如何禁用u盘而不禁用usb接口启动_如何禁用u盘而不禁用usb接口启动电脑_1

       好久不见了，今天我想和大家探讨一下关于“如何禁用u盘而不禁用usb接口启动”的话题。如果你对这个领域还不太熟悉，那么这篇文章就是为你准备的，让我们一起来探索其中的奥秘吧。

1.win7系统，怎么禁止u盘自动启动？

2.如何禁止从U盘启动？

win7系统，怎么禁止u盘自动启动？

       方法1，

       改注册表

       [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]

       "Start"=dword:00000004

       方法2，

       如何利用AD 组策略来屏蔽U 盘等可移动磁盘

       如何利用AD 组策略来屏蔽U 盘

       最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组

       策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：

       1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位

       （Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建

       一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否

       则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定

       位“用户配置－管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理

       器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，

       双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提

       供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满

       足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三

       四个分区）。

       2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上

       单击右键选择查看属性，找到"屏蔽U 盘"的组策略的唯一的名称，此名称为一长串数字和字

       母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。

       3、 打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，

       此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盘

       符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个

       路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名

       取为为HC，所以这里就是HCSAD.HC），打开

       {82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM 目录下的

       system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记

       事本打开，找到下面这两段代码：

       * POLICY !!NoDrives

       EXPLAIN !!NoDrives_Help

       PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

       VALUENAME "NoDrives"

       ITEMLIST

       NAME !!ABOnly VALUE NUMERIC 3

       NAME !!COnly VALUE NUMERIC 4

       NAME !!DOnly VALUE NUMERIC 8

       NAME !!ABConly VALUE NUMERIC 7

       NAME !!ABCDOnly VALUE NUMERIC 15

       NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

       ; low 26 bits on (1 bit per drive)

       NAME !!RestNoDrives VALUE NUMERIC 0

       END ITEMLIST

       END PART

       END POLICY

       如何利用AD 组策略来屏蔽U 盘等可移动磁盘

       * POLICY !!NoViewOnDrive

       EXPLAIN !!NoViewOnDrive_Help

       PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

       VALUENAME "NoViewOnDrive"

       ITEMLIST

       NAME !!ABOnly VALUE NUMERIC 3

       NAME !!COnly VALUE NUMERIC 4

       NAME !!DOnly VALUE NUMERIC 8

       NAME !!ABConly VALUE NUMERIC 7

       NAME !!ABCDOnly VALUE NUMERIC 15

       NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

       ; low 26 bits on (1 bit per drive)

       NAME !!RestNoDrives VALUE NUMERIC 0

       END ITEMLIST

       END PART

       END POLICY

       说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动

       器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符

       或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二

       个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅

       用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可

       以达到比较理想的效果。

       仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC

       按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位

       的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，

       举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，

       以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，

       您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所

       有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要

       注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可

       以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈…）。那么我们计算出

       VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，

       在两个策略中的

       NAME !!ABCDOnly VALUE NUMERIC 15

       下插入一行

       NAME !!ABCFGHIOnly VALUE NUMERIC 487

       随后，利用查找命令，找到以下字段：在 ABConly="仅限制驱动器 A、B 和 C" ，

       这一段文字，下面插入一行数据， ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、

       I"，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保

       存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管

       如何利用AD 组策略来屏蔽U 盘等可移动磁盘

       理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问

       驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项

       这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设

       置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并

       正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中

       输入盘符。

       最后，附上从A 到Z 对应的每一个数字，方便大家理解：

       A B C D E F

       1 2 4 8 16 32

       G H I J K L

       64 128 256 512 1024 2048

       M N O P Q R

       4096 8192 16384 32768 65536 131072

       S T U V W X

       262144 524288 1048576 2097152 4194304 8388608

       Y Z

       16777216 33554432

       根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用

       所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其

       中就有一项禁用所有盘符，后面的数字也正好是这个。

       举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中

       对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。

       然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止

       CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !!ABCFGHIOnly VALUE

       NUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！！后面写成

       这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……，后面的NUMERIC 487 则根据你

       想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段

       代码里面。

       至此，全部设置完毕，让您的客户段使用此OU 下的用户登录看看吧！

       程栋良

       2007-11-25

如何禁止从U盘启动？

       1. 禁用主板usb设备。 管理员在CMOS设置里将USB设备禁用，并且设置BIOS密码，这样U盘插到电脑上以后，电脑也不会识别。这种方法有它的局限性，就是不仅禁用了U盘，同时也禁用了其他的usb设备，比如usb鼠标，usb光驱等。所以这种方法管理员一般不会用，除非这台电脑非常重要，值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解，即便设置了密码。整个BIOS设置都存放在CMOS芯片里，而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池，所以，只要把主板电池卸下来，用一根导线将原来装电池的地方正负极短接，瞬间就能清空整个CMOS设置，包括BIOS的密码。随后只需安回电池，自己重新设置一下CMOS，就可以使用usb设备了。（当然，这需要打开机箱，一般众目睽睽之下不大适用~~）

       2. 修改注册表项，禁用usb移动存储设备。 打开注册表文件，依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“4”，把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解，我们可以删除或者改名注册表编辑器程序。 提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

       3. 在computer management里将removable storage的使用权限禁止。computer management是一个windows管理组件，可以在控制面板——管理工具——计算机管理打开。在该工具窗口中storage——removable storage——property中，general项，可以控制系统托盘是否显示security则可以管理移动存储设备的使用权限。在security中将普通用户的使用权限降低，就可以达到禁用u盘的目的。破解的方法也很简单，管理员降低普通用户移动存储设备的使用权限，但未必禁用computer management的使用权限。普通用户可以通过这个工具解除usb移动存储设备的使用权限 限制。另外，值得一提的是，如果u盘插到电脑上后可以驱动，但是我的电脑里却没有盘符，很有可能是管理员改动了u盘的默认盘符，使得我的电脑不能识别。这种情况，可以在removable storage中看到u盘驱动器。可以在u盘驱动器属性设置里为u盘重新分配一个盘符，再重新插拔一次u盘，就可以在我的电脑里看到u盘的盘符了。

       4. 其实管理员经常做的，是将移动存储设备使用权限禁用配合屏蔽U盘图标。这种方法非常恶毒，就是说，即使改动了移动存储设备的使用权限，安装驱动后，在我的电脑里仍然看不到u盘的图标，即使为u盘重新分配盘符后仍然看不到。这种情况是因为管理员修改了注册表，屏蔽了除硬盘驱动器之外的所有盘符（以前在机房，光驱也常通过这种办法屏蔽）。懂得修改注册表的同学可以用regedit找到HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer子键，将双字节项"NoDrives"的键值改为0或者干脆将"NoDrives"项删掉。注销一下再登陆，就能发现久违的u盘图标了！

       5.右键点击我的电脑－－>管理，然后选择设备管理器-->通用串行总线控制器－－>有两个usb root hub 禁用这两个项目里面 ：常规－－>设备方法－－>停用

       6、下载超级兔子最新版本，选择-->超级兔子魔法设置-->文件及媒体－－>U盘－－>禁止使用U盘储蓄功能

       有很多软件都提供U盘禁止功能，我就不一一说出来啦 同时我提供U盘禁止自动播放的方法。进入组策略：在运行对话框内输入gpedit.msc并确定---用户配置---管理模板---系统---双击“停用自动播放”---点击“启用”，在下面下拉菜单内选择“所有驱动器”，然后确定，关闭组策略，就OK了。

       有四种方法可以禁止从u盘启动

       方法一：BIOS设置

        进入BIOS设置，选择“Integrated Peripherals”选项，展开把“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，就可以禁用USB接口。 方法二：禁止闪盘或移动硬盘的启动（适用于Windows XP/2000/2003）

       打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

       方法三：隐藏盘符和禁止查看（适用于Windows系统）

       打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04 00 00 00；要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00(C是十六进制，转成十进制就是12)。

       方法四：禁止安装USB驱动程序

       在Windows资源管理器中，进入到“系统盘:\WINDOWS\inf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。　　

       再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。　　

       注意：要想使用访问控制列表(ACL)，要采用NTFS文件系统。　

       好了，今天关于“如何禁用u盘而不禁用usb接口启动”的话题就讲到这里了。希望大家能够对“如何禁用u盘而不禁用usb接口启动”有更深入的认识，并从我的回答中得到一些启示。如果您有任何问题或需要进一步的信息，请随时告诉我。