SỬ DỤNG GROUP POLICY Disable USB,CD-ROM
_ Group Policy trong môi trường Domain cho phép ta áp đặt các chính sách xuống các user hay các computer đã tham gia domain. Ta chỉ cần thiết lập chính sách một lần thì tất cả các máy hay user sẽ bị ảnh hưởng => đây là một điểm hay trong môi trường client/server giúp cho administrator giảm thiểu công việc quản trị, nâng cao sự quản trị tập trung._ Với group policy ta có thể cấu hình một số chính sách, điển hình như sau: disble registry, deploy software, Logon script, ..v..v..
_ Tuy nhiên mặc định GPO ở Win2k3 không có tính năng disable USB,CD. Mà nguồn virus lây lan từ USB cũng như các áp đặt Secure ngày nay là cần thiết để admin buộc phải disable USB và ổ CD này.
DMZ xin hướng dẫn bổ sung thêm một thiết lập mới cho GPO để có thể thực hiện việc này.
1/ Đầu tiên, các bạn tạo một file disableDrives.adm có nội dung như sau:
Code:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
3/ Theo đường dẫn Computer Configuration -> right click vào Administrative Templates chọn Add/Remove Templates
4/Trong cửa sổ add/remove templates bạn add vào file DisableDrives.adm vừa tạo lúc đầu rồi nhấn close.
5/ Ta đã add thành công một chính sách mới, tuy nhiên có thể bạn vẫn chưa nhìn thấy các thiết lập của cấu hình mới này, bạn phải thực hiện tiếp bước sau:
Theo đường dẫn Computer Configuration\Administrative Templates\ -> Right click vào Custom Policy Settings chọn View->Filtering
6/ Và bây giờ bạn vào Computer Configuration\Administrative Templates\Custom Policy Settings\Restrict Drives -> Bạn sẽ thấy các thiết lập cho phép bạn tùy chỉnh như: Disable USB, Disable CD-ROM ...
6/ Cửa sổ Filtering hiện ra, chọn uncheck tùy chọn "Only show policy setting that canbe fully managed"
7/ Thực hiện Enable Disable USB và Disable CD-ROM lên rồi gpupdate /force => Thành công rồi đấy!
Link: http://khongtenmien.com/forum/showthread.php?t=1264
