利用组策略实现删除游戏和禁止usb.doc

关于如何使用策略禁止USB的问题- -                                        日前，在Winmag和emerbor(△)朋友讨论 :[求助]如何在Windows 2000下禁止打游戏！！！！ （原帖见于 其中提到的关于删除游戏和禁止usb的问题，有一定的代表性，这里特整理如下：   关于如何删除游戏：   将下面这个脚本保存为cmd，然后制定策略，将脚本放在策略中计算机登陆脚本执行它就可以了。 脚本将在计算机启动的时候执行，清除系统自带的小游戏。由于删除的顺序是按照 servicepackfile、dllcache、system32执行，将不会给系统文件保护所阻拦，进入系统后也不会有任何提示。 --------------------请不要复制此行----------------------------- echo y|del %systemRoot%\ServicePackFiles\i386\spider.exe echo y|del %systemRoot%\ServicePackFiles\dllcache\sol.exe echo y|del %systemRoot%\ServicePackFiles\dllcache\freecell.exe echo y|del %systemRoot%\ServicePackFiles\dllcache\Pinball.exe echo y|del %systemRoot%\ServicePackFiles\dllcache\winmine.exe attrib -s -h -r %systemRoot%\system32\dllcache echo y|del %systemRoot%\system32\dllcache\spider.exe echo y|del %systemRoot%\system32\dllcache\sol.exe echo y|del %systemRoot%\system32\dllcache\freecell.exe echo y|del %systemRoot%\system32\dllcache\Pinball.exe echo y|del %systemRoot%\system32\dllcache\winmine.exe echo y|del %systemRoot%\system32\spider.exe echo y|del %systemRoot%\system32\sol.exe echo y|del %systemRoot%\system32\freecell.exe echo y|del %systemRoot%\system32\winmine.exe cd %programfiles%\window~1\pinball echo y|del Pinball.exe -------------------请不要复制此行------------------------   对于系统自带的游戏，前面的方法就可以制止它们的运行。 对于需要安装的游戏，domain users是没有权限安装的。 对于绿色软件的游戏，它们运行所需要的dll也是系统运行所需要的。故而不太可能删除游戏运行所需要的dll文件。        如果通过策略限制这些小软件的运行，用户可以更改其文件名以躲避策略限制。对于改名的问题，之前也讨论过，对于win2k的ad是没有办法限制的，对于win2k3来说，虽然可以通过校验软件头部hash值来限制，但用户仍然可以使用软件修改它。最终的解决办法还是要通过隐藏驱动器结合设置本地硬盘的ntfs权限（此可以通过安全模板实现）来进一步设定。 对于fileserver上的游戏，可以通过server上存储管理来做，比如veritas central，定期监控调用频率高的程序，就可以扫描到它们。     关于屏蔽USB： MS有此kb，见于  ，主要内容如下：   如果计算机上尚未安装 USB 存储设备 如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限： %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf 这样，用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作： 启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。 右键单击“Usbstor.pnf”文件，然后单击“属性”。 单击“安全”选项卡。 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 右键单击“Usbstor.inf”文件，然后单击“属性”。 单击“安全”选项卡。 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 返回页首 如果计算机上已经安装了 USB 存储设备 警告： “注册表编辑器”使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 这样，当用户将 USB 存储设备连接到计算机时，该设备将无法运行。要设置“Start”的值，请按照下列步骤操作： 单击“开始”，然后单击“运行”。 在“打开”框中，键入“regedit”，然后单击“确定”。 找到并单击下面的注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 在右窗格中，双击“Start”。 在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选中），然后单击“确定”。 退出“注册表编辑器”。 在实践操作的时候，可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发（抱歉这里是用繁体的名称，下面用图片来说明它的位置）   通过在登陆项目中新增机码（主键）（注：一般dc如果没有使用过usb设备，那么usbstor这键值是不会产生的，可以手动添加此主键。策略分发到client后，会自动应用于client的注册表中对应键值;      在添加用户的时候可以酌情考虑，是使用domain users还是其他；权限的设置，请点击修改旁边的拒绝，这样当usbstor主键权限继承下去后，如果原来下面的子键已经有相应的权限，那么也会以拒绝优先） 通过在档案系统中新增资料夹（文件夹）（注：在指定文件夹路径的时候，为了使用win2k和winxp，请使用%systemroot%） 就可以完成这一点。 client登入后，如果插入usb设备，系统将会提示： “您的安全性特殊權限不足,所以無法在這部電腦上安裝新的裝置.請聯絡您的站台系統管理員,或者登出後重新以系統管理員的身分登入,然後再安裝一次.”   至此，USB禁止策略实施成功。 - 4 -