以通過server上儲存管理來做，比如veritas

central，定期監控呼叫頻率高的程式，就可以掃瞄到它們。

關於遮蔽usb：

ms有此kb，見於

http://support.microsoft.***/default.aspx?scid=kb;zh-**;823732 ，主要內容如下：

如果計算機上尚未安裝usb 儲存裝置

如果計算機上尚未安裝 usb 儲存裝置，請向使用者或組分配對下列檔案的「拒絕」許可權：

%systemroot%/inf/usbstor.pnf

%systemroot%/inf/usbstor.inf

這樣，使用者將無法在計算機上安裝 usb 儲存裝置。要向使用者或組分配對 usbstor.pnf 和 usbstor.inf 檔案的「拒絕」許可權，請按照下列步驟操作：

啟動 windows 資源管理器，然後找到 %systemroot%/inf 資料夾。

右鍵單擊「usbstor.pnf」檔案，然後單擊「屬性」。

單擊「安全」選項卡。

在「組或使用者名稱」列表中，單擊要為其設定「拒絕」許可權的使用者或組。

在「使用者名稱或組名的許可權」列表中，單擊以選中「完全控制」旁邊的「拒絕」核取方塊，然後單擊「確定」。

右鍵單擊「usbstor.inf」檔案，然後單擊「屬性」。

單擊「安全」選項卡。

在「組或使用者名稱」列表中，單擊要為其設定「拒絕」許可權的使用者或組。

在「使用者名稱或組名的許可權」列表中，單擊以選中「完全控制」旁邊的「拒絕」核取方塊，然後單擊「確定」。

返回頁首

如果計算機上已經安裝了 usb 儲存裝置

警告：「登錄檔編輯器」使用不當可導致嚴重問題，可能需要重新安裝作業系統。microsoft 不能保證您可以解決因「登錄檔編輯器」使用不當而導致的問題。使用登錄檔編輯器需要您自擔風險。如果計算機上已經安裝了 usb 儲存裝置，請將以下登錄檔項中的「start」值設定為 4：

hkey_local_machine/system/currentcontrolset/services/usbstor

這樣，當使用者將 usb 儲存裝置連線到計算機時，該裝置將無法執行。要設定「start」的值，請按照下列步驟操作：

單擊「開始」，然後單擊「執行」。

在「開啟」框中，鍵入「regedit」，然後單擊「確定」。

找到並單擊下面的登錄檔項：

hkey_local_machine/system/currentcontrolset/services/usbstor

在右窗格中，雙擊「start」。

在「數值資料」框中，鍵入 4，單擊「十六進製制」（如果尚未選中），然後單擊「確定」。

退出「登錄檔編輯器」。

在實踐操作的時候，可以結合策略中的設定計算機安全屬性中的「登陸」和「檔案系統」來做策略的分發（抱歉這裡是用繁體的名稱，下面用來說明它的位置）

通過在登陸專案中新增機碼（主鍵）（注：一般dc如果沒有使用過usb裝置，那麼usbstor這鍵值是不會產生的，可以手動新增此主鍵。策略分發到client後，會自動應用於client的登錄檔中對應鍵值;

在新增使用者的時候可以酌情考慮，是使用domain

users還是其他；許可權的設定，修改旁邊的拒絕，這樣當usbstor主鍵許可權繼承下去後，如果原來下面的子鍵已經有相應的許可權，那麼也會以拒絕優先）

通過在檔案系統中新增資料夾（資料夾）（注：在指定資料夾路徑的時候，為了使用win2k和winxp，請使用%systemroot%）

就可以完成這一點。「

您的安全性特殊許可權不足

,所以無法在這部電腦上安裝新的裝置.

請聯絡您的站台系統管理員

,或者登出後重新以系統

管理員的身分登入

,然後再安裝一次

.」至此，usb禁止策略實施成功。

關於如何使用策略禁止USB的問題

關於如何使用策略禁止USB的問題

如何禁止使用USB移動儲存裝置

關於Qt的QFileDialog的使用問題

關於如何使用策略禁止USB的問題

關於如何使用策略禁止USB的問題

如何禁止使用USB移動儲存裝置

關於Qt的QFileDialog的使用問題

相關推薦