追蹤
Gavin's Linux學習手札
關於部落格
原本這個 Blog 是用來記錄研究 Linux 的學習過程, 後來變成記錄生活與工作, 這個 Blog 裡的文章已成為我不可缺少的回憶。
  • 567193

    累積人氣

  • 32

    今日人氣

    1

    追蹤人氣

如何停用 USB 儲存裝置



 在微軟的官方知識庫中有提供停用 USB 儲存裝置的方法,但不知道為何網路上一般找到的文件只解說一半,所以造成有時有用,有時沒用的假象。


 根據微軟 KB823732 文件提供兩種方法,可以防止使用者連接 USB 儲存裝置。


方法一:
 如果電腦並未安裝 USB 儲存裝置,請將使用者或群組對下列檔案的使用權限設定為「拒絕」權限:
  • %SystemRoot%InfUsbstor.pnf
  • %SystemRoot%InfUsbstor.inf
 執行這項操作之後,使用者就無法在電腦上安裝 USB 儲存裝置。


 漏洞:此方法只針對未插入的 USB 隨身碟有作用,已曾使用過的 USB 隨身碟則無效。


方法二:
 如果電腦上已經安裝 USB 儲存裝置,請將下列登錄機碼的 Start 值設定為 4


  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor


 執行這項操作之後,即便使用者將 USB 儲存裝置連接到電腦上,該裝置也無法運作,GPO 的設定也是修改此參數值。


 注意:此參數只有在使用過 USB 隨身碟才會出現,新裝機的電腦上並不會有此機碼。


 漏洞:僅能針對 USB 隨身碟曾使用過的 USB 插孔有效,只要將 USB 隨身碟換另一個 USB 插孔則會失效,此值會自動改回 3。


 一般網路上的教學只提方法二,所以就以上官方所提供的兩種方法來說,其實兩種都必須要使用才能完全停用 USB 儲存裝置,針對方法二其實還可以將下列檔案的使用權限設定為「拒絕」權限,更能完全避免機碼被修改回來。
  • %SystemRoot%system32DRIVERSUSBSTOR.SYS
補充:
 為了讓我們系統部其他同仁能夠方便停用一般使用者電腦的 USB 儲存裝置,不用大費周章設定檔案權限及機碼,我另外將這兩個方法寫成批次檔,批次檔內容如下。


Disable USB:

[DisableUSB.reg]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000004

[DisableUSB.bat]
@echo off
regedit /s DisableUSB.reg
cacls %systemroot%infusbstor.inf /E /D everyone
cacls %systemroot%infusbstor.pnf /E /D everyone


Enable USB

[EnableUSB.reg]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000003

[EnableUSB.bat]
@echo off
regedit /s EnableUSB.reg
cacls %systemroot%infusbstor.inf /E /R everyone
cacls %systemroot%infusbstor.pnf /E /R everyone


資料參考來源:
http://support.microsoft.com/kb/823732/zh-tw


相簿設定
標籤設定
相簿狀態