电脑U口是一个让人爱恨交加的事情,一方面可以方便使用U盘、移动硬盘等USB存储设备来方便办公,另一方面员工也可以轻松使用这些USB存储设备随意复制电脑文件,从而给电脑文件安全带来重大隐患。那么如何禁止USB存储设备使用呢,具体方法如下:
1.通过设备管理器来禁用U盘、禁用USB存储设备。
右键点击我的电脑-->管理,然后选择设备管理器-->通用串行总线控制器-->有两个usb root hub 禁用这两个项目里面 :常规-->设备方法-->停用
2.在BIOS种禁用USB接口、屏蔽U口使用。
进入BIOS设置,选择“Integrated Peripherals”选项,展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disableed”,即可禁用USB接口。最后别忘记给BIOS设置上一个密码,这样他人就无法通过修改注册表解“锁”上述设备了。
注意:这个方法是完全禁止了USB接口,也就是说各种USB接口的设备均不能用了,当然也包括了U盘和移动盘。
3.禁止安装USB驱动程序、限制USB驱动安装
在Windows资源管理器中,进入到“系统盘:WINDOWSinf”目录,找到名为“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,选中“完全控制”后面的“拒绝”复选框,最后点击“确定”按钮
4. 注册表禁用USB设备、组策略禁用U盘、注册表禁用USB端口
打开注册表编辑器,依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器,重新启动计算机,使设置生效。重启后,当有人将USB存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器当中就是无法找到其盘符,因此也就无法使用USB设备了。
5.隐藏电脑磁盘盘符和禁止查看(适用于Windows系统)
打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer],新建二进制值“NoDrives”,其缺省值均是00000000,表示不隐藏任何驱动器。键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04000000;要关闭D盘,则改为08000000,若要关闭C盘和D盘,则改为0C000000(C是十六进制,转成十进制就是12)。 理解了原理后,下面以我的电脑为例说明如何操作:我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以我的“NoDrives”为“02ffffff”,隐藏了B、I到Z盘。 重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为“02ffffff”,也就是说其值与“NoDrives”相同。这样一来,既看不到U盘符也访问不到U盘了。
6.下载专门的电脑U盘禁用软件、USB接口屏蔽软件来限制U盘使用
虽然上述方法都可以实现禁用U盘、屏蔽USB接口使用的目的。但是由于是通过操作系统实现的,这样一些懂技术的员工同样可以通过反向修改的方式来重新启用U盘,达到重新通过U盘复制电脑文件的目的,从而给电脑文件保护带来了挑战。因此,这种情况下,通过部署专门的禁止U盘使用的软件、屏蔽USB接口的软件来禁用USB存储设备、限制U盘使用,就成为一个行之有效的举措。例如,有一款“大势至USB端口管理软件”(下载地址:http://www.grabsun.com/monitorusb.html)可以轻松实现禁止电脑U盘使用、屏蔽USB存储设备的功能。只需要在电脑上安装之后,软件自动禁止电脑U盘的使用,同时还可以只让特定U盘使用,以及只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件的行为,或者从电脑向U盘复制文件的同时必须输入密码,从而既可以完全禁止U盘、禁止USB存储工具的使用,又可以允许指定U盘使用,或者使用U盘的单一读取功能,实现了精确控制U盘使用的功能。同时,在禁止USB存储工具使用的同时,还不影响非USB存储设备(如USB鼠标键盘和加密狗的使用),从而实现了精确控制USB接口使用的目的。如下图所示:
图:屏蔽U盘使用、禁止发邮件、限制网盘上传、禁止FTP传输文件、禁止论坛发帖留言等
同时,由于员工上班大都接入了网络,而通过网络泄露公司商业机密的途径很多,通过电子邮件、网盘、ftp上传文件、qq传文件等等都可以泄露公司商业机密,为此大势至USB禁用软件还集成了禁止发邮件、禁止网盘上传文件、禁止FTP上传文件、禁止论坛上传附件的功能,防止通过网络泄露公司商业机密的行为。此外,由于现在手机的普及,手机存储空间也越来越大,少则几G,多则几十G的存储空间,使得手机同样可以替代U盘复制电脑文件。同时,由于在企业里面,完全禁止员工电脑使用手机也显得过于严厉,毕竟员工通过电脑为手机充电也是十分普遍的现象。因此,大势至usb屏蔽软件还可以集成了禁止手机使用,防止通过手机复制电脑文件的行为。如上图所示。
最后,大势至USB接口禁用软件还对操作系统关键位置进行了防护,如禁用注册表、禁用组策略、禁用设备管理器、禁用开机启动项、禁止开机进入安全模式、禁止U盘启动电脑等等,从而防止了一些懂技术的员工试图通过修改操作系统关键位置而达到重新启用USB存储的目的,实现了电脑文件的彻底防护。
总之,无论通过操作系统的设置,还是借助于专门的电脑USB禁用软件,都可以实现对U盘、移动硬盘等USB存储设备的使用,只不过通过专门的电脑U口管理软件、电脑USB接口禁用软件来屏蔽U盘、禁止USB设备的使用更为简单和有效,具体采用哪种方法,企业可以根据自己的需要具体选择。