论坛 › Windows 进阶技术 › 企业用户通过部署组策略限制外来u盘保护数据

coole007 发表于 2013-3-18 16:38

企业用户通过部署组策略限制外来u盘保护数据

企业用户通过部署组策略限制外来u盘保护企业数据      数据安全对于企业是非常重要的，临时离开工作电脑，外出办公室门没有锁，等等这些情况都会给“外人”提供复制自己电脑中的数据的机会，那么我们有没有办法限制自己的电脑不让外来u盘在我们的电脑中工作，以达到保护数据安全的目的呢？
      能，我们可以通过部署组策略来达到限制外来u盘的目的。
      其实要达到这个目的，我们的整个操作共分两个阶段，首先是让Win8认识你的U盘，其次就是设定规则让系统自动拒绝其他U盘了。

具体步骤：
　　1、 将自己的U盘插入电脑，然后打开【设备管理器】，依次展开【计算机】→【磁盘驱动器】，然后找到自己的U盘项。

       2、找到自己的U盘， 双击U盘项进入属性页面，接下来打开【详细信息】面板，将其中的【属性】更改为【硬件ID】，然后复制下硬件ID中第一个值。



      3、记录下U盘的“硬件ID”

   4、 同样的操作，将【通用串行总线控制器】→【USB大容量存储设备】中的硬件ID复制下来，具体步骤同上。

   
    5、记录下USB大容量存储设备的“硬件ID”

    6、点击开始菜单，在搜索栏中输入“gpedit.msc”，启动组策略编辑器。

    7、启动【组策略编辑器】依次找到并展开【计算机配置】→【管理模板】→【系统】→【设备安装】→【设备安装限制】。

   8、开启【禁止安装未由其他策略设置描述的设备】


   9、开启【允许安装与下列设备ID相匹配的设备】，并将刚才复制下来的U盘及USB大容量存储设备的硬件ID填写到【允许安装与下列设备ID相匹配的设备】的【显示】面板中。


   10、点击确定后配置便开始生效，此时随便插一块U盘试试，会显示如下提示



经过以上设置，我们已经达到了限制其他U盘插入并使用的目的，达到了保护自己电脑数据的目的。

zx1239856 发表于 2013-3-18 21:16

沙发，好像电脑书上看到过这个啊

home飞扬123 发表于 2013-3-18 22:53

专业版的可以用吗?

coole007 发表于 2013-3-19 08:21

home飞扬123 发表于 2013-3-18 22:53 static/image/common/back.gif
专业版的可以用吗?

可以用的 呵呵

werfg120 发表于 2013-3-19 08:52

牛人   啊！winds7 可以用吗？{:5_293:}{:5_293:}

coole007 发表于 2013-3-19 09:25

werfg120 发表于 2013-3-19 08:52 static/image/common/back.gif
牛人   啊！winds7 可以用吗？

理论上是可以的 您可以实验下

wangfuba 发表于 2013-3-19 13:25

我想问的是，不同牌子的U盘你都可以限制住吗？还是说某个牌子的U盘有效？USB的鼠标键盘受影响吗？

coole007 发表于 2013-3-19 13:53

wangfuba 发表于 2013-3-19 13:25 static/image/common/back.gif
我想问的是，不同牌子的U盘你都可以限制住吗？还是说某个牌子的U盘有效？USB的鼠标键盘受影响吗？

鼠标啥的不受影响 啥牌子的优盘都能限制

hzclm 发表于 2013-3-19 17:50

有价值的文章，收藏了。

zjdzjd 发表于 2013-3-19 21:04

这东西有多少是您自己写的呢？

a1011882528 发表于 2013-3-20 13:29

那上面那个提示，
假如有人懂一些，是可以自己修改组策略来解除限制的吧？
假如能去除那个提示，
插上其他 的u盘完全没反应
这样才够安全的

coole007 发表于 2013-3-20 13:41

a1011882528 发表于 2013-3-20 13:29 static/image/common/back.gif
那上面那个提示，
假如有人懂一些，是可以自己修改组策略来解除限制的吧？
假如能去除那个提示，


简单,你可以到C:\WINDOWS\system32里把gpedit.msc剪切到其他文件夹，但是自己一定要记住放到什么地方了，然后再重新命名依稀，这样别人就无法从运行启动组策略了，呵呵

tomdonald 发表于 2013-3-20 14:33

coole007 发表于 2013-3-20 13:41 static/image/common/back.gif
简单,你可以到C:\WINDOWS\system32里把gpedit.msc剪切到其他文件夹，但是自己一定要记住放到什么地方了， ...

组策略只是一个Microsoft 通用管理文档，任何控制台工具都可以加载，单纯把gpedit.msc移走还是没用的。另外组策略实际上编辑的是注册表，如果有人把相应位置的注册表文件改回去也会失效。所以防止修改的唯一办法是用UAC提示管理员凭据，移动一个gpedit.msc是没用的。

coole007 发表于 2013-3-20 14:43

tomdonald 发表于 2013-3-20 14:33 static/image/common/back.gif
组策略只是一个Microsoft 通用管理文档，任何控制台工具都可以加载，单纯把gpedit.msc移走还是没用的。另 ...
如果这么精通的话 那就不好限制了 这个方法就是一般的限制 对于一般的人员有效 就跟自行车配套车锁一样 要防贼 单单的车锁也不起作用 您觉得呢 呵呵

tomdonald 发表于 2013-3-20 14:58

coole007 发表于 2013-3-20 14:43 static/image/common/back.gif
如果这么精通的话 那就不好限制了 这个方法就是一般的限制 对于一般的人员有效 就跟自行车配套车锁一样 要 ...

这个应该不算什么精通吧，搞不好Windows自己的文件保护机制就能把这份msc文档给恢复了，到时候移不走就麻烦了。

飞过末日 发表于 2013-3-20 15:13

对企业来说，部分要求开启，部分要求不开启，主要为防止U带毒而限制，如果只为防拷贝，PE，网盘...你忙的过来？

愤怒的皮皮鲁 发表于 2013-3-20 15:24

貌似不是很实用，顶一下吧

coole007 发表于 2013-3-20 16:30

飞过末日 发表于 2013-3-20 15:13 static/image/common/back.gif
对企业来说，部分要求开启，部分要求不开启，主要为防止U带毒而限制，如果只为防拷贝，PE，网盘...你忙的过 ...

很有道理 呵呵

a1011882528 发表于 2013-3-20 16:36

coole007 发表于 2013-3-20 13:41 static/image/common/back.gif
简单,你可以到C:\WINDOWS\system32里把gpedit.msc剪切到其他文件夹，但是自己一定要记住放到什么地方了， ...

这个略屌

查看完整版本: 企业用户通过部署组策略限制外来u盘保护数据