在公司局域网中,处于网络安全的考虑,常常需要封堵电脑USB接口的使用,尤其是禁止U盘、禁用USB存储设备等,防止有人通过U盘、移动硬盘或手机等复制电脑文件的行为。这就需要对插入电脑USB接口的设备进行有效的管理,需要完全禁用U盘、禁止移动硬盘的使用,同时还不能影响非USB存储设备的使用,如网银U盾、USB鼠标键盘和加密狗的使用,从而可以实现USB端口的精确管理。
那么,公司局域网如何有效管理U口、屏蔽USB存储工具的使用呢?笔者以为可以通过以下两种方法来实现:
一、通过注册表封U口、注册表封USB口的使用,或者通过组策略封USB接口、组策略禁用USB端口的使用。
1、注册表封U口、封USB口的方法
找到键值所在的注册表位置,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub
(2000系统下)或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor(XP or 2K3),在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了;如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4。
如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储驱动程序"
重启机器就可以了。
图:注册表禁用USB存储设备
2、通过组策略禁用USB端口、封USB接口使用。
方法:进入组策略编辑器(开始—运行,输入“gpedit.msc”,回车),依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;
图:组策略禁用u口的方法
在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;
在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;
二、通过专门的电脑U口禁用软件、封U口软件来禁用USB接口的使用,尤其是禁用USB存储设备。
如果您觉得组策略封U口、注册表封U口的设置较为麻烦的话,您也可以借助于专门的电脑USB口禁用软件、封U口软件,通常可以有效禁用U口使用。例如有一款“大势至U口禁用软件”(下载地址:http://www.grabsun.com/monitorusb.html),通过在电脑上安装之后就可以完全禁用U盘、禁用移动硬盘和禁用USB存储设备等,同时还不影响非USB存储设备的使用,如U盾、USB鼠标键盘和加密狗等。同时,还可以只让特定U盘使用、只让部分U盘使用;只允许从U盘向电脑复制文件而禁止从电脑向U盘复制文件或者向U盘拷贝电脑文件时必须输入密码。如下图所示:
图:禁用U口、封堵U口使用
同时,大势至封U口软件还可以禁止登陆邮箱发送邮件附件、禁止网盘上传电脑文件、禁止ftp发送电脑文件、禁止论坛附件上传以及禁止QQ发送电脑文件的行为,从而更进一步保护了电脑文件的安全。
此外,大势至封U口软件还可以禁用注册表、禁止修改组策略以及禁止修改开机启动项、禁止通过U盘启动电脑、禁止光驱启动电脑以及禁止开机按f8键进入操作系统的安全模式,从而极大地保护了电脑自身的安全,也进一步保护了电脑文件的安全。
总之,无论是通过注册表封U口、组策略封USB口,还是通过专门的封U口软件、USB禁用软件都可以起到禁用电脑U盘使用、屏蔽usb存储设备的功能,具体采用哪种方法,企事业单位可以根据自己的需要进行抉择。