1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng disableusb.adm file:
Trích:CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"
2/ Tạo OU, Right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên “disable usb”Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file disableusb.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và Right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/ Theo đường dẫn sau:
Computer Config \ Admin Template \ system \ Group Policy \ “User Group Policy loopback processing mode” => Enable nó lên và chọn Mode là Merge
8/ Properties cái GPO “disable usb” lên -> qua tab WMI Filter -> check vào This Filter và click vào nút Browse \ Manage -> Click nút advange -> New -> đặt tên cho WMI filter -> paste cái này vào ô queries:
SELECT * FROM Win32_ComputerSystem WHERE Name = "pc01" or Name = "pc03"
=> Save
9/ Muốn u1 không bị disable usb thì deny quyền read + apply của u1 trên GPO đó đi là xong.
10/ Move các Computers muốn disable USB vào OU. (pc01 + pc03)
11/ Start ->Run: gpupdate /force
=> Test
Ngoài ra bạn có thể sử dụng soft để remote disable usb đi, nếu trúng máy sếp mà sếp ko sử dụng dc usb thì sếp la lên -> mình open lại
Thà disable nhầm còn hơn bỏ sót
Bổ sung thêm là bạn có thể dùng script để disable usb đi:
Const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\ " & _
strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Services\USBSTOR"
strValueName = "Start"
dwValue = 4
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue