使用Symantec11.06禁止客户端USB设备的配置方法VIP专享VIP免费

如何在Symantec11.06中禁止受管客户端使用USB设备目前内网机中USB外设的管理比较困难，本文通过Symantec11.06的策略配置方法实现USB的管理，该方法同样适用于禁止其他设备如光驱等，具体步骤如下：第一步设置组：1、登陆SEPM管理平台，点击“客户端”“MyCompany(就是根组)”,在下方菜单选择“添加组”，输入“禁止USB外设”，如下图：2、点击“确定”，我们现在有了一个新组“禁止USB外设”，结果如下图：3、点击刚刚创建的这个组，也就是“禁止USB外设”组名，在右侧窗口中选择“策略”，去除“从父组MyCompany继承策略和设置”，否则无法给它分配我们自定义的策略，如下图：第二步设置禁止USB外设的专有策略1、点击“策略”“应用程序与设备控制”，在右侧窗口点击鼠标右键，在弹出的菜单中选择“添加”，如下图：2、在弹出的窗口右侧，我们在“策略名称”的内容后面加上“—NoUSB”以示区别，如下图。这样可以为我们以后的管理提供方便。3、点击“设备控制”，在“禁止的设备”栏目下方点击“添加”，如下图：4、在弹出的设备选择窗口中，点击“USB”，然后确定。5、在下方“不禁止的设备”处点击“添加”，这一步很重要，不做此处理的话客户端机器中的所有USB设备都会被禁止，包括鼠标和键盘。我们在这里设置让symantec排除需要的设备。在弹出的设备选择中点击第一个设备“HumaninterfaceDevices”,然后确定：好了，现在的结果应该如下图：接下来勾选当前窗口左下角的“当设备被禁止时提示用户”，然后点击“指定消息文本”，在弹出的对话框中输入自定义内容，然后确定。这个提示会在客户插入U盘等USB设备时提示客户，操作如下图：6、禁止USB设备的策略已经配置完毕，现在点击“确定”,退出设置窗口，此时系统会提示，问你是否要将此策略分配，选择“是”：7、在随后弹出的窗口中我们选择前面创建的组“禁止USB外设”，然后点击“分配”，，如果此时组名是灰色，那么请你仔细阅读第一步，如下图：接着提示如下，选择“是”：8、现在，我们看看结果，点击“客户端”，按如下步骤操作，现在能看到这个组已经应用了新的策略，如下图：9、我们知道Symantec客户端用户是可以使用命令（在“运行”中敲smc–stop停止客户端，smc–start启动客户端）退出的，如果客户退出客户端程序，那么我们设置的禁止USB策略就会不起作用，因此我们还要进行下面两个设置：1）为客户端加个密码：点击“常规设置”在弹出的窗口中选择“安全设置”，勾选如下图，并设置一个管理员自己容易记忆的密码，这样客户端就不能自行停止或卸载symantec的管理了，这个密码不要忘了，否则客户端无法卸载。2）symantec的禁止硬件设备功能依赖网络威胁防护模块，如果客户停止这个模块也会造成问题，因此我们还要设置一下，如图点选。在弹出的窗口中，点击“自定义”，见下图：在出来的设置窗口中去掉允许用户“启用和禁用网络威胁防护”选项，如下图，其他不变。第三步客户端软件包的设置：1、配置客户端软件包功能，点击“管理员”“客户端安装功能集”，在右侧窗口鼠标右键点击，选择“添加”：2、在弹出的窗口中按如下配置后，点击确定，这样我们就有了一个自定义的客户端功能集：3、导出客户端程序：按下列步骤点击，选择相应的客户端版本（32位windows或64位windows）：在弹出的对话框中做如下配置：好了，现在应该都结束了吧，把生成的客户端程序在客户电脑上安装就可以了。但是，糟糕的是，我们的工作还没完，部分客户机安装完以后出现了新问题，“我的USB打印机也被禁止了”，咋办，我们接着善后。最后一步为symantec添加新的硬件设备（以打印机举例）：1、先看看symantec在哪里添加新设备列表，按照下图步骤点击：在6这个步骤上，需要填写一个类ID（GUID）或者设备ID，一个是这个设备的全球识别码，另一个是厂商的设备编号，我们怎么获得它？2、使用一个叫DevViewer.exe的小程序可以获得这两个编号，将DevViewer.exe拷贝到安装打印机的客户机上，这是一个绿色软件，不需要安装。双击运行，显示出和设备管理器差不多的一个页面：右键点击，选择“CopyGUID”，如下图：3、将拷贝的值保存到一个文件中，...