我的分类(专题)
最近日志
最新评论
留言板
最新日志

链接
Blog信息
 

公告

網絡摘抄 stdmis 发表于 2005-5-18 19:52:10

http://gnaw0725.blogdriver.com/gnaw0725/302835.html

于如何使用策略禁止USB的问题- -

                                      

前,在Winmag和emerbor(△)朋友讨论 :[求助]如何在Windows 2000下禁止打游戏!!!!
其中提到的关于删除游戏和禁止usb的问题,有一定的代表性,这里特整理如下:
 
关于如何删除游戏:
 
将下面这个脚本保存为cmd,然后制定策略,将脚本放在策略中计算机登陆脚本执行它就可以了。
脚本将在计算机启动的时候执行,清除系统自带的小游戏。由于删除的顺序是按照 servicepackfile、dllcache、system32执行,将不会给系统文件保护所阻拦,进入系统后也不会有任何提示。
--------------------请不要复制此行-----------------------------
echo y|del %systemRoot%\ServicePackFiles\i386\spider.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\sol.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\freecell.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\Pinball.exe
echo y|del %systemRoot%\ServicePackFiles\dllcache\winmine.exe
attrib -s -h -r %systemRoot%\system32\dllcache
echo y|del %systemRoot%\system32\dllcache\spider.exe
echo y|del %systemRoot%\system32\dllcache\sol.exe
echo y|del %systemRoot%\system32\dllcache\freecell.exe
echo y|del %systemRoot%\system32\dllcache\Pinball.exe
echo y|del %systemRoot%\system32\dllcache\winmine.exe
echo y|del %systemRoot%\system32\spider.exe
echo y|del %systemRoot%\system32\sol.exe
echo y|del %systemRoot%\system32\freecell.exe
echo y|del %systemRoot%\system32\winmine.exe
cd %programfiles%\window~1\pinball
echo y|del Pinball.exe
-------------------请不要复制此行------------------------
 
对于系统自带的游戏,前面的方法就可以制止它们的运行。
对于需要安装的游戏,domain users是没有权限安装的。
对于绿色软件的游戏,它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。
       如果通过策略限制这些小软件的运行,用户可以更改其文件名以躲避策略限制。对于改名的问题,之前也讨论过,对于win2k的ad是没有办法限制的,对于win2k3来说,虽然可以通过校验软件头部hash值来限制,但用户仍然可以使用软件修改它。最终的解决办法还是要通过隐藏驱动器结合设置本地硬盘的ntfs权限(此可以通过安全模板实现)来进一步设定。
对于fileserver上的游戏,可以通过server上存储管理来做,比如veritas central,定期监控调用频率高的程序,就可以扫描到它们。
 
 
关于屏蔽USB:
MS有此kb,见于 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;823732 ,主要内容如下:
 
如果计算机上尚未安装 USB 存储设备
如果计算机上尚未安装 USB 存储设备,请向用户或组分配对下列文件的“拒绝”权限:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
这样,用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:
启动 Windows 资源管理器,然后找到 %SystemRoot%\Inf 文件夹。
右键单击“Usbstor.pnf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
右键单击“Usbstor.inf”文件,然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
返回页首
如果计算机上已经安装了 USB 存储设备
警告: “注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备,请将以下注册表项中的“Start”值设置为 4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

这样,当用户将 USB 存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
单击“开始”,然后单击“运行”。
在“打开”框中,键入“regedit”,然后单击“确定”。
找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

在右窗格中,双击“Start”。
在“数值数据”框中,键入 4,单击“十六进制”(如果尚未选中),然后单击“确定”。
退出“注册表编辑器”。

在实践操作的时候,可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发(抱歉这里是用繁体的名称,下面用图片来说明它的位置)
 
通过在登陆项目中新增机码(主键)(注:一般dc如果没有使用过usb设备,那么usbstor这键值是不会产生的,可以手动添加此主键。策略分发到client后,会自动应用于client的注册表中对应键值;      在添加用户的时候可以酌情考虑,是使用domain users还是其他;权限的设置,请点击修改旁边的拒绝,这样当usbstor主键权限继承下去后,如果原来下面的子键已经有相应的权限,那么也会以拒绝优先)

通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)
就可以完成这一点。
client登入后,如果插入usb设备,系统将会提示:
您的安全性特殊權限不足,所以無法在這部電腦上安裝新的裝置.請聯絡您的站台系統管理員,或者登出後重新以系統管理員的身分登入,然後再安裝一次.
 
至此,USB禁止策略实施成功。
阅读全文 | 回复(0) | 引用通告 | 编辑

发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
 
Powered by Oblog.