企业局域网禁用USB存储设备的方法很多,有些是通过注册表禁用USB存储设备,有些通过组策略禁用USB存储设备,有些则是通过一些USB端口禁用软件来实现。此外,还有一种方法是通过域控制器禁用USB存储设备、域用户禁用U盘。具体如下:
方法一、域环境下禁用USB存储设备、域控制器禁用U盘的方法
我们要禁用USB,无外乎是不允许电脑在插入USB设备时自动进行安装。Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、 另外一个就是Usbstor.inf,当在电脑较早次使用USB设备之前禁用这两个文件即可达到我们的目标。知道了这些,我们就可以动手完成USB的禁用 工作了。(我的域控制器为Windows 2003 Server SP1 CN)
1、打开Active Directory用户和计算机;
2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;
3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;
4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;
6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;
7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;
8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;
9、关闭组策略编辑器;
10、使用“gpupdate /force”,强行刷新策略。
至此,完成对USB的禁用。但这个方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U盘等设备,那还需要修改注册表来达到目的。需要修改的注册表键值位于:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\UsbStor(Windows 2000下,键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub),展开 后,会看到一个start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来 加以运行即可。
方法二、通过一些USB端口控制软件、USB存储设备禁用软件来实现。
虽然通过域用户禁用USB存储设备的方法也比较有效,但是不是所有单位都组建了域环境;同时,域控制器只能控制USB端口、禁用USB存储设备的使用,无法完全防止电脑文件泄密,比如员工可以通过邮件、网盘、QQ发送文件以及FTP文件上传的方式泄露电脑文件。这种情况下,就需要借助于一些USB端口控制软件、USB禁用软件来实现。
目前,有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html">http://www.grablan.com/monitorusb.html),不仅可以完全禁用USB存储设备,而且还可以只让特定USB存储设备使用,只允许从U盘向电脑拷贝文件而禁止从电脑向U盘拷贝文件,或者向USB设备拷贝文件必须输入密码等,从而全面保护电脑文件安全。此外,还可以完全禁止电脑发邮件、禁止网盘上传电脑文件、禁止QQ发送文件以及禁止FTP文件上传等,防止通过网络途径泄密。如下图所示:
图:大势至电脑文件防泄密系统
总之,有效禁用U盘、禁用USB存储设备的使用,一方面可以借助于域控制器,并通过禁用USB设备的驱动的方式来禁用USB存储设备,另一方面也可以借助于专门的USB端口禁用软件,具体采用哪种方法,可以根据自己的需要进行抉择。
