• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Các cách disable USB trong workgroup và Domain

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các cách disable USB trong workgroup và Domain

    How to: USE GROUP POLICY TO DISABLE USB, CD-ROM, FLOPPY DISK & LS-120 DRIVERS.
    Microsoft support is here to help you with Microsoft products. Find how-to articles, videos, and training for Microsoft Copilot, Microsoft 365, Windows, Surface, and more.

    Disable USB via Group Policy thực hiện như sau:
    1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng .adm file:

    CLASS MACHINE
    CATEGORY !!category
    CATEGORY !!categoryname
    POLICY !!policynameusb
    KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
    EXPLAIN !!explaintextusb
    PART !!labeltextusb DROPDOWNLIST REQUIRED


    VALUENAME "Start"
    ITEMLIST
    NAME !!Disabled VALUE NUMERIC 3 DEFAULT
    NAME !!Enabled VALUE NUMERIC 4
    END ITEMLIST
    END PART
    END POLICY
    END CATEGORY
    END CATEGORY

    [strings]
    category="Custom Policy Settings"
    categoryname="Restrict Drives"
    policynameusb="Disable USB"
    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
    labeltextusb="Disable USB Ports"
    Enabled="Enabled"
    Disabled="Disabled"


    2/ Tạo OU, right click Properties, chọn Group Policy.
    3/ Tạo Group Policy: New, đặt tên usbstor (chẳng hạn).Sau đó, chọn Edit.
    4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file usbstor.admClose.
    5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
    6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
    7/Move các Computers muốn disable USB vào OU.
    8/Start ->Run: gpupdate /force
    Last edited by phamminhtuan; 24-05-2009, 02:49 PM.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

  • #2
    Để vô hiệu hóa sử dụng các thiết bị lưu trữ USB, sử dụng một trong những thủ tục sau:

    Nếu ổ đĩa USB chưa được cài đặt trên máy tính

    Trong trường hợp này bạn chỉ định người dùng hoặc từ chối nhóm ở các file dưới đây:

    %SystemRoot%\Inf\Usbstor.pnf
    %SystemRoot%\Inf\Usbstor.inf

    Khi thực hiện như vậy, người dùng không thể cài một ổ USB vào máy tính. Để chỉ định một người dùng mới hoặc từ chối nhóm trong file Usbstor.pnf và Usbstor.inf bạn thực hiện theo các bước sau:

    1. Vào Windows Explorer, sau đó vào thư mục
    %SystemRoot%\Inf.

    2. Kích chuột phải vào file
    Usbstor.pnf sau đó kích Properties.

    3. Chọn tab
    Security.

    4. Trong danh sách
    Group or user names, nhấn người dùng hoặc nhóm mà bạn muốn thiết lập sự từ chối.

    5. Trong danh sách
    Permissions for UserName or GroupName, nhấn để chọn check box Deny bên cạnh Full Control, sau đó kích OK.

    Chú ý bổ sung thêm tài khoản hệ thống vào danh sách từ chối (Deny).

    6. Kích chuột phải vào file
    Usbstor.inf, sau đó kích Properties.

    7. Chọn tab
    Security.

    8. Trong danh sách
    Group or user names, kích vào người dùng hay nhóm bạn muốn thiết lập sự hạn chế.

    9. Trong danh sách
    Permissions for UserName or GroupName, chọn check box Deny bên cạnh Full Control, sau đó kích OK.

    Nếu ổ USB đã được cài đặt trên máy tính

    Khi bạn thực hiện với regedit có thể có những nguy hiểm đối với máy tính nếu thực hiện sai, tồi tệ nhất là bạn có thể phải cài đặt lại hệ điều hành cho máy tính. Microsoft cũng không bảo đảm những vấn đề gây ra với regedit có thể giải quyết được. Trong trường hợp ổ đĩa USB đã được cài đặt trên máy tính thì bạn tiến hành việc vô hiệu hóa như sau:

    1. Nhấn
    Start, sau đó nhấn Run.

    2. Đánh
    regedit sau đó nhấn OK.

    3. Vào:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UsbStor

    4. Ở cửa sổ bên phải, kích đúp
    Start.

    5. Thay đổi giá trị trong hộp bằng
    4 sau đó nhấn OK.

    6. Thoát khỏi Registry Editor.

    Cách tiến hành trên được áp dụng với các phiên bản sau
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows Server 2003, Enterprise Edition
    • Microsoft Windows Server 2003, Standard Edition

    Sưu tầm
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Bạn dùng thử software đi, escan là phần mềm anti-virus nhưng hỗ trợ thêm and-point security đó. Cho phép bạn sét pass khi gắn usb vào, hoặc chỉ đọc dữ liệu từ usb không cho chép dữ liệu từ máy tính vào usb. hoặc là cho phép những usb nào quen thuộc( add serial number ) mới có thể gắn vào máy tính. ngoài ra có tool quản trị tập trung nếu cty bạn muốn quản lý usb thì nhờ user mang usb cho IT, IT add những số serial vào rồi apply cho các máy con.
      Còn khả năng diệt virus thì bạn xem thêm trên report của AV-Com quý 1 năm 2009 và những năm trước luôn xem nó ok không nhé.
      Xem link chi tiết: http://escan.vn/vi/san-pham/ca-nhan/...ernet-security

      Comment


      • #4
        Originally posted by longvn View Post
        Bạn dùng thử software đi, escan là phần mềm anti-virus nhưng hỗ trợ thêm and-point security đó. Cho phép bạn sét pass khi gắn usb vào, hoặc chỉ đọc dữ liệu từ usb không cho chép dữ liệu từ máy tính vào usb. hoặc là cho phép những usb nào quen thuộc( add serial number ) mới có thể gắn vào máy tính. ngoài ra có tool quản trị tập trung nếu cty bạn muốn quản lý usb thì nhờ user mang usb cho IT, IT add những số serial vào rồi apply cho các máy con.
        Còn khả năng diệt virus thì bạn xem thêm trên report của AV-Com quý 1 năm 2009 và những năm trước luôn xem nó ok không nhé.
        Xem link chi tiết: http://escan.vn/vi/san-pham/ca-nhan/...ernet-security
        Mình từng sử dụng qua Escan rồi, phần mềm quét làm máy chạy khá nặng ... không biết hiện nay vấn đề này còn tồn tại với các version sau của Escan nữa hay không ?
        Diễn đàn Asterisk

        Comment


        • #5
          Bạn load escan Ver 10 đi, nó sài nhẹ lắm đó, link load nè bạn: http://escan.vn/vi/tai-ve/sn-phm-ca-...ernet-security

          Bạn xem thêm những tính năng mới của escan ver 10 này nha.
          eScan 10 có gì mới?
          Những điểm mạnh và những tính năng hay của eScan Internet Security 10.
          Source cài đặt luôn được hãng cập nhật cơ sỡ dữ liệu virus mới thường xuyên vì thế sau khi cài đặt vào máy, quá trình update ở lần đầu tiên tiến hành nhanh và ít khi nào bị lỗi so với các chương trình khác.

          * Quá trình cài đặt đơn giản và nhanh chóng, những người không am hiểu nhiều về máy tính cũng có thể thực hiện việc cài đặt.

          * Trong quá trình cài đặt xuất hiện tiện ích giúp phát hiện nhanh virus đã tồn tại từ trước trong máy tính (rất hữu ích với các máy bị nhiễm virus nặng từ trước, tránh trình trạng virus làm vô hiệu hóa chương trình virus sau khi cài đặt xong vào máy, tính năng này các chương trình khác không có)

          * Tiện ích reset cấu hình window về mặc định (rất ữu ích trong trường hợp máy tính bị nhiễm virus từ trước và làm thay đổi setting của window, vd: không cho hiện file ẩn, không cho truy cập registry, task manager, …sử dụng tính năng này bạn có thể reset cấu hình window về mặc định, đây là tính năng rất hay mà các chương trình khác không có)

          * Tiện ích download bản vá lỗi của window (tiện ích này sẽ giúp download bản vá lỗi bảo mật quan trọng của microsoft cho window mà virus lợi dụng để lây nhiễm vào máy tính trong những đợt bùng phát virus mạnh – vd: đợt bùng phát Conficker, Kido, Downadup vừa rồi lợi dụng lỗ hổng của window, đây là tính năng rất hay mà các chương trình khác không có)

          * Bảo vệ chương trình bằng password (tránh trình trạng người khác can thiệp tắt hoặc thay đổi tùy chỉnh của escan trên máy tính của bạn)

          * Tính năng Proactive Scan giúp phát hiện các chương trình lạ nguy hiểm trong máy tính (mặc định các chương trình phổ biến của các hãng lớn hoặc được tin tưởng khi cài đặt hoặc chạy escan không hỏi password, tuy nhiên khi một chương trình của các hãng lạ chạy và có dấu hiệu nguy hiểm, eScan yêu cầu điền password admin chứng thực từ bạn cũng như yêu cầu bạn chọn hành động có cho phép chương trình chạy không? (giúp chống lại trường hợp người lạ cài chương trình vào máy hay trường hợp hacker can thiệp cài, chạy chương trình từ xa)

          * Có thể add tin tưởng một chương trình, một file hoặc folder (vd: bạn có một chương trình, một file bị eScan nhận dạng nhầm là virus, bạn có thể add chương trình hoặc file đó vào vùng tin tưởng, lúc đó eScan sẽ bỏ qua hành động không quét file hoặc chương trình đó)

          * Tính năng giới hạn thời gian truy cập Internet (tính năng này rất hay trong việc quản lý thời gian truy cập Internet của con cái)

          * Tính năng quản lý các trang web được phép truy cập theo lứa tuổi (tính năng này rất hay trong việc quản lý nội dung các trang web con cái được truy cập theo lứa tuổi dựa theo chuẩn quốc tế)

          * Tính năng cấm truy cập đến một vài trang web chỉ định (dùng để quản lý con cái không cho truy cập một vài trang web nào đó)

          * Tính năng khóa hình ảnh, khóa âm thanh, video, tải xuống khi truy cập các trang web (dùng quản lý con cái không cho xem hình ảnh hoặc video tất cả các trang web)

          * Khả năng khóa popup, banner quảng cáo (tránh các phiền hà khi truy cập web)

          * Khả năng cấm một ứng dụng hoạt động (vd: bạn muốn cấm con bạn chơi một game online nào đó. Bạn sử dụng tính năng này để cấm ứng dụng game đó hoạt động)

          * Tính năng bảo mật USB bằng password (tránh trường hợp các USB lạ cấm vào máy bạn, giúp bảo vệ các máy tính có các dữ liệu quan trọng tránh bị mất cắp)

          * Tính năng add tin tưởng một USB (giúp add tin tưởng USB của bạn, mỗi lần cắm USB của bạn vào, eScan sẽ không hỏi password)

          * Tính năng disable auto-play của USB cũng như cấu hình USB ở trạng thái Read-Only

          * Khả năng xóa cookies, history, saved password của trình duyệt Internet theo lịch (nếu bạn muốn xóa lịch sử các trang web truy cập, các password lưu lại khi đăng nhập vào các trang web theo lịch thì tính năng Privacy Control của eScan sẽ giúp thực hiện điều này)

          * Khả năng xóa file tạm, thùng rác, my recent document theo lịch,.. (cũng bằng cách sử dụng tính năng Privacy Control)

          * Update tự động và nhanh chóng, mặc định cứ 2h một lần eScan sẽ update, bạn có thể tạo một lịch update khác theo ý bạn.

          * Khả năng tạo lịch quét virus định kỳ, eScan bảo vệ máy tính của bạn trong thời gian thực, tuy nhiên bạn cũng có thể tạo một lịch quét virus định kỳ để eScan quét toàn bộ máy tính, ưu điểm là bạn có thể chọn chế độ quét ẩn như thế sẽ không ảnh hưởng đến công việc của bạn.

          * Tính năng Anti-Spam tích hợp với trình nhận email (Outlook Express, Microsoft Outlook, Window Mail) với công nghệ nhận dạng thư rác ưu việt giúp xử lý ngay các email thư rác nhận vào.

          * Tính năng Mail-Antivirus tích hợp với các trình nhận email (Outlook Express, Microsoft Outlook, Window Mail) giúp quét nhanh virus các email nhận vào cũng như gửi ra

          * Ngăn những email có nội dung chứa đựng từ hoặc cụm từ chỉ định (vd: bạn định nghĩa là những email có nội dụng chứa từ sex sẽ bị xóa, lúc đó tất cả những email gửi vào chứa đựng từ này sẽ bị eScan xóa)

          * Ngăn một địa chỉ email chỉ định (vd: bạn thường nhận thư rác từ địa chị email: abc@abc.com Địa chỉ email này đã được bảo vệ từ spam bots, bạn cần kích hoạt Javascript để xem nó. , bạn có thể cấu hình cho eScan xóa mỗi khi có mail từ email này gửi đến bạn )

          Cảm ơn bạn.

          Comment


          • #6
            Originally posted by logmeinvietnam View Post
            How to: USE GROUP POLICY TO DISABLE USB, CD-ROM, FLOPPY DISK & LS-120 DRIVERS.
            Microsoft support is here to help you with Microsoft products. Find how-to articles, videos, and training for Microsoft Copilot, Microsoft 365, Windows, Surface, and more.

            Disable USB via Group Policy thực hiện như sau:
            1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng .adm file:

            CLASS MACHINE
            CATEGORY !!category
            CATEGORY !!categoryname
            POLICY !!policynameusb
            KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
            EXPLAIN !!explaintextusb
            PART !!labeltextusb DROPDOWNLIST REQUIRED


            VALUENAME "Start"
            ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
            END ITEMLIST
            END PART
            END POLICY
            END CATEGORY
            END CATEGORY

            [strings]
            category="Custom Policy Settings"
            categoryname="Restrict Drives"
            policynameusb="Disable USB"
            explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
            labeltextusb="Disable USB Ports"
            Enabled="Enabled"
            Disabled="Disabled"


            2/ Tạo OU, right click Properties, chọn Group Policy.
            3/ Tạo Group Policy: New, đặt tên usbstor (chẳng hạn).Sau đó, chọn Edit.
            4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file usbstor.admClose.
            5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
            6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
            7/Move các Computers muốn disable USB vào OU.
            8/Start ->Run: gpupdate /force
            Help Me !!!!!!!!!!
            Mình đã cấm hết tất cả rồi bây giờ sếp kiêu tháo bỏ để pháp thông báo rồi cấm. Thế là mình đã xóa cai GPO đó rồi nhưng các máy con trong domain không sử dụng được, giúp với.
            Thanks

            Comment


            • #7
              mình đã làm như hướng dẫn trên..đã cấm được USB trên máy tính nhưng sao mình remove computer ra khỏi OU cấm USB thì nó vẫn cấm vậy. disable cam usb luôn nó cũng vẫn cấm..nó nhớ luôn rồi...bây giờ mình phải làm sao để máy tính đo ko bị cấm nửa

              Comment

              • Working...
                X