本教程将向您展示如何配置组策略以禁用Windows 2012服务器上可移动设备上的USB写访问。
本教程还将介绍如何禁用CD或DVD上的写访问权限。
这将有助于您的计算机环境实现更高的安全级别。
域控制器正在运行Windows 2012 R2。
域计算机正在运行Windows 7和10。
硬件清单:
以下部分介绍了用于创建此Windows教程的设备列表。
上面列出的每一件硬件都可以在亚马逊网站上找到。
Windows相关教程:
在此页面上,我们提供了与Windows相关的教程列表的快速访问。
教程 – 创建GPO以禁用USB写访问
在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。
单击“开始”菜单,找到并打开“组策略管理”工具。
在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。
右键单击“组策略对象”文件夹,然后选择“新建”选项。
输入新策略的名称。
在我们的示例中,新GPO被命名为:DENY USB WRITE。
在“组策略管理”屏幕上,展开名为“组策略对象”的文件夹。
右键单击新的组策略对象,然后选择“编辑”选项。
在组策略编辑器屏幕上,您将看到用户配置和计算机配置。
我们只会更改计算机配置。
我们不需要更改任何用户配置。
在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。
•计算机配置>管理模板>系统>可移动存储访问
在右侧,将显示可用配置选项列表。
首先,让我们禁用对USB存储设备的写访问。
双击名为“可移动磁盘:拒绝写入访问”的配置项。
在配置项屏幕上,您需要选择“启用”选项。
如果您还想禁用对CD和DVD的写访问权限。
双击名为CD和DVD的配置项:拒绝写访问。
在配置项屏幕上,您需要选择“启用”选项。
要完成组策略创建,您需要关闭“组策略编辑器”窗口。
仅当您关闭组策略窗口时,系统才会保存您的配置。
教程 – 应用USB写访问限制GPO
您已完成网络限制GPO的创建。
但是,您仍需要启用新的组策略。
在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接现有GPO的选项。
在我们的示例中,我们将名为DENY USB WRITE的组策略链接到名为TECH.LOCAL的域的根。
应用GPO后,您需要等待10或20分钟。
在此期间,GPO将复制到您可能拥有的其他域控制器。
等待20分钟后,您应该重新启动用户的计算机。
在引导期间,计算机将获取并应用新组策略的副本。
要测试配置,您需要将USB存储驱动器连接到计算机并尝试保存文件。
您的计算机应自动拒绝对USB存储设备的写入权限。
