USB口禁用系列.doc

封堵用户USB接口(鼠标、键盘除外):整个操作思路如下:1).通过注册表修改的方式实现客户端电脑USB接口不能用。2).利用BAT批处理文件自动执行的方式,实现客户端注册表的自动修改。3).通过域组策略指派客户端电脑自动运行制定的批处理文件。下面就如何实现上述操作以及可能碰到的问题进行阐述;1).文件准备。本次操作需要准备两个文件,。文件内容分别如下::***@******@regedit/s\\\usbstor.******@echoonExit(备注:,使用时修改为自己域服务器的ip地址即可):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB大容量存储设备"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00以上内容可以直接拷贝到txt记事本文件内,然后将后缀名修改为bat和reg保存就可以了。(备注:"Start"=dword:00000004“如将start值改为'3',就代表打开USB接口功能。)2).文件放置。上面的两个文件,,使USB接口不能用。。将以上两个文件拷贝到以下路径:“\\”(备注:,使用时修改为自己域服务器的ip地址即可。)以备后续调用。3).编辑域服务器的组策略。打开“AD用户和计算机”选中包含所有计算机的“组织容器”或“组”,右键—属性—组策略—新建一个组策略,选择“计算机设置—管理模版—登陆—在用户登录时运行这些程序”策略,启用策略,在“显示—添加—添加项目“。(例如:\\\,。)4).强制刷新组策略。在Win2000系统的计算机上使用secedit/refreshpolicymachine_policy/enforce命令强制计算机策略生效,而使用secedit/refreshpolicyuser_policy/enforce强制用户策略生效;在XP或2003的计算机使用gpupdate/force就可以使计算机策略和用户策略都进行刷新生效;完成以上步骤,客户