implementing-usb-device-control-policy
实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。
Best use case
implementing-usb-device-control-policy is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。
Teams using implementing-usb-device-control-policy should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-usb-device-control-policy/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-usb-device-control-policy Compares
| Feature / Agent | implementing-usb-device-control-policy | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施 USB 设备控制策略
## 使用场景
在以下情况下使用本技能:
- 限制 USB 存储设备以防止数据泄露或引入恶意软件
- 通过 GPO、Intune 或 EDR 设备控制模块实施设备控制策略
- 为已授权设备创建 USB 白名单,同时阻断所有其他设备
- 满足可移动媒体控制的合规要求(PCI DSS、HIPAA)
**不适用于**基于网络的 DLP 或云存储限制。
## 前置条件
- 用于策略部署的 Active Directory GPO 或 Microsoft Intune
- 已授权 USB 设备的设备实例 ID
- 带有设备控制模块的 EDR(CrowdStrike、Microsoft Defender for Endpoint)
- 了解 USB 设备类别(大容量存储、HID、打印机等)
## 操作流程
### 步骤 1:清点当前 USB 使用情况
```powershell
# 枚举当前连接的 USB 设备
Get-PnpDevice -Class USB | Select-Object InstanceId, FriendlyName, Status
# 从注册表查询 USB 存储历史
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*" |
Select-Object FriendlyName, ContainerID, HardwareID
# 跨设备群收集 USB 使用情况(通过 EDR 或脚本)
# CrowdStrike:调查 → USB 设备活动
# MDE:DeviceEvents | where ActionType == "UsbDriveMounted"
```
### 步骤 2:配置 GPO 设备控制
```
计算机配置 → 管理模板 → 系统 → 可移动存储访问
- 所有可移动存储类:拒绝所有访问 → 已启用
(阻断所有可移动存储的读取和写入)
或者进行精细控制:
- CD 和 DVD:拒绝读取访问 → 已启用
- 可移动磁盘:拒绝写入访问 → 已启用(只读 USB)
- 磁带驱动器:拒绝所有访问 → 已启用
- WPD 设备:拒绝所有访问 → 已启用
允许特定已审批 USB 设备:
计算机配置 → 管理模板 → 系统 → 设备安装
→ 设备安装限制
- 防止安装其他策略设置未描述的设备 → 已启用
- 允许安装与这些设备 ID 匹配的设备 → 已启用
添加已审批的设备 ID:USB\VID_0781&PID_5583(示例:SanDisk Cruzer)
```
### 步骤 3:通过 Microsoft Defender for Endpoint 部署
```xml
<!-- MDE 设备控制策略(XML 格式) -->
<PolicyGroups>
<Group Id="{d9a81dc0-1234-5678-9abc-def012345678}"
Type="Device" Name="已批准的 USB 设备">
<MatchClause>
<MatchType>VID_PID</MatchType>
<MatchData>0781_5583</MatchData> <!-- SanDisk -->
</MatchClause>
</Group>
</PolicyGroups>
<PolicyRules>
<Rule Id="{rule-guid}" Name="阻断未批准的 USB 存储">
<IncludedIdList>
<PrimaryId>RemovableMediaDevices</PrimaryId>
</IncludedIdList>
<ExcludedIdList>
<GroupId>{d9a81dc0-1234-5678-9abc-def012345678}</GroupId>
</ExcludedIdList>
<Entry>
<Type>Deny</Type>
<AccessMask>63</AccessMask> <!-- 所有访问 -->
<Options>4</Options> <!-- 显示通知 -->
</Entry>
</Rule>
</PolicyRules>
```
### 步骤 4:审计和监控
```
# 在 SIEM 中监控 USB 事件:
# Windows 事件 ID 6416 - 识别到新的外部设备
# Windows 事件 ID 4663 - 访问可移动媒体上的文件
# MDE:DeviceEvents where ActionType contains "Usb"
# 每月生成 USB 活动报告
# 跟踪:被阻断的尝试、已批准设备使用情况、例外请求
```
## 关键概念
| 术语 | 定义 |
|------|------|
| **VID/PID** | 供应商 ID 和产品 ID,唯一标识 USB 设备型号 |
| **设备实例 ID** | 特定物理 USB 设备的唯一标识符 |
| **设备控制** | 基于类型、供应商或序列号限制设备访问的 EDR/端点功能 |
| **USB 类** | USB 设备类别(大容量存储 08h、HID 03h、打印机 07h) |
## 工具与系统
- **Microsoft Defender 设备控制**:用于 USB 限制策略的 MDE 模块
- **CrowdStrike Falcon 设备控制**:基于 EDR 的 USB 策略执行
- **组策略(可移动存储访问)**:通过 GPO 内置的 Windows USB 限制
- **Endpoint Protector**:第三方设备控制和 DLP 解决方案
## 常见误区
- **阻断所有 USB 而不设置例外**:键盘和鼠标是 USB HID 设备。只阻断大容量存储类,不要阻断所有 USB。
- **未向用户通知策略**:未经用户通知的 USB 阻断会产生帮助台工单。显示通知说明策略。
- **忽略 USB-C 和 Thunderbolt**:现代设备使用 USB-C 进行对接、充电和存储。策略必须区分 USB 存储和 USB 外设。
- **无已批准设备流程**:有合法 USB 需求的用户(演示、现场数据收集)需要带有已批准的加密设备的例外流程。Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
performing-mobile-device-forensics-with-cellebrite
使用 Cellebrite UFED 和开源工具获取和分析移动设备数据,提取通信记录、位置数据和应用程序制品。
performing-dmarc-policy-enforcement-rollout
执行从 p=none 监控到 p=quarantine 再到 p=reject 执行的分阶段 DMARC 推进,确保所有合法邮件来源在封锁未授权发件人之前完成认证。
performing-content-security-policy-bypass
通过利用错误配置、JSONP 端点、不安全指令和策略注入技术,分析并绕过内容安全策略(CSP)实现,以实现跨站脚本攻击。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。