系统管理中禁用移动存储设备

系统管理中禁用移动存储设备
我们公司之前所有业务网电脑都是通过注册表来限制浏览器的访问，但仍可通过cmd的命令行方式进入移动存储设备如U盘盘符问（以下用U盘示例），给安全管理来带隐患。目前业务网电脑已经通过域部署的方式来完全阻挡了移动存储设备的使用，同样是利用注册表的原理。
1.移动存储设备禁用
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000004
此键值为4的时候是禁用移动存储设备（默认值为3，启用），并且将该注册表键值加入到域策略的启动脚本里，因此，需要解锁移动存储设备使用的时候，需要修改此键值为3(同时还要解锁浏览器的相关两处注册表键值)；然后，将[b]U盘等存储设备插入到电脑后，重新启动计算机，用户登陆后可以看到U盘盘符了但由于域策略启动脚本的原因，此时此注册表键值其实已经被修改为了4，因此只要一旦拔出U盘或者即使插入新的U盘，都不再生效。[/b]
相关，解锁U盘、网络配置的选项如下，只要导入该注册表键值，插入U盘，重启计算机，登陆，即可看到U盘盘符了。

2.隐藏并禁止查看可分配给usb移动存储设备的盘符的设置和计算如下：
首先打开注册表编辑器，依次展开如下分支：{HKEY_CURRENT_USERtSoftware\Microsoft\Windows\CurrentVersion\P10iCies\Explorer]，新建dword(双字)值“NoDrives”。键值由四个字节(32位二进制数)组成，其中由低到高的二十六位二进制数代表了电脑中可供分配的26个驱动器符号，每个字节的每一位(bit)对应从A：到Z：的一个盘。当相应位为l时，“我的电脑”中相应的驱动器就被隐藏了。当相应位为0时，“我的电脑”中相应的驱动器不被隐藏。其缺省值是00000000，表示不隐藏任何驱动器。假如我想只显示盘符C和D，其他盘符都隐藏,那么数字与盘符的对应关系就是：11111111111111111111110011与ZYXWVUTSRQPONMLKJIHGFEDCBA（注意顺序），将二进制“11111111111111111111110011”转换成十六进制(用WindowsXp自带的计算器进行转换)为3FFFF3，将”NoDriyes”的值改为03FFFFF3（不够8位，前面补充0）．改好后重新启动电脑，再插入移动存储设备。在”我的电脑”里只显示C和D盘，但在地址栏里输U盘盘符还是可以访问的。所以还要多做一步，就是再新建一个dword(双字)项“NoViewOnDrive”，值改为“03FFFFF3”，其值与“NoDrives”相同。这样就完全禁止其他盘符访问。

以下为注册表相关项说明
'修改移动存储设备为启用

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000003
隐藏并禁止查看可分配给usb移动存储设备的盘符（用户）,这个可以省略

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"=dword:03fffff3
"NoViewOnDrive"=dword:03fffff3
增加CMD的相关限制

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]

"DisableCMD"=dword:00000002
隐藏并禁止查看可分配给usb移动存储设备的盘符（系统）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"=dword:03fffff3

"NoViewOnDrive"=dword:03fffff3

具体注册表如下：
1.禁用移动存储设备：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03fffff3
"NoViewOnDrive"=dword:03fffff3

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000002
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03fffff3
"NoViewOnDrive"=dword:03fffff3
2.解除移动存储设备限制：
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03fffff3
"NoViewOnDrive"=dword:03fffff3

[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000002
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:03fffff3
"NoViewOnDrive"=dword:03fffff3

本文出自 “小飞侠的博客” 博客，请务必保留此出处http://wuxiaohui.blog.51cto.com/697989/423800