目前我公司正在推出授权encryption的U盘。 现在我们已经起草了IT政策,只允许公司批准的USB设备和可移动媒体连接到计算机,但是我想知道是否有任何方法将USB驱动器的使用限制为只允许使用的那些。 理想情况下,如果可能的话,这将涉及组策略设置,而不是第三方软件。
设备pipe理和安装分步指南:通过组策略控制设备驱动程序的安装和使用
假设你的客户端都是Vista或更好的,你可以使用本指南来“白名单”你的公司正在部署的USB设备,并阻止其余的。 从文章:
本分步指南介绍如何控制在您pipe理的计算机上安装和使用设备。 在WindowsServer®2008和WindowsVista®中,您可以将计算机策略应用于:
- 防止用户安装任何设备。
- 允许用户仅安装“已批准”列表中的设备。 如果设备不在列表中,则用户无法安装它。
- 防止用户安装“禁止”列表中的设备。 如果设备不在列表中,则用户可以安装它。
- 拒绝对自身可移动设备或使用可移动介质(如CD和DVD刻录机,软盘驱动器,外部硬盘驱动器以及便携式设备(如媒体播放器,智能手机或Pocket PC设备))的用户进行读写访问。
在“ Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives ,可以find一些设置,使您可以拒绝对未使用BitLockerencryption的驱动器进行写入访问,并拒绝对不属于组织的encryption驱动器的写入访问。
我不知道有任何组策略允许这样做,但McAfee的设备控制(以及来自其他供应商的多个安全产品)提供此function。
我的任务是在我的组织中find同样的东西。 从Win7和2008开始,我设置了一个组策略,后来又制定了阻止用户组访问的策略。
看看这个: http : //social.technet.microsoft.com/wiki/contents/articles/active-directory-how-to-block-usb-devices-dsforum2wiki.aspx
尽pipe我成功阻止了USB拇指驱动器和Android设备,但我仍然可以将Apple iPHone / iPod安装为存储设备。 对于有些笔记本电脑扩展坞的网卡无法正常工作的用户,我们也遇到了问题。 我已经删除了这一政策,并可能会寻求第三方应用程序的这一努力。 这听起来像是你也想要白名单清除你的IT部门清除select的设备,在这种情况下,您可能希望寻find第三方的解决scheme,而不是单独使用GPO。