用组策略功能封杀优（U）盘

　　我们单位大多数使用的是window2000、windowxp系统。Window98所占的比例不多，因此重点放在屏蔽window2000、windowxp上。关于封杀usb接口的文章在网上挺多的，大多数是通过cmos的修改来屏蔽usb接口，或者是将window系统中的i386文件夹下的设备压缩包彻底删除，再者就是通过停用usb总线控制器。这些方法有的在达到目的的同时，也阻碍了其他设备的应用，效果不是很友好。这让我想到了是否应用组策略来实现封杀的目的，因为在原来我曾利用它封杀过某个盘区的使用，当然不是因为私人的物件也是为了产品的保密。思路很好，那实践一下看看效果如何吧?

　　首先，在“开始—>运行.”中输入”gpedit.msc”后，便打开了如下图1所示:

图 1

　　我们就是利用“防止从‘我的电脑”访问驱动器“来设置禁止usb接口。双击打开启用后，发现并不像我们想象的那样驱动盘符都存在，如图2所示:

图 2
而且存在这么一个问题，每个电脑的分区数不同，分配给优盘的区号也不同，怎样将其封杀呢?

　　经过一段时间的摸索，我找到了控制组策略的模板文件，它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm，用笔记本打开后，截图如图3:

图 3

　　呵呵，发现了吧?在“NAME!!×Only VALUENUMERIC ×”语句，前面的好似一个定义，跟我们在图2看到的效果相似，而且有这么句“low 26 bits on(1bit per drive)”，意思说“26位每一个设备占1位”。每个分区是按着1、2、4、8、16、32、等逐步递增，于是经过试验，果然如此，只要将除了硬盘分区保留外，我们将所有的字母写上，同时算出数值。

　　即将:

　　NAME!! EFGHIONLY VALUE NUMERIC 496

　　(注:我这里只是举了5个盘符，为什么?后面说明)
将上面的语句在“!!NoDrives_Help”和“!!NoViewOnDrive”两个地方上填写。并且在图4所示的位置，也要加入一行:

图 4

　　EFGHIONLY=“限制驱动器E、F、G、H、I”。

　　否则，在你重新打开gpedit时会出错误信息。当所有工作做完后，保存该文档，打开组策略，看看效果:

　　图5所示:

图 5

　　呵呵，是吧?在下拉菜单中出现了我们设置的驱动器号了。
选中它后点击确定。拿优盘试一下，果然，出现了图6的警告提示:

图 6

　　此时，也许你会问通过这样一改，注册表发生了什么变化吗?运行“regedit”，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的“NoViewOnDrive”键值赋予了十六进制“1f0”，换算成十进制是多少?呵呵，不要告诉我，你不会么!

　　(注:由此，我们得到了用注册表来封闭优盘的方法)

　　虽然，优盘被封住了，但是通过计算机管理中的磁盘管理，更改优盘的盘符，找个26个字母的后某一位。结果优盘有复活了。这就是为什么前面提到要多算几个盘符的数值的原因。

　　到这里，其实封闭工作也做的的差不多了。假设还不放心，如果用户打开组策略，更改设置怎么办?那我们通过运行注册表，打开:[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]下的“Restrict_Run”的键值，改为“1”。当有的用户想运行组策略时，就出现了如下图7提示:

图 7

　　嗯，这下，不通过注册表，administrator也休想打开了。

　　最后，关于win98上面的封杀办法，我们可以通过控制驱动来实现，相对来说简单。好了，感兴趣的朋友，赶快试验一下吧!