正在閱讀:教你XP組策略禁用USB連接埠、Win7組策略禁用usb接口的方法教你XP組策略禁用USB連接埠、Win7組策略禁用usb接口的方法

2019-01-16 17:49 出處:其他 作者:佚名 責任編輯:liuxiangcheng

在公司區域網路中,如何有效禁用USB接口、屏蔽USB連接埠的使用,一直是電腦資訊安全管理、商業機密保護的一個重要方面。這是因為,目前USB存儲設備多種多樣,大容量的U盤、移動硬碟以及手機存儲卡等現在極為普遍,都可以輕鬆從電腦拷貝大量的文件,尤其是涉及公司商業機密的文件,可以輕鬆被員工拷貝出去,從而對公司經營造成了極大的風險。為此,我們必須采取有效的舉措來禁用USB存儲設備,尤其是禁用U盤、禁止移動硬碟、禁止手機、藍牙等所有可能傳輸、複制電腦文件的設備使用,防止透過這些USB存儲設備來洩露公司商業機密。

當然,如果你想最簡單、快捷禁用USB接口、禁用U盤、屏蔽移動硬碟使用等,可以藉助專業的電腦USB連接埠管理軟體。如目前流行的“大勢至USB連接埠管理軟體”(下載地址: http://www.grablan.com/monitorusb.html ),只需要在電腦裝設之後,點點滑鼠就可以完全禁用U盤、移動硬碟和手機的使用。同時,為了防止員工透過修改註冊表、組策略而重新啟用U盤、移動硬碟,系統還禁止修改註冊表、禁止打開組策略、禁止打開設備管理器等作業系統關鍵位置,從而防止員工反向修改,實現了最嚴密的USB連接埠管理。如下圖所示:

   

那麼,如何透過組策略禁止USB接口、屏蔽USB連接埠的使用呢?同時,在禁用USB存儲設備的同時,還不能影響USB滑鼠、鍵盤,畢竟現在USB滑鼠越來越普遍。具體方法如下

1、 USB設備是使用USB接口的,它使用如下兩個配置文件或是註冊表文件,usbstor.inf和usbstor.png。註冊表文件是:

Windows 2000下

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub

或是
winxp ,win2k3下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor

2、 清楚了USB的配置文件或是註冊表中的位置就好說了,下面就分兩種方法來完成禁用USB設備的目的,一是透過組策略使用戶禁用這兩個配置文件,一是透過註冊表。以下兩種實驗均在WINDOWS 2003實驗透過透過組策略,當然,這個要應用在域環境中了,而且要保證,沒有使用過USB設備的(註冊表文件媟|有變化的)。

如下圖,在管理工具求求域安全策略求求電腦配置求求WINDOWS設定求求安全設定求求文件系統,按一下右鍵求求添加文件或文件夾。找到c:\windows\inf\usbstor.inf 和usbstor.pnf,並添加之

 

然後,確定,會彈出一個對話方塊,這可是重要步驟,透過此,設定不同用戶對此的訪問級別,當然,這裡選拒絕了,你可以根據實際情況選擇不同的用戶組對這兩個文件的拒絕權限。如下圖

 確定,OK,會彈出以下的窗口,當然,還是確定,不過,如果上一步你沒有做的話,可以在此重新設定不同用戶組的訪問權限的喲(點編輯安全設定按鈕)!確定,便可以了,等域組策略刷新後,就會生效了。

如果,使用過了USB設備了,(或者不是域控怎麼辦?)呵呵,當然是透過註冊表鍵值來搞定了!

找到鍵值所在的註冊表位置,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub(2000系統下)或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor(XP or 2K3),在對應的usbhub(或USBSTOR)分支右邊子窗口中,連續按兩下一下“Start”鍵值,在彈出的數值設定窗口中,檢查一下其中的數字是多少,如果是4,表明該電腦的USB連接埠使用權限已經被限制起來了;如果是3,表明該電腦的USB連接埠使用權限已經被啟用起來了,這裡確保是4!!!

 如下:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲驅動程式"

重啟機器吧,就可以了。

總之,企業區域網路禁用USB接口、屏蔽USB連接埠的方法很多,無論是透過註冊表禁用USB接口還是透過組策略禁用USB連接埠,都可以很好地保護電腦商業機密的安全。但是,由於組策略和註冊表都是透過對作業系統的設定而達到禁用U盤的目的,因此容易被反向修改而重新啟用U盤和USB存儲設備。為此,我們必須考慮禁止修改註冊表、禁止修改組策略、禁止打開設備管理器等,在這個方面,USB連接埠管理軟體可以起到更好的防護和保障作用。

 

關注我們

最新資訊離線隨時看 聊天吐槽贏獎品