PDA

View Full Version : dùng group policy khoa USB


nakata
15-10-2009, 19:25
cho mình hỏi mình muốn khóa usb của các máy client nhưng khi cấm máy in và scanner thì ok.

vậy thì mình làm thế nào .Luc trước mình sử dụng phần mềm khóa network administrator nhưng khi cài lại hệt thống không hiểu sao nó không thể khóa đc nữa.

lebboy
15-10-2009, 20:20
vao Cmos cam cong USb vay la ok

nakata
16-10-2009, 07:51
trời đơn giản vậy bạn cái đó con nít còn bít.

phamvangiang1986
16-10-2009, 08:46
cho mình hỏi mình muốn khóa usb của các máy client nhưng khi cấm máy in và scanner thì ok.

vậy thì mình làm thế nào .Luc trước mình sử dụng phần mềm khóa network administrator nhưng khi cài lại hệt thống không hiểu sao nó không thể khóa đc nữa.
cái này thì bạn có thể khóa theo kí tự ổ cứng ( chỉnh registry cho ẩn kí tự của USB ):)

dovangiau
16-10-2009, 09:13
cái này thì bạn có thể khóa theo kí tự ổ cứng ( chỉnh registry cho ẩn kí tự của USB ):)

Ví dụ: ký tự gán ổ đĩa mặc định 26 ( a-z), hiện tại bạn dùng abcd, những ký tự còn lại bạn khóa trong registry (tham khảo www.google.com.vn) và khi cấm usb vào thì nó sẽ ko gán được ổ đĩa vậy thôi

homthu2312
19-10-2009, 14:39
cài GFI Endpoint Security là ok

phamvangiang1986
19-10-2009, 14:48
Ví dụ: ký tự gán ổ đĩa mặc định 26 ( a-z), hiện tại bạn dùng abcd, những ký tự còn lại bạn khóa trong registry (tham khảo www.google.com.vn) và khi cấm usb vào thì nó sẽ ko gán được ổ đĩa vậy thôi
nó có gán nhưng bị ẩn, bạn vô disk management sẽ thấy. do vậy áp này chỉ múa dìu thôi không qua mắt thợ:). Nếu kết hợp với khóa disk management nữa chắc tạm ổn:)

dovangiau
19-10-2009, 15:15
nó có gán nhưng bị ẩn, bạn vô disk management sẽ thấy. do vậy áp này chỉ múa dìu thôi không qua mắt thợ:). Nếu kết hợp với khóa disk management nữa chắc tạm ổn:)

Cũng có lý, nhưng họ chỉnh registry, bạn nghĩ sao? Tốt nhất do Admin thôi (domain hay workgroup). Admin cấm nhiều quá cũng không tốt :D, tốt nhất thông báo tình trạng vậy đó của công ty cho nhân viên là hay nhất.

phamvangiang1986
19-10-2009, 15:28
Cũng có lý, nhưng họ chỉnh registry, bạn nghĩ sao? Tốt nhất do Admin thôi (domain hay workgroup). Admin cấm nhiều quá cũng không tốt :D, tốt nhất thông báo tình trạng vậy đó của công ty cho nhân viên là hay nhất.
đúng vậy, thấy thường chỉnh trong registry, có thể tạo file .adm để tạo policy áp xuống ( cái này chưa thử, chưa hiểu cách thức viết của file .adm).:)

homthu2312
19-10-2009, 16:00
chịu các bác .đã bảo cài GFI Endpoint Security trên Server rồi Deploy xuống client là ok mà ko nghe

mvv
19-10-2009, 16:02
chịu các bác .đã bảo cài GFI Endpoint Security trên Server rồi Deploy xuống client là ok mà ko nghe

chịu bác luôn, người ta đã bảo là dùng Group policy mà bác cứ kêu cài cái này cái nọ :D

còn đây là cách disable USB theo OU, mình copy trên NN về các bác làm theo nha

How to: USE GROUP POLICY TO DISABLE USB, CD-ROM, FLOPPY DISK & LS-120 DRIVERS.
http://support.microsoft.com/?kbid=555324
Disable USB via Group Policy thực hiện như sau:
1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng .adm file:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED


VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên usbstor (chẳng hạn).Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file usbstor.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/Move các Computers muốn disable USB vào OU.
8/Start ->Run: gpupdate /force

mrh
07-10-2010, 10:04
chịu bác luôn, người ta đã bảo là dùng Group policy mà bác cứ kêu cài cái này cái nọ :D

còn đây là cách disable USB theo OU, mình copy trên NN về các bác làm theo nha

How to: USE GROUP POLICY TO DISABLE USB, CD-ROM, FLOPPY DISK & LS-120 DRIVERS.
http://support.microsoft.com/?kbid=555324
Disable USB via Group Policy thực hiện như sau:
1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng .adm file:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED


VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên usbstor (chẳng hạn).Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file usbstor.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/Move các Computers muốn disable USB vào OU.
8/Start ->Run: gpupdate /force

Đến bước này chịu các bác ới
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK

chọn Custom Policy Settings dòng này lấy ở đâu ra các bác

squall88
07-10-2010, 10:09
BÁc add file *.adm vào rồi là sẽ thấy xuất hiện Custom Policy Settings

camaptrang
07-10-2010, 10:30
có nhiều cách khác nhau.

cách đơn giản, dễ làm nhất và nhanh gọn nhất :

tiến hành các bước như sau :

1. bạn đang có hệ thống chạy với DC và bạn áp dụng chính sách domain user không được phép chỉnh sửa hay thay đổi cài đặt cấu hình (default của Domain)

2. bạn cho các user khi login thì chạy login script có lệnh import cái .reg này vào để cấm usb disk:
+ nội dung fil usb.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\Currentcontrolset\services\USBSTOR]
"Start"=dword:00000004

bạn lưu file reg này trong folder của script của mạng hay đâu đó mà user có read được.

3. dòng lệnh import reg vào các máy khi login được add trong file login script của bạn:

REG IMPORT \\server\netlogon\usb.reg

mrh
07-10-2010, 10:53
BÁc add file *.adm vào rồi là sẽ thấy xuất hiện Custom Policy Settings
OKe thanks bro
================

bigbabon
07-10-2010, 12:21
Nếu dùng Win 7 thì có sẵn tính năng đó trong Group Policy, không cần add file adm.

pthieu
07-10-2010, 14:27
cho mình hỏi mình muốn khóa usb của các máy client nhưng khi cấm máy in và scanner thì ok.

vậy thì mình làm thế nào .Luc trước mình sử dụng phần mềm khóa network administrator nhưng khi cài lại hệt thống không hiểu sao nó không thể khóa đc nữa.

Chào bạn, không biết hệ thống của bạn có bao nhiêu Users ?
Và cấm USB toàn bộ hay trừ các trưởng phòng, Nhân viên được cấp phép.
Nếu hệ thống có it Users, bạn có thể :
- Dùng MyUsbOnly Deploy xuống và set pass. Khi đó bạn cấp pass cho những người được phép dùng USB.
Hệ thống lớn : dùng các phần mềm như các bạn đã nói ở trên.
Thân !

DuYs3u
13-10-2010, 01:03
Nếu dùng Win 7 thì có sẵn tính năng đó trong Group Policy, không cần add file adm.

Phải nói là DC trên Server 2008 và Client là Vista trở lên thì trong GPO có sẵn luôn không cần thêm file ADM