在企事業(yè)單位局域網(wǎng)中，處于保護(hù)電腦文件安全和商業(yè)機(jī)密的需要，我們常常需要禁用電腦USB接口、禁止U盤(pán)和移動(dòng)硬盤(pán)的使用，防止通過(guò)U盤(pán)、移動(dòng)硬盤(pán)甚至手機(jī)等帶有USB存儲(chǔ)功能的設(shè)備復(fù)制電腦文件的行為。那么，具體如何管理電腦USB接口、禁用U盤(pán)呢？筆者以為，可以通過(guò)以下方式實(shí)現(xiàn)，一種是通過(guò)注冊(cè)表和組策略的方式來(lái)實(shí)現(xiàn)（如果你覺(jué)得這種方法復(fù)雜，可以直接看文章底部第二種方法），另外一種是通過(guò)電腦U口管理軟件、USB屏蔽軟件來(lái)實(shí)現(xiàn)，相對(duì)更為簡(jiǎn)單：

一、通過(guò)注冊(cè)表禁用USB接口、組策略禁用USB接口來(lái)禁止U盤(pán)使用

1、USB設(shè)備是使用USB接口的，在網(wǎng)上找了下，得知它使用如下兩個(gè)配置文件或是注冊(cè)表文件，usbstor.inf和usbstor.png。注冊(cè)表文件是:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor

2、清楚了USB的配置文件或是注冊(cè)表中的位置就好說(shuō)了，下面就分兩種方法來(lái)完成禁用USB設(shè)備的目的，一是通過(guò)組策略使用戶禁用這兩個(gè)配置文件，一是通過(guò)注冊(cè)表。

以下兩種實(shí)驗(yàn)均在WINDOWS 2003實(shí)驗(yàn)通過(guò)

通過(guò)組策略，當(dāng)然，這個(gè)要應(yīng)用在域環(huán)境中了，而且要保證，沒(méi)有使用過(guò)USB設(shè)備的（注冊(cè)表文件里會(huì)有變化的）嘿嘿。

如下圖，在管理工具――域安全策略――計(jì)算機(jī)配置――WINDOWS設(shè)置――安全設(shè)置――文件系統(tǒng)，單擊右鍵――添加文件或文件夾。找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之 




然后，確定，會(huì)彈出一個(gè)對(duì)話框，這可是重要步驟，通過(guò)此，設(shè)定不同用戶對(duì)此的訪問(wèn)級(jí)別，當(dāng)然，這里選拒絕了，你可以根據(jù)實(shí)際情況選擇不同的用戶組對(duì)這兩個(gè)文件的拒絕權(quán)限。如下圖 


確定，OK，會(huì)彈出以下的窗口，當(dāng)然，還是確定，不過(guò)，如果上一步你沒(méi)有做的話，可以在此重新設(shè)定不同用戶組的訪問(wèn)權(quán)限的喲（點(diǎn)編輯安全設(shè)置按鈕）！確定，便可以了，等域組策略刷新后，就會(huì)生效了。 


如果，使用過(guò)了USB設(shè)備了，（或者不是域控怎么辦？）呵呵，當(dāng)然是通過(guò)注冊(cè)表鍵值來(lái)搞定了！

找到鍵值所在的注冊(cè)表位置，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub（2000系統(tǒng)下）或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor（XP or 2K3），在對(duì)應(yīng)的usbhub（或USBSTOR）分支右邊子窗口中，雙擊一下“Start”鍵值，在彈出的數(shù)值設(shè)置窗口中，檢查一下其中的數(shù)字是多少，如果是4，表明該計(jì)算機(jī)的USB端口使用權(quán)限已經(jīng)被限制起來(lái)了;

如果是3，表明該計(jì)算機(jī)的USB端口使用權(quán)限已經(jīng)被啟用起來(lái)了，這里確保是4！??！


如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲(chǔ)驅(qū)動(dòng)程序"
重啟機(jī)器吧，就可以了。

二、通過(guò)專門的電腦U盤(pán)屏蔽軟件、USB禁用軟件來(lái)實(shí)現(xiàn)電腦USB存儲(chǔ)設(shè)備的控制。

目前國(guó)內(nèi)有專門的電腦USB接口禁用軟件、USB屏蔽軟件，也可以有效禁用電腦USB接口的使用，禁用U盤(pán)、移動(dòng)硬盤(pán)、手機(jī)等帶有USB存儲(chǔ)功能的設(shè)備，相對(duì)來(lái)說(shuō)功能更為強(qiáng)大，操作也更為簡(jiǎn)單。例如有一款“大勢(shì)至USB端口管理軟件”（下載地址: http://www.grabsun.com/monitorusb.html）。通過(guò)在電腦上安裝之后，就可以實(shí)時(shí)禁用U盤(pán)、移動(dòng)硬盤(pán)等USB存儲(chǔ)設(shè)備的使用。同時(shí)，還可以只讓特定U盤(pán)使用，只允許從U盤(pán)向電腦復(fù)制文件，禁止從電腦向U盤(pán)復(fù)制文件（或者必須輸入密碼才可以復(fù)制），從而極大地保護(hù)了電腦文件安全。如下圖所示：

圖：通過(guò)電腦USB接口管理軟件來(lái)禁用U盤(pán)、禁用移動(dòng)硬盤(pán)

同時(shí)，雖然我們禁止U盤(pán)、USB存儲(chǔ)設(shè)備的使用，但是由于電腦使用者依然可以通過(guò)郵件、網(wǎng)盤(pán)、論壇和FTP等工具來(lái)將電腦文件發(fā)送出去。因此，也必須禁止電腦發(fā)郵件、禁止網(wǎng)盤(pán)上傳、禁止FTP上傳、禁止論壇上傳附件等，防止通過(guò)上述網(wǎng)絡(luò)途徑泄密的行為。如上圖所示。

此外，大勢(shì)至USB禁用軟件還可以禁止電腦打開(kāi)注冊(cè)表、禁止打開(kāi)組策略、禁止進(jìn)入電腦安全模式、禁止從U盤(pán)啟動(dòng)電腦、禁止從光驅(qū)啟動(dòng)電腦等，防止一些懂技術(shù)的員工通過(guò)反向修改上述功能模塊而繞過(guò)系統(tǒng)監(jiān)控、重新啟用U盤(pán)和移動(dòng)硬盤(pán)的行為，從而實(shí)現(xiàn)了徹底的U盤(pán)、USB接口的管理和防護(hù)。

總之，無(wú)論是通過(guò)注冊(cè)表、組策略禁止U盤(pán)、屏蔽USB接口，還是通過(guò)專門的電腦U盤(pán)管理軟件、計(jì)算機(jī)USB接口屏蔽軟件都可以實(shí)現(xiàn)對(duì)U盤(pán)、移動(dòng)硬盤(pán)的控制，都可以達(dá)到一定的網(wǎng)絡(luò)管理效果。但是相對(duì)于注冊(cè)表、組策略來(lái)說(shuō)，電腦USB接口屏蔽軟件的功能更多，防護(hù)也更強(qiáng)。具體采用哪種方案，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行選擇。

最新評(píng)論