如何禁用USB存儲(chǔ)設(shè)備是企業(yè)、學(xué)校網(wǎng)絡(luò)管理人員經(jīng)常遇到的一個(gè)問(wèn)題，USB存儲(chǔ)設(shè)備的濫用不僅容易造成公司內(nèi)部資料的泄露，也增加了電腦感染病毒的風(fēng)險(xiǎn)。目前雖然可以通過(guò)使用專業(yè)的USB監(jiān)控軟件比如“大勢(shì)至USB監(jiān)控系統(tǒng)”（百度搜索“大勢(shì)至USB控制器”，從隨便一個(gè)地址下載就可以了）來(lái)達(dá)到禁止使用USB存儲(chǔ)設(shè)備的目的。同時(shí)，通過(guò)USB監(jiān)控軟件來(lái)禁用U盤(pán)、限制移動(dòng)硬盤(pán)的使用可以完全不影響USB鼠標(biāo)、鍵盤(pán)和加密狗，從而實(shí)現(xiàn)了靈活的USB接口管理。當(dāng)然，如果你用不著USB接口，你也可以通過(guò)下面的方法完全禁掉USB口，這樣無(wú)論什么USB設(shè)備都無(wú)法使用了。

方法一、BIOS禁止USB接口使用進(jìn)入BIOS設(shè)置，選擇“Integrated Peripherals”選項(xiàng)，展開(kāi)后將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項(xiàng)的屬性設(shè)置為“Disableed”，即可禁用USB接口。最后別忘記給BIOS設(shè)置上一個(gè)密碼，這樣他人就無(wú)法通過(guò)修改注冊(cè)表解“鎖”上述設(shè)備了。 注意：這個(gè)方法是完全禁止了USB接口，也就是說(shuō)各種USB接口的設(shè)備均不能用了，當(dāng)然也包括了U盤(pán)和移動(dòng)盤(pán)。由于此法過(guò)于霸道，請(qǐng)慎用。

方法二、禁止閃盤(pán)或移動(dòng)硬盤(pán)的啟動(dòng)（適用于Windows XP/2000/2003）

打開(kāi)注冊(cè)表編輯器，依次展開(kāi)如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR]，在右側(cè)的窗格中找到名為“Start”的DWORD值，雙擊，在彈出的編輯對(duì)話框中將其數(shù)值數(shù)據(jù)修改為十六位進(jìn)制數(shù)值“4”。點(diǎn)“確定”按鈕并關(guān)閉注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，使設(shè)置生效。重啟后，當(dāng)有人將USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí)，雖然USB設(shè)備上的指示燈在正常閃爍，但在資源管理器當(dāng)中就是無(wú)法找到其盤(pán)符，因此也就無(wú)法使用USB設(shè)備了。

方法三、隱藏盤(pán)符和禁止查看USB設(shè)備（適用于Windows系統(tǒng)）

打開(kāi)注冊(cè)表編輯器，依次展開(kāi)如下分支[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer]，新建二進(jìn)制值“NoDrives”，其缺省值均是00 00 00 00，表示不隱藏任何驅(qū)動(dòng)器。鍵值由四個(gè)字節(jié)組成，每個(gè)字節(jié)的每一位（bit）對(duì)應(yīng)從A:到Z:的一個(gè)盤(pán)，當(dāng)相應(yīng)位為1時(shí)，www.x-force.cn“我的電腦”中相應(yīng)的驅(qū)動(dòng)器就被隱藏了。第一個(gè)字節(jié)代表從A到H的8個(gè)盤(pán)，即01為A，02為B，04為C……依次類推，第二個(gè)字節(jié)代表I到P，第三個(gè)字節(jié)代表Q到X，第四個(gè)字節(jié)代表Y和Z。比如要關(guān)閉C盤(pán)，將鍵值改為04 00 00 00；要關(guān)閉D盤(pán)，則改為08 00 00 00，若要關(guān)閉C盤(pán)和D盤(pán)，則改為0C 00 00 00(C是十六進(jìn)制，轉(zhuǎn)成十進(jìn)制就是12)。

理解了原理后，下面以我的電腦為例說(shuō)明如何操作：我的電腦有一個(gè)軟驅(qū)、一個(gè)硬盤(pán)(5個(gè)分區(qū))、一個(gè)光驅(qū)，盤(pán)符分布是這樣的：A:（3.5軟盤(pán)）、C:、D:、E:、F:、G:、H:（光盤(pán)），所以我的“NoDrives”值為“02 ff ff ff”，隱藏了B、I到Z盤(pán)。

重啟計(jì)算機(jī)后，再插入U(xiǎn)盤(pán)，在我的電腦里也是看不出來(lái)的，但在地址欄里輸入I:（我的電腦電后一個(gè)盤(pán)符是H）還是可以訪問(wèn)移動(dòng)盤(pán)的。到這里大家都看得出“NoDrives”只是障眼法，所以我們還要做多一步，就是再新建一個(gè)二進(jìn)制“NoViewOnDrive”，值改為“02 ff ff ff”，也就是說(shuō)其值與“NoDrives”相同。 這樣一來(lái)，既看不到U盤(pán)符也訪問(wèn)不到U盤(pán)了。

方法四、禁止安裝USB驅(qū)動(dòng)程序

在Windows資源管理器中，進(jìn)入到“系統(tǒng)盤(pán):\WINDOWS\inf”目錄，找到名為“Usbstor.pnf”的文件，右鍵點(diǎn)擊該文件，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁(yè)，在“組或用戶名稱”框中選中要禁止的用戶組，接著在用戶組的權(quán)限框中，選中“完全控制”后面的“拒絕”復(fù)選框，最后點(diǎn)擊“確定”按鈕。再使用以上方法，找到“usbstor.inf”文件并在安全標(biāo)簽頁(yè)中設(shè)置為拒絕該組的用戶訪問(wèn)，其操作過(guò)程同上。完成了以上設(shè)置后，該組中的用戶就無(wú)法安裝USB設(shè)備驅(qū)動(dòng)程序了，這樣就達(dá)到禁用的目的。

注意：要想使用訪問(wèn)控制列表(ACL)，要采用NTFS文件系統(tǒng)。

以上方法雖然簡(jiǎn)單有效，但實(shí)際上是存在一些漏洞的，對(duì)一般員工也許會(huì)起作用，如果是稍微懂些技術(shù)的人可能輕易就可破解。所以，總的來(lái)說(shuō)，為了企業(yè)信息安全和電腦安全選用專業(yè)可靠的USB監(jiān)控軟件還是最佳的選擇。

最新評(píng)論