使用组策略限制设备使用

USB设备虽然便携，但其中也包涵许多风险。如电脑不够安全会使病毒乘虚而入，从而引起机密文件丢失等问题。为了防止各种风险，各公司都不希望员工使用 U 盘或者其他可移动存储设备。甚至有不少公司、企业，甚至是学校，传统的做法都是将 USB 接口堵死，将其用玻璃胶封住。这样做不仅破坏了硬件，而且会导致其他 USB 设备无法使用，也增加了很大的工作量。目前的笔记本及PC机主板，至少有4个USB接口... 漂亮的电脑直接就给整容了...

有没有比这个方式更好的办法呢？答案是有。接下来就说说用组策略封杀USB端口这些事儿。

我们通过组策略，可以做以下这些事儿：
● 允许指定类型的设备可以安装，拒绝未指定软件
　　● 允许指定的具体硬件可以安装，拒绝未指定的硬件
　　● 限制某些设备用户的读取或者写入操作
● 拒绝所有可移动设备

实验原理
　　 ●通过对组策略不同策略设置的调整，便可轻松实现各种限制功能。
　　 ●通过限制“硬件类型（Device class）”，可以做到对所有同类硬件的封杀。
●通过限制“硬件 ID（Device ID）：”，可以封杀指定设备。
●两者结合使用，便可做出灵活强大的功能配置。

实验开始
在win7系统中，单击左下角开始，输入gpedit.msc 调出组策略。


（1）禁止使用 USB 可移动存储设备 依次展开 计算机配置 -> 管理模板 -> 系统 -> 可移动存储访问

双击进行编辑 所有可移动存储类：拒绝所有权限[/b]

此时我的U盘和虚拟光驱盘符不再显示容量信息等。尝试双击打开：被拒绝访问

（2）允许或禁止使用指定设备 有时，并不需要对所有设备进行统一的封杀。例如，备份专用的移动硬盘等。因此，需要灵活实现组策略的配置，就需要用到限制设备 ID 的做法。依次展开 计算机配置 -> 管理模板 -> 系统 -> 设备安装 -> 设备安装限制

允许安装与下列设备 ID 相匹配的设备，阻止安装与下列任何设备 ID 相匹配的设备先将希望被阻止的设备连接至计算机，然后使用“设备管理器”查看其设备 ID。打开“设备管理器”（可以在开始菜单搜索框中输入：devmgmt.msc），在设备列表中找到需要被阻止的设备，并右键单击打开“属性”窗口，在“属性”窗口中查看：详细信息 -> 属性：设备属性中的设备属性

在“属性”下拉菜单中可以选择“硬件 ID ”或者“设备类 GUID”。我们在具体“值”上单击右键将其复制。打开“组策略编辑器”，配置刚才前文定位到的组策略条目。 例如，我在“设备管理器”中将我刚才使用的 U 盘的“硬件 ID”复制了下来，在组策略中，我选择了“阻止安装与下列任何设备 ID相匹配的设备”，配置时，首先勾选“已启用”：单击“显示”按钮，将刚才复制的“硬件 ID”填入：启用该组策略并配置

点击“确定”即可。如果该设备已经在本机安装过，那么，还需要勾选“也适用于匹配已安装的设备”。勾选“也适用于匹配已安装的设备”

此时，再次插入我刚才的 U 盘，系统会提示设备已被组策略所禁止。设备安装被策略阻止

使用同样的方法，可以实现对一类设备的特殊管理，只需使用其“设备类 GUID”配合不同的组策略管理条目即可。 在组策略中，刚才我们使用的那两个分类下，还有诸多条目可以控制光驱、软驱、磁带机等设备。用户可以通过不同的策略配置以实现更加丰富灵活多变的管理。