USB端口控制
- 格式:docx
- 大小:126.40 KB
- 文档页数:15
屏蔽USB端口,往往出于一个方面的考虑:安全。
这个安全包括病毒安全和数据安全。
现在的USB闪存病毒可是猖獗的很,同时,你电脑上面的东西,不希望有人用U盘轻松拷贝走的话,你就得封锁USB端口了。
对很多企业来说,这个的需求倒是不小。
当然,无论是防君子还是小人,对于电脑高手,是防不住的。
下面,看看如何把Windows Vista系统的USB端口给封锁掉。
本文提供了两种方法,每种方法都可以参考,看自己的使用习惯了。
一、手工修改注册表更改注册表项,包含3个途径也,禁用USB设备启动、禁用向USB设备写入数据、隐藏和禁止查看盘符,下面挨个说明。
1、打开注册表编辑器:Win键+R键打开运行窗口运行regedit,或者在Windows Vista开始菜单的搜索栏中输入regedit,开启注册表编辑器。
如果弹出UAC提示窗口,则点击确认。
2、在注册表管理器中,定位到HKEY_LOCAL_MACHINE/SYSTEM/CurrentCntrolSet/Services /USBSTOR,在右边窗口里面双击Start这个注册表项,将键值由3改为4,点击确定即可(如果要恢复,将Start注册值由4改为3,即可就能用 USB设备了)。
这样,重启后就可以禁用USB设备启动了,在资源管理器中是看不到USB设备的盘符,自然也就更无法使用了。
提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
如图1所示:修改注册表禁用向USB设备写入数据,也可以封锁USB口,实施方法是:打开注册表编辑器,定位于HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicePoli cies,在右侧窗口中创建一个DWORD的表项,名为WriteProtect,值为1;如果没有该注册表分支,可先创建分支(将该值改回0即可能够写入USB数据,否则只能读USB设备中的数据)。
修改后确定即可。
重启机器后,任何想向USB设备中写入数据都会显示错误提示。
如图2所示。
修改注册表隐藏和禁止查看盘符也起到封锁USB口的目的,实施方法是:打开注册表编辑器,定位到HKEY_CURRENT_USER/software/micosoft/Windows/CurrentVersion/Ploicies/Explorer,新建一二进制注册表项 NoDrives,其值00 00 00 00表示不隐藏任何驱动器,设置其值为00 ff ff ff以便隐藏I到Z盘,这样在资源管理器中看不到I到Z盘了;新建一个二进制项NoViewOnDrive,其值定为00 ff ff ff,就达到禁看的目标了(将每个项的值改为00 00 00 00,就又可以使用USB设备了)。
大家可以在Vista中创建已受限账户,该账户没有修改注册表的权限,然后把它发给大家使用,这个账户中的USB设备使用就可以是被禁止的,于是就无人能够利用小提示中的改回设置了。
二、禁止USB驱动程序的方法如果电脑尚未安装USB设备,向用户或组分配对Usbstor.pnf、Usbstor.inf 文件的“拒绝”权限,即可禁止某些用户安装 USB驱动程序,从而达到禁用目的,但前提是系统盘必须是NTFS格式,实施方法是:打开系统盘下的“Windowsinf”目录,里面有 Usbstor.pnf文件,选择它并右键点击“属性”命令,点击“安全”选项卡,在“用户或组名称”框中勾选要禁用的用户或组,在用户组的权限中勾选“完全控制”后面的“拒绝”,最后点击确定即可,如图3。
如法炮制,对Usbstor.inf文件同样类似处理。
至此,该组中的用户都会无法安装USB设备驱动程序,进而无法使用USB口了。
总结:除了注册表修改和禁止USB驱动来达到限制USB口使用的效果外,还有使用第三方软件提供的禁用功能来实现的方法,总之,每种方法都有它的利和弊,感兴趣的朋友不妨去体会一下吧!如果计算机上尚未安装USB 存储设备如果计算机上尚未安装USB 存储设备,请向用户或组分配对下列文件的“拒绝”权限:∙%SystemRoot%\Inf\Usbstor.pnf∙%SystemRoot%\Inf\Usbstor.inf这样,用户将无法在计算机上安装USB 存储设备。
要向用户或组分配对Usbstor.pnf 和Usbstor.inf文件的“拒绝”权限,请按照下列步骤操作:1. 启动Windows 资源管理器,然后找到%SystemRoot%\Inf 文件夹。
2. 右键单击“Usbstor.pnf”文件,然后单击“属性”。
3. 单击“安全”选项卡。
4. 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
5. 在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
注意:此外,还需将系统帐户添加到“拒绝”列表中。
6. 右键单击“Usbstor.inf”文件,然后单击“属性”。
7. 单击“安全”选项卡。
8. 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
9. 在“UserName or GroupName的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
如果计算机上已经安装了USB 存储设备警告:注册表编辑器或其他方法使用不当可能导致严重问题。
这些问题可能需要重新安装操作系统。
Microsoft 不能保证您可以解决这些问题。
修改注册表需要您自担风险。
如果计算机上已经安装了USB 存储设备,请将以下注册表项中的“Start”值设置为4:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor这样,当用户将USB 存储设备连接到计算机时,该设备将无法运行。
要设置“Start”的值,请按照下列步骤操作:1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入regedit,然后单击“确定”。
3. 找到并单击下面的注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor4. 在右窗格中,双击“Start”。
5. 在“数值数据”框中,键入4,单击“十六进制”(如果尚未选中),然后单击“确定”。
6. 退出注册表编辑器。
强化USB设备控制保障操作系统安全随着价格的下降,USB设备的使用现在越来越普遍。
今天我们来谈谈如何控制USB设备保障系统的安全。
USB端口有其自身的优越性,这成为现代IT生活的一个事实,但是,这同时还意味着USB将成为每一个IT管理人员的一个令人头痛的问题。
我们既要依靠USB端口,还要保障其安全。
笔者认为阻止每一个对USB端口的使用并不是一个解决问题的办法。
Windows XP 和 Windows server 2003系统对USB端口的控制是相当有限的。
你可以禁用端口或使其只读,不过这却缺乏对所允许的设备或文件类型的更好控制。
不过,有大量的第三方应用程序可以帮助我们从不同程度上控制USB端口。
如笔者喜欢的USB安全存储专家(USSE),它是一款对企业或个人的数据信息安全进行严格控制而开发的USB端口监控软件。
它可随意控制USB存储设备的读写权限。
USB安全存储专家还可控制特定的USB存储设备(写入标识的存储设备)的读写,可对USB存储设备进行透明加密。
USB规范的一个特性之一是每一个设备都要告诉系统它是何种设备,以此作为连接到系统的过程的一个部分。
一些制造商利用这一点允许你阻止特定端口上的特定种类的设备,例如,你可以在任何端口上选择允许一个USB鼠标,不过绝不允许闪盘,权限最少的原则绝对适用于USB端口。
一般说来,问题不应当是“我们需要阻止什么”,而是“我们可以允许什么?”一些制造商对于所允许的控制采取了更进一步的措施,允许你要求一个带有特定序列号的并且与一个特定用户相连的特定设备来使用一个特定端口。
你还可以将某些特定设备标记为只读或设置哪些种类的文件可通过一个特定的USB端口读取或写入。
这有助于防止两种风险:一是防止某人通过USB端口将某些恶意的欺诈程序装入到系统中,二是防止未获授权的某人将某些数据带出。
例如,一个用户可能被允许下载Excel (.xls)或 Word (.doc)文件,不过却不能下载数据库文件。
这种程序如USB Lock RP等。
还有一些产品可以在操作系统层次上阻止USB端口,也就是说,它们成为连接过程的一部分,并且不允许特定类型的设备连接到网络上的任何端口。
其它的一些产品只允许特定的设备同是又阻止此类型的其它设备。
如此一来,用户就只能将文件下载到其笔记本电脑的硬盘上,却不能下载到其它的USB盘驱动器上。
你还可以选择对其进行设置,只允许使用许一个用经过授权的、登记为某用户的加密闪盘。
如NetWrix USB Blocker。
在寻求 USB保护程序时,需要注意的一件关键的事情是看其管理的难易程度和精细程度。
因为一个典型的网络可能拥有几千个USB端口,你可能会想到能在一个中央位置管理所有的端口。
例如,自称为最便宜的USB管理软件CheapestSoft USB Blocker能够帮助一个用户或管理员控制USB存储设备。
管理员可以控制一台独立计算机或网络上多台计算机的USB设备。
对于每一个存储设备来说,管理员可以设置三种状态:禁用(不能读或写),只读,允许读写。
这些设置不会影响到USB鼠标或键盘。
理想情况下,你将需要通过组策略特性或其它无缝技术来管理网络上的端口。
现在有一些产品能够管理企业中的所有网络上USB端口,而不是分别管理每一个网络的端口。
当然,USB端口的控制并不是网络和系统安全的要害所在,你也不能绝对地保证数据不能从USB端口泄漏出去。
不过,这也正是网络中任何端点的真实情况。
关键是如何减轻这些常用设备的风险屏蔽USB控制器通过修改BIOS设置,可以直接屏蔽主板上的USB控制器,这个方法几乎适用于所有计算机。
这里笔者以目前使用最为广泛的Award BIOS为例进行说明。
启动计算机时按键盘的Del键进入BIOS设置界面,用方向键定位到“Integrated Peripherals”项,按回车打开,把其中“USB Controller”设置为“Disabled”,另外为了防止非法用户更改该设置,请务必加上BIOS密码,然后保存退出,计算机会自动重启,以后计算机上所有的USB接口即告失效。
这个方法虽然简单有效,但副作用也非常明显,因为在屏蔽USB接口之后,不但闪存盘之类的移动存储设备不能用,而且连USB接口的外设,例如USB鼠标、键盘、打印机等都将无法使用,很不方便。