Windows Server GPO - 禁用USB隨身碟

這應該算是舊文了，不過可能最近會用上，就先筆記上來分享～

我們現有的電腦環境是使用卡巴企業版，當初選用卡巴除了看中他優異的防毒能力外，還有就是能針對週邊設備做控管，如USB等裝置，但使用到現在的感覺除了開機速度慢以外，整個網路速度也跟著慢下來，感覺整台電腦的資源就是被拖著走。

所以目前的規劃Microsoft Security Essentials + GPO來做控管，來拋棄現有的卡巴企業版 (但這樣做要做好被砍頭的準備 XD)

先澄清一下這邊指的是比較舊規格的電腦，新一代的電腦(如I5等級)使用上來是不影響的～

這邊介紹的是透過微軟的GPO佈署，搭配AD架構直接套用，彈性比不上第三方廠商開發的產品，但優點就是免費，如果企業內對USB裝置沒有太多彈性管理只想禁用的話，則可以參考此方式。

使用此方式前提是你要有AD架構，至於怎麼架設AD我想就不提了，這應該是MIS都應該會的技巧了。再來就是要搭配群組原則(GPO)來佈署，由於系統內建並無此選項，要使用這項功能必須先到微軟網站去COPY資料匯入群組原則內。

Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers

首先把這段內容給複製下來存到文字檔，檔名無所謂但記住副檔名要改成.adm

接下來到你的群組原則編輯器裡面去，在系統管理範本裡面點選滑鼠右鍵，選擇新增/移除範本

新增完畢後可以看到會多出一個傳統系統管理範本(ADM)，裡面會多出四個選項，剩下的就跟一般的設定沒兩樣，看要對使用者或是電腦套用即可

若成功套用的話，結果就像下圖一樣，看得到吃不到 XD