在企事業(yè)單位局域網(wǎng)中，處于保護(hù)電腦文件安全和商業(yè)機(jī)密的需要，我們常常需要禁用電腦USB接口、禁止U盤和移動(dòng)硬盤的使用，防止通過U盤、移動(dòng)硬盤甚至手機(jī)等帶有USB存儲(chǔ)功能的設(shè)備復(fù)制電腦文件的行為。那么，具體如何管理電腦USB接口、禁用U盤呢？筆者以為，可以通過以下方式實(shí)現(xiàn)，一種是通過注冊表和組策略的方式來實(shí)現(xiàn)（如果你覺得這種方法復(fù)雜，可以直接看文章底部第二種方法），另外一種是通過電腦U口管理軟件、USB屏蔽軟件來實(shí)現(xiàn)，相對更為簡單：

一、通過注冊表禁用USB接口、組策略禁用USB接口來禁止U盤使用

1、USB設(shè)備是使用USB接口的，在網(wǎng)上找了下，得知它使用如下兩個(gè)配置文件或是注冊表文件，usbstor.inf和usbstor.png。注冊表文件是:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor

2、清楚了USB的配置文件或是注冊表中的位置就好說了，下面就分兩種方法來完成禁用USB設(shè)備的目的，一是通過組策略使用戶禁用這兩個(gè)配置文件，一是通過注冊表。

以下兩種實(shí)驗(yàn)均在WINDOWS 2003實(shí)驗(yàn)通過

通過組策略，當(dāng)然，這個(gè)要應(yīng)用在域環(huán)境中了，而且要保證，沒有使用過USB設(shè)備的（注冊表文件里會(huì)有變化的）嘿嘿。

如下圖，在管理工具――域安全策略――計(jì)算機(jī)配置――WINDOWS設(shè)置――安全設(shè)置――文件系統(tǒng)，單擊右鍵――添加文件或文件夾。找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之 




然后，確定，會(huì)彈出一個(gè)對話框，這可是重要步驟，通過此，設(shè)定不同用戶對此的訪問級別，當(dāng)然，這里選拒絕了，你可以根據(jù)實(shí)際情況選擇不同的用戶組對這兩個(gè)文件的拒絕權(quán)限。如下圖 


確定，OK，會(huì)彈出以下的窗口，當(dāng)然，還是確定，不過，如果上一步你沒有做的話，可以在此重新設(shè)定不同用戶組的訪問權(quán)限的喲（點(diǎn)編輯安全設(shè)置按鈕）！確定，便可以了，等域組策略刷新后，就會(huì)生效了。 


如果，使用過了USB設(shè)備了，（或者不是域控怎么辦？）呵呵，當(dāng)然是通過注冊表鍵值來搞定了！

找到鍵值所在的注冊表位置，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub（2000系統(tǒng)下）或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor（XP or 2K3），在對應(yīng)的usbhub（或USBSTOR）分支右邊子窗口中，雙擊一下“Start”鍵值，在彈出的數(shù)值設(shè)置窗口中，檢查一下其中的數(shù)字是多少，如果是4，表明該計(jì)算機(jī)的USB端口使用權(quán)限已經(jīng)被限制起來了;

如果是3，表明該計(jì)算機(jī)的USB端口使用權(quán)限已經(jīng)被啟用起來了，這里確保是4?。?！


如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲(chǔ)驅(qū)動(dòng)程序"
重啟機(jī)器吧，就可以了。

二、通過專門的電腦U盤屏蔽軟件、USB禁用軟件來實(shí)現(xiàn)電腦USB存儲(chǔ)設(shè)備的控制。

目前國內(nèi)有專門的電腦USB接口禁用軟件、USB屏蔽軟件，也可以有效禁用電腦USB接口的使用，禁用U盤、移動(dòng)硬盤、手機(jī)等帶有USB存儲(chǔ)功能的設(shè)備，相對來說功能更為強(qiáng)大，操作也更為簡單。例如有一款“大勢至USB端口管理軟件”（下載地址: http://www.grabsun.com/monitorusb.html）。通過在電腦上安裝之后，就可以實(shí)時(shí)禁用U盤、移動(dòng)硬盤等USB存儲(chǔ)設(shè)備的使用。同時(shí)，還可以只讓特定U盤使用，只允許從U盤向電腦復(fù)制文件，禁止從電腦向U盤復(fù)制文件（或者必須輸入密碼才可以復(fù)制），從而極大地保護(hù)了電腦文件安全。如下圖所示：

圖：通過電腦USB接口管理軟件來禁用U盤、禁用移動(dòng)硬盤

同時(shí)，雖然我們禁止U盤、USB存儲(chǔ)設(shè)備的使用，但是由于電腦使用者依然可以通過郵件、網(wǎng)盤、論壇和FTP等工具來將電腦文件發(fā)送出去。因此，也必須禁止電腦發(fā)郵件、禁止網(wǎng)盤上傳、禁止FTP上傳、禁止論壇上傳附件等，防止通過上述網(wǎng)絡(luò)途徑泄密的行為。如上圖所示。

此外，大勢至USB禁用軟件還可以禁止電腦打開注冊表、禁止打開組策略、禁止進(jìn)入電腦安全模式、禁止從U盤啟動(dòng)電腦、禁止從光驅(qū)啟動(dòng)電腦等，防止一些懂技術(shù)的員工通過反向修改上述功能模塊而繞過系統(tǒng)監(jiān)控、重新啟用U盤和移動(dòng)硬盤的行為，從而實(shí)現(xiàn)了徹底的U盤、USB接口的管理和防護(hù)。

總之，無論是通過注冊表、組策略禁止U盤、屏蔽USB接口，還是通過專門的電腦U盤管理軟件、計(jì)算機(jī)USB接口屏蔽軟件都可以實(shí)現(xiàn)對U盤、移動(dòng)硬盤的控制，都可以達(dá)到一定的網(wǎng)絡(luò)管理效果。但是相對于注冊表、組策略來說，電腦USB接口屏蔽軟件的功能更多，防護(hù)也更強(qiáng)。具體采用哪種方案，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行選擇。

最新評論