http://support.microsoft.com/?kbid=555324
Disable USB via Group Policy thực hiện như sau:
1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng .adm file:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"
2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên usbstor (chẳng hạn).Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file usbstor.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/Move các Computers muốn disable USB vào OU.
8/Start ->Run: gpupdate /force
Để vô hiệu hóa sử dụng các thiết bị lưu trữ USB, sử dụng một trong những thủ tục sau:
Nếu ổ đĩa USB chưa được cài đặt trên máy tính
Trong trường hợp này bạn chỉ định người dùng hoặc từ chối nhóm ở các file dưới đây:
• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf
Khi thực hiện như vậy, người dùng không thể cài một ổ USB vào máy tính. Để chỉ định một người dùng mới hoặc từ chối nhóm trong file Usbstor.pnf và Usbstor.inf bạn thực hiện theo các bước sau:
1. Vào Windows Explorer, sau đó vào thư mục %SystemRoot%\Inf.
2. Kích chuột phải vào file Usbstor.pnf sau đó kích Properties.
3. Chọn tab Security.
4. Trong danh sách Group or user names, nhấn người dùng hoặc nhóm mà bạn muốn thiết lập sự từ chối.
5. Trong danh sách Permissions for UserName or GroupName, nhấn để chọn check box Deny bên cạnh Full Control, sau đó kích OK.
Chú ý bổ sung thêm tài khoản hệ thống vào danh sách từ chối (Deny).
6. Kích chuột phải vào file Usbstor.inf, sau đó kích Properties.
7. Chọn tab Security.
8. Trong danh sách Group or user names, kích vào người dùng hay nhóm bạn muốn thiết lập sự hạn chế.
9. Trong danh sách Permissions for UserName or GroupName, chọn check box Deny bên cạnh Full Control, sau đó kích OK.
Nếu ổ USB đã được cài đặt trên máy tính
Khi bạn thực hiện với regedit có thể có những nguy hiểm đối với máy tính nếu thực hiện sai, tồi tệ nhất là bạn có thể phải cài đặt lại hệ điều hành cho máy tính. Microsoft cũng không bảo đảm những vấn đề gây ra với regedit có thể giải quyết được. Trong trường hợp ổ đĩa USB đã được cài đặt trên máy tính thì bạn tiến hành việc vô hiệu hóa như sau:
1. Nhấn Start, sau đó nhấn Run.
2. Đánh regedit sau đó nhấn OK.
3. Vào: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UsbStor
4. Ở cửa sổ bên phải, kích đúp Start.
5. Thay đổi giá trị trong hộp bằng 4 sau đó nhấn OK.
6. Thoát khỏi Registry Editor.
Cách tiến hành trên được áp dụng với các phiên bản sau
- Microsoft Windows XP Home Edition
- Microsoft Windows XP Professional
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows 2000 Server
- Microsoft Windows Server 2003, Enterprise Edition
- Microsoft Windows Server 2003, Standard Edition
Bạn dùng thử software đi, escan là phần mềm anti-virus nhưng hỗ trợ thêm and-point security đó. Cho phép bạn sét pass khi gắn usb vào, hoặc chỉ đọc dữ liệu từ usb không cho chép dữ liệu từ máy tính vào usb. hoặc là cho phép những usb nào quen thuộc( add serial number ) mới có thể gắn vào máy tính. ngoài ra có tool quản trị tập trung nếu cty bạn muốn quản lý usb thì nhờ user mang usb cho IT, IT add những số serial vào rồi apply cho các máy con.
0 comments:
Post a Comment