无忧启动论坛

标题: WIN10 ltsc2021怎么封禁usb [打印本页]

作者: riadwkdm 时间: 2022-6-27 10:02
标题: WIN10 ltsc2021怎么封禁usb

封装的win10在部署后执行的bat：
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t reg_dword /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v WriteProtect /t reg_dword /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v ReadProtect /t reg_dword /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f
copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul
不生效。重启了也是一样，系统没装任何杀毒软件
各位大佬请问有办法解决吗

作者: 123hefei 时间: 2022-6-27 10:22
技术性讨论：将系统封装成非管理员权限限制：
以USB举例：
通过mmc控制台，添加针对非管理员的“组策略对象编辑器”管理单元

编辑此组策略——管理模板——系统——可移动存储访问——按照需要配置

完事后，退出，按照提示，保存此控制台设置为文件（留意位置，方便下次编辑）

然后按照正常程序封装

得到的系统，只要不是administrators组成员的账户，均受上述组策略限制权限。

作者: 123hefei 时间: 2022-6-27 10:31
一些截图帮助理解：

作者: qq2348227 时间: 2022-6-27 10:38
往usb口里面打玻璃胶。
谁要是把凝固的玻璃胶挖出来，罚款 2000元，或者开除，又或者追究刑事责任。

作者: riadwkdm 时间: 2022-6-27 11:05

123hefei 发表于 2022-6-27 10:31
一些截图帮助理解：

如果有代码更好

作者: szwp 时间: 2022-6-27 11:30

qq2348227 发表于 2022-6-27 10:38
往usb口里面打玻璃胶。
谁要是把凝固的玻璃胶挖出来，罚款 2000元，或者开除，又或者追究刑事责任。

违反双面打印管理条例的，赔自动双面打印机？

作者: fulibo 时间: 2022-6-27 11:41
Windows10Manager 里面有设置,试一试提取

作者: zts59 时间: 2022-6-27 11:43
楼主，你执行自己的脚本后，要看看脚本对文件和注册表有没有生效。
这样就很好判断问题了，你的脚本还少一段（只对USB存储设备的注册表内的设置权限）：
set reg_autorun=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor
echo %reg_autorun% [2 8 19]>reg_autorun.ini
regin reg_autorun.ini

不过还是怀疑你的脚本不生效是因为执行时没有拿到权限的原因
比些旧系统，%temp%内执行某些设置是不生效的。

作者: fulibo 时间: 2022-6-27 11:52
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer]
"GlobalAssocChangedCounter"=dword:0000000e

你试一试!我在Windows10Manager 提取的

作者: gailium 时间: 2022-6-27 12:10
bios里禁掉口子不香吗?

作者: lnbxql 时间: 2022-6-27 13:02
不能在bios里禁掉，这只是禁U盘，还得连接打印机呢

作者: htmlc4 时间: 2022-6-27 13:52
建议物理封闭

作者: dfw9 时间: 2022-6-27 14:24
没有PS2口键鼠如何禁“言”？

作者: 2011miyahanni 时间: 2022-6-27 14:32
bios里禁用最好最方便

作者: 2013Varg 时间: 2022-6-27 15:48
把线剪了

作者: 天地一心 时间: 2022-6-27 19:19
感觉还是物理封禁比较靠谱，怕随便整个程序破解U口，容易染毒。

作者: riadwkdm 时间: 2022-6-28 10:31

zts59 发表于 2022-6-27 11:43
楼主，你执行自己的脚本后，要看看脚本对文件和注册表有没有生效。
这样就很好判断问题了，你的脚本还少一 ...

非常感谢哈，我现在改回2019ltsc了，有空测试一下大佬的哈

作者: zts59 时间: 2022-6-28 15:43
本帖最后由 zts59 于 2022-6-28 15:47 编辑

我测试了，在正常环境LTSC2021，是可以禁用USB存储的，在布署环境没有测试过，

另楼主可以试试这个，这个在2008年针对当时的环境拼成的一款主要限制用户的，建议在虚拟机上先测试。

restrict090101.exe

657.1 KB, 下载次数: 13, 下载积分: 无忧币 -2

作者: riadwkdm 时间: 2022-6-29 13:06

zts59 发表于 2022-6-28 15:43
我测试了，在正常环境LTSC2021，是可以禁用USB存储的，在布署环境没有测试过，

另楼主可以试试这个，这 ...

能提供bat吗？需要锁也需要有开锁的

作者: zts59 时间: 2022-6-29 16:20

riadwkdm 发表于 2022-6-29 13:06
能提供bat吗？需要锁也需要有开锁的

上面的附件中有，解压出来看看zts59.cmd中

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)