在企事业单位局域网中,处于保护电脑文件安全和商业机密的需要,我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用,防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。那么,具体如何管理电脑USB接口、禁用U盘呢?笔者以为,可以通过以下方式实现,一种是通过注册表和组策略的方式来实现(如果你觉得这种方法复杂,可以直接看文章底部第二种方法),另外一种是通过电脑U口管理软件、USB屏蔽软件来实现,相对更为简单:
一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用
1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。注册表文件是:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor
2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)嘿嘿。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。找到c:windowsinfusbstor.inf 和usbstor.pnf,并添加之
然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图
确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
如果,使用过了USB设备了,(或者不是域控怎么办?)呵呵,当然是通过注册表键值来搞定了!
找到键值所在的注册表位置,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbhub(2000系统下)或HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor(XP or 2K3),在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了;
如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4!!!
如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储驱动程序"
重启机器吧,就可以了。
二、通过专门的电脑U盘屏蔽软件、USB禁用软件来实现电脑USB存储设备的控制。
目前国内有专门的电脑USB接口禁用软件、USB屏蔽软件,也可以有效禁用电脑USB接口的使用,禁用U盘、移动硬盘、手机等带有USB存储功能的设备,相对来说功能更为强大,操作也更为简单。例如有一款“大势至USB端口管理软件”(: http://www.grabsun.com/monitorusb.html)。通过在电脑上安装之后,就可以实时禁用U盘、移动硬盘等USB存储设备的使用。同时,还可以只让特定U盘使用,只允许从U盘向电脑复制文件,禁止从电脑向U盘复制文件(或者必须输入密码才可以复制),从而极大地保护了电脑文件安全。如下图所示:
图:通过电脑USB接口管理软件来禁用U盘、禁用移动硬盘
同时,虽然我们禁止U盘、USB存储设备的使用,但是由于电脑使用者依然可以通过邮件、网盘、论坛和FTP等工具来将电脑文件发送出去。因此,也必须禁止电脑发邮件、禁止网盘上传、禁止FTP上传、禁止论坛上传附件等,防止通过上述网络途径泄密的行为。如上图所示。
此外,大势至USB禁用软件还可以禁止电脑打开注册表、禁止打开组策略、禁止进入电脑安全模式、禁止从U盘启动电脑、禁止从光驱启动电脑等,防止一些懂技术的员工通过反向修改上述功能模块而绕过系统监控、重新启用U盘和移动硬盘的行为,从而实现了彻底的U盘、USB接口的管理和防护。
总之,无论是通过注册表、组策略禁止U盘、屏蔽USB接口,还是通过专门的电脑U盘管理软件、计算机USB接口屏蔽软件都可以实现对U盘、移动硬盘的控制,都可以达到一定的网络管理效果。但是相对于注册表、组策略来说,电脑USB接口屏蔽软件的功能更多,防护也更强。具体采用哪种方案,企事业单位可以根据自己的需要进行选择。