企業(yè)局域網(wǎng)禁用USB存儲設備的方法很多，有些是通過注冊表禁用USB存儲設備，有些通過組策略禁用USB存儲設備，有些則是通過一些USB端口禁用軟件來實現(xiàn)。此外，還有一種方法是通過域控制器禁用USB存儲設備、域用戶禁用U盤。具體如下：

方法一、域環(huán)境下禁用USB存儲設備、域控制器禁用U盤的方法

我們要禁用USB，無外乎是不允許電腦在插入USB設備時自動進行安裝。Windows識別USB設備主要通過兩個文件，一個是Usbstor.pnf、另外一個就是Usbstor.inf，當在電腦第一次使用USB設備之前禁用這兩個文件即可達到我們的目標。知道了這些，我們就可以動手完成USB的禁用工作了。（我的域控制器為Windows2003ServerSP1CN）

1、打開ActiveDirectory用戶和計算機；

2、選擇需要禁用USB設備的OU，并點擊鼠標右鍵進行組策略；

3、創(chuàng)建一個針對USB的GPO，并點擊編輯，打開組策略編輯器；

4、進入組策略編輯器，依次展開“計算機配置”、“Windows設置”、“安全設置“、”文件系統(tǒng)”；

5、右鍵點擊“添加文件”，彈出“添加文件和文件夾”，在“文件夾”欄輸入“%systemroot%\inf\usbstor.inf“，確定；

6、在“數(shù)據(jù)庫安全設置”中，刪除所有的用戶，并添加“Everyone”，去掉默認的允許“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”，添加拒絕“完全控制”；應用、確定；

7、在“添加對象”窗口，默認當前設置，若要重新編輯安全權限，則可點擊“編輯安全設置”進行重新設置；確認，退出設置；

8、除此之外，重復5、6、7步，對“%systemroot%\inf\usbstor.PNF“進行設置；

9、關閉組策略編輯器；

10、使用“gpupdate/force”，強行刷新策略。

至此，完成對USB的禁用。但這個方法只能針對還沒有使用過USB的計算機才能生效，若企業(yè)中的部分計算機已經(jīng)使用過U盤等設備，那還需要修改注冊表來達到目的。需要修改的注冊表鍵值位于：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor（Windows2000下，鍵值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub），展開后，會看到一個start的鍵值，需要將該鍵值修改為4，默認情況下為3（3表示手動、2表示自動、4表示停用），若要使用組策略來部署，需要使用腳本來加以運行即可。

方法二、通過一些USB端口控制軟件、USB存儲設備禁用軟件來實現(xiàn)。

雖然通過域用戶禁用USB存儲設備的方法也比較有效，但是不是所有單位都組建了域環(huán)境；同時，域控制器只能控制USB端口、禁用USB存儲設備的使用，無法完全防止電腦文件泄密，比如員工可以通過郵件、網(wǎng)盤、QQ發(fā)送文件以及FTP文件上傳的方式泄露電腦文件。這種情況下，就需要借助于一些USB端口控制軟件、USB禁用軟件來實現(xiàn)。

目前，有一款“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html），不僅可以完全禁用USB存儲設備，而且還可以只讓特定USB存儲設備使用，只允許從U盤向電腦拷貝文件而禁止從電腦向U盤拷貝文件，或者向USB設備拷貝文件必須輸入密碼等，從而全面保護電腦文件安全。此外，還可以完全禁止電腦發(fā)郵件、禁止網(wǎng)盤上傳電腦文件、禁止QQ發(fā)送文件以及禁止FTP文件上傳等，防止通過網(wǎng)絡途徑泄密。如下圖所示：

圖：大勢至電腦文件防泄密系統(tǒng)

總之，有效禁用U盤、禁用USB存儲設備的使用，一方面可以借助于域控制器，并通過禁用USB設備的驅動的方式來禁用USB存儲設備，另一方面也可以借助于專門的USB端口禁用軟件，具體采用哪種方法，可以根據(jù)自己的需要進行抉擇。

最新評論