我門公司的作業系統為windows server 2000
因為之前發生有人待隨身碟來公司,造成許多電腦中毒
為了避免再次發生,打算將全公司的USB禁用
於是我請教了GOOGLE大神,摸索出一些方法
下面是我的做法
建立登錄檔
利用記事本編輯
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004
存成disable_usb.reg
放置在C:\USB\ 底下
然後開啟分享,共享名稱為USB$
權限與安全性為everyone 完全控制
建立批次檔
利用記事本編輯
@ehco off
regedit -s \\server\usb$\disable_usb.reg
exit
存成disable_usb.bat
測試過直接執行是有效的
開啟Active Directory使用者及電腦
在網域下新建立一個組織單位,命名為”禁用USB”
在”禁用USB”組織單位下,新增群組,命名為XX-disableusb
然後新增成員,我新增一組computers下名稱為AB-123的物件
不過到後面發現無效,又加入了自己的帳號作測試。
※ 問題一:
新增成員可以新增電腦名稱嗎?
我只想針對電腦去做設定,不想用以使用者登入去做修改
怕有人會用自己的帳號去登入別台電腦,會影響到別人
回到”禁用USB”組織單位上設定群組原則
點”新物件”命名為disable_usb,然後開始編輯
在 電腦設定→ windows設定→指令檔→啟動
新增指令檔名稱,按下瀏覽
在原預設位置(XX\XX\stratup)加入disable_ubs.bat
指令檔參數空白,確定→套用→確定
執行CMD後輸入
secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy
※ 問題二,windows server 2000的強制套用群組原則是這指令嗎?
隔了幾分鐘,重新開機登入時,登錄檔沒有任何改變,想說可能是我指令打錯,可是我隔天開機登入的時候,仍然沒有反應,我有哪個步驟作錯嗎?還是這方法是行不通的?
問題一, 可以抓機器名稱, 但效果好像不怎麼好 ~ 抓使用者是最好的, 而且換使用者登入的時候, 不會影響到原來的使用者~
問題二, disable_ubs.bat 的檔案要放在指定的目錄下, 如果是放在別的地方, 失敗機率蠻高的, 強制套用無效的情形有可能是, 那台電腦沒有插過 USB 裝置, 導致這個指令碼無效~
我好像有看過似類的說法是, 這串指令只能針對有插過 USB 的電腦去控制, 意思就是說, 如果是一台剛灌好的 XP , 沒有插過任何的隨身碟裝置, 那這串指令碼是無效的..
USB 的防範, 很多年前就在玩了, 最後還是落在人的問題啦, 電腦怎麼鎖, 還是有辦法解的, 尤其是 USB 這種東西, 不用很多事情都很麻煩...
問題1
1如果你的GPO是套用在電腦層級,那套用的OU底下就要放電腦,反之是使用者就要放使用者。
2我是沒適過用新增的方式,因為當Join domain時,就會自動建立user跟電腦的物件,通常我是直接把我測試PC(電腦、使用者物件)拉到要套用的ou下
3我會在Client的PC上下GPREUST指令看是否有套用到。
問題二
1因資歷尚淺,WIN 2000摸的不多,所以不熟。
2如果在WIN2003以上的,可去GPMC管理工具,在GPO按右鍵,就會有強制選項了。
話說,我們之前辦公室USB病毒流行的不得了(現在好像也還有殘黨),我就無聊寫了一支程式,仿效那個USB隨身碟病毒的作法,長駐在系統中(一旦運行會拷貝自己到系統中躲起來,在開機流程中找位置安插,讓開機時可以被執行到)檢查USB隨身碟插入的事件及關閉監視系統autorun的功能,當出現removable的裝置時,程式就會自己刪除該磁碟根目錄上的執行檔,然後砍掉autorun.inf檔案,建立一個隱藏且唯讀的資料夾autorun.inf,底下連建十層資料夾,在放個檔案卡病毒寫入檔案,這種東西有蠻多用功能的,比如說寫個後門程式監視電腦,被監視的人也沒真的有感覺,當然改一下這隻程式,它就具有感染的能力,當removable裝置出現時,把自己拷貝到裝置上,並且寫下autorun.inf檔案,讓感染的隨身碟autorun時會自動執行自己,這行為就跟病毒沒兩樣,後來也沒真的這樣寫,就只是拿來防範隨身碟病毒而已。
話說,伺服器權限應該有問題吧,怎麼會是ADM登入在用呢?
其實權限設定好的MS-Windows,這種病毒是活不下去的,或是在註冊檔上把某些KEY的權限改掉也會讓病毒無法運作,會流行純粹是絕大多數的使用者,都是開POWER USER或ADM帳號在用電腦。