奈得狂想

[文件] usb 禁用
2010/04/23,11:22

http://ithelp.ithome.com.tw/question/10007727

windows的設計,看的到就一定可以copy,但是要防止複製到隨身碟或是其他外接儲存設備到是可以透過gpo或是修改註冊表來達到目的。

gpo的設定要靠外掛的adm檔來使用,網路上很好找
修改註冊表的方式我提供在下方,請自行另存成為reg檔,然後利用ad發給你想要鎖定的那些帳號。

=====我是註冊表,欄位不夠長,會造成斷行,請自行修正=====
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
======註冊表的結尾,只要複製=號內的文字======

 

http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/14228810-ff5e-4c79-be5e-1f3f6da1d90b

 沒錯,我之前的經驗也是如此,雖然拿掉了,但是"沒有使用過"的裝上去當下,還是可以用。就算利用GPO鎖住User編輯登錄檔也一樣,初次安裝的隨身儲存裝置無效。

後來我們公司改用另一個登錄檔,將USB鎖成唯讀,也就是允許員工帶東西進來公司(當然防毒機制要好),但是不允許員工將公司資料儲存到隨身碟。然後一樣配合GPO鎖住登錄檔,目前已經使用了快兩年了。

資料引述自網站資料
方案5:將USB大容量儲存裝置設定成只能唯讀

1.
重複方案4之步驟12,進入「登錄編輯視窗」。

2.
接著進入「HKEY_LOCAL_MACHINESystemCurrentControlSet Control」子登錄目錄下,檢視是否有名為「StorageDevicePolicies」的機碼存在,如果有的話,請直接跳至步驟4

3.
若目錄下沒有該機碼,可在「Control」子目錄上,點取滑鼠右鍵,並在下拉視窗中點取「新增/機碼」,將該機碼命名為「StorageDevicePolicies」。
4.在「StorageDevicePolicies」機碼上,點取滑鼠右鍵,然後點選「新增/DWORD值」。
5.接著,「登錄編輯視窗」右欄框中會出現「新數值#1」,將該數值命名為「WriteProtect」。
6.在「WriteProtect」數值名稱上按滑鼠右鍵,於下拉視窗中點取「修改」,即會跳出「編輯DWORD值」視窗。

7.
將「編輯DWORD值」視窗中的16進位之「數值資料」,改成「1」(預設值為0),然後按下「確定」鍵。
8.USB隨身碟插入USB埠中試試看,將USB隨身碟中的資料複製到桌面上,結果確定可以讀取無誤。

9.
接下來,再試著將電腦中的資料複製到USB隨身碟中,結果卻出現「複製檔案或資料夾發生錯誤」警訊視窗,說明員工電腦只能讀取USB隨身碟資料,但卻無法將電腦中的資料複製到隨身碟上,整個設定於焉大功告成。
1. 此一方案的優點為員工仍可正常讀取USB隨身碟或外接式硬碟中的資料,但是卻無法將公司網路上或員工電腦中的重要資料,存到USB儲存裝置當中,如此一來,即無須擔心重要的資料遭到惡意員工藉由USB儲存裝置任意外流。但是,該方案仍有安全疑慮,因為惡意程式很可能因此透過USB儲存裝置,傳播到企業各 端點電腦、甚至網路之中。

 
Accessible and Valid XHTML 1.0 Strict and CSS Powered by LifeType