我们需要一种方法来防止用户从USB驱动器上拷贝任何东西,除非他们是系统pipe理员。 出于安全目的,可以做些什么来消除这种访问。
微软在这个问题上有一个知识库文章(KB555324)。 您必须创build一个自定义组策略ADM。 O'Reilly在以下方面比较容易:
http://windowsdevcenter.com/pub/a/windows/2005/11/15/disabling-usb-storage-with-group-policy.html 。
希望这可以帮助。
另一种select是使用USBSecure 。 这是一个小型的可部署脚本,从文件共享中读取USB设备的白名单。 因此,您可以明确地允许某些用户使用USB存储设备,或允许供应商特定的设备(例如,所有USB键盘和鼠标从Logitech)。 哦,它是免费的。
如果您使用的是Windows Vista或更高版本,则可以使用组策略选项,从而可以精确控制哪些USB设备是允许的还是不允许的。 (如果您必须支持WinXP,请参阅此处列出的其他答案。)
在Windows Vista或更高版本中,转到组策略编辑器并深入查看:计算机configuration\pipe理模板\系统\设备安装\设备安装限制
在那里,您可以通过特定设备ID或设备类别find黑名单设备的白名单选项。 在底部还有一个非常重要的政策,可以阻止其他政策没有涵盖的一切。
所有你必须知道的是设备的硬件ID或设备类GUID。 如果您将设备插入机器,则可以在“设备pipe理器”中find这两种设备。
例如,使用那里的策略,可以允许所有的鼠标和键盘,允许使用USB扫描仪的特定型号,并阻止其他的一切。
在Windows中,可以通过设置registry项来禁用USB存储驱动程序 。 这可以在GPO中configuration并应用于有限的一组机器。 如果你想允许 USB存储设备的一个子集,你可能不得不转向运行某种代理的第三方产品。
环氧树脂很好
一个快速和肮脏的修复将是使用组策略禁用访问USB设备,看看下面的文章 。 还有一些商业产品可以完成同样的事情,具有更好的粒度安全性。
所有的解决scheme都很好,但是你也需要考虑一个能够从USB加载数据的过程。
我目前在一家银行,默认情况下,所有的USB端口都与一个不会加载磁盘的GPOlocking。
问题是他们没有一个过程,当一个外部顾问来加载一些数据,它是一个真正的痛苦转移iso文件,或任何文件,因为如果你不能插入USB密钥,也不能插入笔记本电脑的networking。
如果你locking了所有的USB,不要忘了你仍然需要某种方式来从USB加载数据,而通过networking/邮件的5GB数据并不总是一个答案。
安全总是有一个价格。
我认为更好的解决scheme是DeviseLock软件: http : //www.devicelock.com/这是真正有用的,并具有巨大的function。
AC元素公司的MyUSBonly和EverStrike的StopUSB也可以工作。
如果你想安装一个新的,未知的USB设备,他们都要求input密码。
说实话,两者都可以更好地devise,但至less他们做的工作。