1、Windows 2000 Professional 中实现屏蔽 USB 移动存储器的方法1 以 Administrator 身份登陆,在“运行”中输入 gpedit.msc 打开组策略窗口。2按以下顺序定位“用户配置管理模板-Windows 组件 -Windows 资源管理器” ,选中Windows 资源管理器,在右边的窗口中会显示如图 1 所示。可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器” ,双击打开其中一项策略,选择“启用” ,下面的下拉框会变亮,单击下拉框,会发现系统提供了 7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器” ,但是这些组合不能满足
2、我们的要求(因为 U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,可能有好几个分区,另外还可能有光驱) 。2 关闭组策略窗口。打开资源管理器,确认文件夹选项里可以显示隐藏的文件和文件夹。用记事本打开 C:WINNTsystem32GroupPolicyAdminsystem.adm 文件。此文件是我们在实施组策略的模板文件,实际上是一个纯文本文件,找到下面这两段代码:POLICY !NoDrives EXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME “NoDrives“ITE
3、MLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICYPOLICY !
4、NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME “NoViewOnDrive“ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 6710
5、8863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PART3修改说明:这两段代码分别对应两个策略,第一个!NoDrives,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问。所以
6、要求两个同时使用,可以达到所需要的效果。 在上述代码中可以发现,其中一共有 7 个 NAME 项,正好和组策略中下拉框中的一一对应,后面的 VALUE NUMERIC 按照 26 位的二进制,最多可指定 26 个驱动器盘符,而 1 bit per drive 则代表 1 位代表 1 个驱动器,举例说A=1,B=2,C=4 ,D=8 ,E=16,F=32,G=64,H=128 ,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏 A、B、E、F、G、H、I ,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的 USB 接口数(防止有人同时插入几个 U 盘)
7、 。那么我们计算出 VALUE NUMERIC 的数值 A+B+E+F+G+H+I= 1+2+16+32+64+128+256 =499,在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABETOIOnly VALUE NUMERIC 499随后,移到 System.adm 文件的末尾,在 ABConly=“仅限制驱动器 A、B 和 C“ 下面插入一行数据,ABETOIOnly =“ 仅限制驱动器 A、B、E 到 I 盘“。等于号后引号内的说明将会显示在组策略的下拉框中。保存后,打开组策略窗口,定位“用户配置-管理模板-Windows 组件-W
8、indows 资源管理器” ,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器” ,点击“启用” ,再点击下拉框,就会发现您多了这个选项。这时候,只要应用此策略(别忘了这两个策略都需要设置) ,用户登录时,便会发现他的U 盘插上后,系统虽能识别并正确安装驱动,但在 “我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。至此,全部设置完毕。其它 USB 设备如 USB 鼠标和键盘,以及 iKey 驱动可以照常使用。4这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。当然 U 盘都屏蔽了,光驱就更该屏蔽了,如果实在要访问,可以用 Administrator 身份在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。5如果计算机只有 C,D 分区,可用附件覆盖原来的 system.adm 文件,再采用组策略即可。
