《彻底禁用usb存储 -- 超越微软kb》由会员分享,可在线阅读,更多相关《彻底禁用usb存储 -- 超越微软kb(25页珍藏版)》请在金锄头文库上搜索。
1、彻底禁用彻底禁用 USBUSB 存储存储 - 超越微软超越微软 KBKB彻底禁用 USB 存储 - 超越微软 KB我想这个是很多做网管的需要干的事情,禁用 USB 存储。前提是我们不能从 BIOS 里面禁用,一个是容易破解(拔电池) ,主要还是因为我们还需要使用 USB 鼠标以及 Bitlocker,所以只能从系统里面动脑筋。首先是KB555324,http:/ 这里介绍的方法需要自定义一个组策略,看上去好像很好很强大,很简单,可是有一个致命的问题,谁也无法保证那个 OU 下就一定没有Server 的计算机帐号,此时就容易误杀,比不上用 Script 可以先判断一下。或者你会说可以用 WMI
2、筛选,不过就我们的环境目前没权限设这个,而且也不太会写。另外就是到底效果咋样,能否禁掉还未可知。这位看客可能要说了,KB 说的还有假?不错,我相信KB,但是有时会不适用。何出此言?请继续往下看然后就是KB823732,http:/ 这个方法应该是很好,很根本了(Microsoft Service 所言) ,然后我又借用http:/ 所说的用 Xcacls 来设权限,可是在 XPSP2 以及之前的版本中都没有 Xcacls 这个命令,只有 Cacls 这个命令,而 Cacls 的问题是不带/y 参数,所以又找了http:/ 来实现,有看官可能要说了,你可以使用网络共享的 Xcacls 来啊,唉,
3、这不是有本地自带的命令,就尽量用本地的了吗。好,万事俱备,开始脚本吧,好像很简单,也就 34 行的批处理啊,XP 是 OK,可是在 Vista 下就有问题了,如果插入新设备,Vista 总是还能找到,如果是旧设备,在计算机管理中卸载掉再插入闪存,Vista 还是能够使用。而且会把HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesUsbStor 下面的 Start 的值自动改回到 3,真是见鬼了。按照 KB 的说法,在拒绝 INF 和 PNF 文件后,装新设备时会由于没有权限读这两个文件,导致安装失败,可是好像 Vista 就是有办法。个天杀的,
4、把老子搞得一点脾气没有,小事变成大事了。搞不定啊。个 NND,你不是会把注册表改回来吗,老子把注册表的权限也给你 Deny 掉,看你咋整?后来发现(无数次实验) ,只要在上述健的位置,把 SYSTEM 帐号给 Deny 掉,就真的可以在 Vista 下也禁用掉 USB 了,连那两个 INF 和 PNF 文件都不要做任何修改,这可是微软都不知道的哦。可是问题来了,鼠标点点改注册表权限是方便的,用脚本或者命令该咋办呢?翻便微软网站也只找到一个 Regini 命令,可是要命的是看了半天帮助,也没找到可以设置 Deny 权限的选项。找到 SETACL 这个超级权限管理工具,我用的是 0.904 版的,
5、用法比较简单, http:/www.helge.mynetcologne.de/setacl/program/setacl0.904/setacl.exe 现在新的是 2.0 版本的,功能超强,参数众多,当然用的也比较累了。http:/ USB 存储的,比如说老板们,当他们填写申请单来要求开通的时候,helpdesk 怎样才能很方便的来为他们解除限制呢?而解除限制是分两块的,一个是把注册表权限给改回来,另外一个是让组策略以后不能再次生效。前者可以写一个 Restore 的脚本,后者就通过组策略的安全设置喽。建一个组,然后在 GPMC 中设置那个组策略中这个组被拒绝。然后在Restore 的脚本
6、中加入将计算机帐号加入到这个组的功能。关于 Restore 的脚本,还有一个问题就是,如果就是一个很简单的脚本,没有任何安全措施,一旦将来这个脚本流传出去(很有可能) ,那么每个人都可以 Run 一下来解除限制,到那时这个限制也就是一个摆设了。所以首先脚本要加密,其次要在 Run 的时候验证用户身份,只有特定帐号才可以使用。好了,整个技术和管理思路就是这样了,下面就是两个脚本。最好还要说一下就是,我发现 Vista 和 XP 在 usbstor.inf 和usbstor.pnf 上最大的不同是,XP 下这两个文件的 Owner 是Administrators,而在 Vista 下的 owner
7、 是 System,而为 USB 安装驱动经实验是使用的 System 帐号,并不是之前想当然的觉得是当前登录的帐号,所以 KB823732 在 Vista 下不能生效的原因就是虽然Deny 了 system 帐号去读这两个文件,可是由于 owner 是 system,所以 system 照样可以读到,就照样可以安装 USB 存储,然后再自动的把 start 的值改回 3.哈哈,我的解释是不是很有说服力啊。 - DisableUSB.vbs VBScript program to RestoreUSB Date: 12/10/2008 Version: 3.0 - remove other l
8、imit By: Mike Yang at AMD Suzhou - - Get OS -On Error Resume NextstrComputer = “.“Set objWMIService = GetObject(“winmgmts:“ _“ “ Subtree“Set objRecordSet = objCommand.ExecuteComDN = objRecordSet.Fields(“distinguishedName“).Value - If the account is lost in the AD -If err 0 Thenerr.clearMailto = ““Ma
9、ilSubject = “The “ “MailSubject = “ASR “ “MailSubject = “ASR “ “MailSubject = “ASR “ & strASRNo & “ - “ & strUser & “ restored the USB feature on the “ & ComputerName & “ failed! - Only Mike“MailTextbody = “ _& “ASR “ & strASRNo & “ - “ & strUser & “ restored the USB feature on the “ & ComputerName
10、& “ failed!“ & chr(10) & chr(13) & chr(10) & chr(13) _& Rcode1 & chr(10) & chr(13) & chr(10) & chr(13) _& Rcode2 & chr(10) & chr(13) & chr(10) & chr(13) _& “Start = “ & dwValueSendMail Mailto,MailSubject,MailTextbodyWscript.Echo “The “ & ComputerName & “ restored the USB feature failed“End if - Send
11、 mail -Sub SendMail(Mailto,MailSubject,MailTextbody)Mailto = ““MailSubject = strUser & “ has joined “ & strComputer & “ into “ & strOU & “ sucessfully!“MailTextbody = strUser & “ has joined “ & strComputer & “ into “ & strOU & “ sucessfully!“MailAttachment = “c:log.txt“Set objEmail = CreateObject(“C
12、DO.Message“)objEmail.From = “SUZ_RestoreUSB“objEmail.To = MailtoobjEmail.cc = MailccobjEmail.bcc = MailbccobjEmail.Subject = MailSubjectobjEmail.Textbody = MailTextbodyobjEmail.AddAttachment MailAttachmentobjEmail.Configuration.Fields.Item _(“http:/ = 2objEmail.Configuration.Fields.Item _(“http:/ = _“SUZSMTP“objEmail.Configuration.Fields.Item _(“http:/ = 25objEmail.Configuration.Fields.UpdateobjEmail.SendEnd Sub
