我需要一些幫助來將各個部分組合起來才能做到這一點:
- 執行已停用 USB 儲存裝置的腳本或程式。
- 將所有被封鎖的設備安裝記錄到系統事件日誌中。
- 執行第二個腳本或程式(或取消步驟 1 中正在執行的程式)並重新啟用 USB 儲存裝置。
(我的應用程式在公共實驗室的電腦上運行,以創建一個受限制的訪問“沙箱”,用戶可以在其中進行測試。我需要阻止 USB 儲存裝置以防止作弊)
我的限制:
- 我的解決方案將針對我無法控制的公共電腦執行。任何需要重新啟動、修改 BIOS 或對電腦進行實體變更的操作都將無法運作。
- 我可以假設解決方案將以管理員身份執行,但如果它適用於非管理員,則會加分。
- 現在只擔心Windows XP。 Vista 或 Win7 相容性加分。
部分解決方案:
透過阻止自動安裝設備知識庫 823732。快速又簡單,但是:
- 當設備被阻止時我不會收到通知。 (我想知道是否有人試圖作弊,即使他們被阻止)
- 根據本文,如果尚未安裝 USB 儲存驅動程序,則即插即用系統將在首次使用時安裝它,覆蓋註冊表項並啟用訪問
透過群組原則停用 USB 儲存(知識庫 555324)。
- 我可以嗎腳本在運行時將這些策略應用到本地計算機,無需重新啟動?
- 完成後如何輕鬆地將策略恢復到先前的狀態?
- 被封鎖的設備會顯示在安全性日誌中嗎?
修改 USBSTOR.SYS 的 ACL,如這個 SF 問題所示]4。
- 如果我拒絕目前使用者類別的檔案權限,我的復原腳本是否能夠重新授予權限?
- 如果我拒絕對該檔案的權限,如何確保所有裝置安裝嘗試都記錄在安全性日誌中?
我願意接受 .NET 中的解決方案或使用批次檔或 powershell 腳本的解決方案。
(註:這與我的類似 Stack Overflow 的問題。如果您關心 SO 代表,也請隨意回答)
答案1
若要實施群組原則,您不需要重新啟動。在客戶端執行 gpupdate /force (兩次)就足夠了(例如,使用 psexec)。
如果您想恢復策略,只需取消它與 ou 的連結並在客戶端上重新執行 gpupdate /force(再次使用 psexec)。
如果電腦不在 AD 中且您無法實施群組策略,您仍然可以透過暫存器匯入獲得相同的結果。查看您將在 AD 中使用的 adm 模板,並使用 reg.exe 和 psexec 匯入暫存器變更。另一個選擇是使用 wpkg (http://wpkg.org)其中有用於安裝/卸載內容的操作的 xml 定義。它效果很好而且不需要任何成本。