保护内部数据安全--禁用USB端口(3)

但是禁用注册表并不能高枕无忧，因为用注册表导入的方法仍然可以直接修改注册表。

新建一个名为usb.reg的文本文件，输入以下内容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000003

双击该文件，将信息添加至注册表中，即可恢复使用USB设备。

要想连这种方法都禁掉，只有通过用户权限来实现了。新建一个用户User，隶属于USER组，User用户是没有权利修改注册表的，这样，以User用户登录后，即便有以上的usb.reg文件，添加至注册表时也将被拒绝。

组策略详解

组策略就是修改注册表中的配置，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，比手工修改注册表方便、灵活，功能也更加强大。组策略中的设置都将在注册表中反映，每个设置都对应注册表中的某一项。

由此我们可以得到一种启示，组策略既然设置了注册表，那么如果我们直接更改或删除组策略所产生的注册表项，会不会使组策略失效呢？答案是肯定的。那么怎样知道组策略是修改了注册表中的哪一项？

秘密就在于%SystemRoot%\system32\ GroupPolicy\User\Registry.pol文件，Registry.pol文件记载了组策略设置的注册表项，该文件可以用类似UltraEdit32之类的文本编辑器进行查看，在Hex（十六进制）模式下查看，可以看见文件。文件看起来有点乱，中间间隔了很多空格。不过还是可以看出来[Software\Microsoft\Windows\CurrentVersion\Policies\System]分支下DisableRegistryTools项就是禁止编辑注册表的，[Software\Policies\Microsoft\Windows\System]分支下DisableCMD项就是用来禁用命令行的。而在注册表中一般数值为“0”的项意指“否”，这样就很清楚了。

组策略被禁用的解决办法

组策略中有两个比较有用的选项：只运行许可的Windows应用程序和不要运行指定的Windows应用程序。比如说可以用来让公司的电脑只能运行Photoshop、Word等软件，而不能运行QQ、CS等。