Windows XP下禁止USB口

Windows XP下禁止USB口

某公司突然宣佈即日起禁帶USB存儲設備（如U盤、USB硬盤等）上下班，以免輕易帶走機密信息，如果你身爲掌管公司全部計算機的MIS，在不方便替每個同事搜身的情況下，該怎麼達成老闆這個怪怪的指示呢？如果把每個人計算機上的USB功能關掉或拔走USB連接線，肯定招來許多民怨，因爲很多鍵盤、鼠標等裝置都要用到USB接頭；別煩惱，下面介紹幾種方式可以單獨封鎖USB存儲設備，而保持其它USB裝置正常運作喔！


     一、註冊表修改
     
     
        首先請到【開始】菜單中，按下【運行】。
     
        在「運行」對話盒中輸入「regedit」，再按下〔確定〕。
     
        在左邊窗格找到「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」機碼，然後在右窗格的「Start」項目上按右鍵，選擇【修改】。
     
        ※Note：此臺計算機必須已安插過一次USB存儲設備，纔會出現如上的機碼。
     
        在「編輯DWORD值」對話盒中，將「數值數據」改爲「4」，「底數」要設爲「十六進制」，再按下〔確定〕。此後插入USB存儲設備時，計算機將不會有任何找到新硬件的反應了。

 

可以把下面的英文複製到REG文件中直接導入註冊表

（禁止USB接口讀寫）

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

 

（允許USB接口讀寫）

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

 

     
     二、bios下禁止使用usb口
     
        進入BIOS後,在intergrated peripherals中可以修改
        USB controller爲disable即可 。
     
     三、禁用驅動程序
     
        USB存儲產品的通用驅動（系統爲XP）都在system32\drivers下的USBSTOR,限制普通用戶使用，讓PC認不到；
        （此方法算比較有效）
     
     四、建域，通過策略和權限限制；
     
        此方面還沒測試過，待補充！（因爲一般幾十臺機子以上的網絡纔有用到AD環境，弄過的朋友可以補充！）
     
     五、軟件實現。
        （也還沒用過）

公司禁用U盤和移動硬盤的原因多種多樣，最響亮的原因就是防止員工帶走機密資料，在這裏我提供一種不用專業軟件的小技巧給大家，因爲你的老闆永遠相信“自己能解決的事，別花錢”。

　　方法一、BIOS設置法(快刀斬亂麻法)

　　進入BIOS設置，選擇“Integrated Peripherals”選項，展開後將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設置爲“Disableed”，即可禁用USB接口。最後別忘記給BIOS設置上一個密碼，這樣他人就無法通過修改註冊表解“鎖”上述設備了。

　　注意：這個方法是完全禁止了USB接口，也就是說各種USB接口的設備均不能用了，當然也包括了U盤和移動盤。由於此法過於霸道，請慎用。

　　方法二、禁止閃盤或移動硬盤的啓動(適用於Windows XP/2000/2003)

　　打開註冊表編輯器，依次展開如下分支 [HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右側的窗格中找到名爲 “Start”的DWORD值，雙擊，在彈出的編輯對話框中將其數值數據修改爲十六位進制數值“4”。點“確定”按鈕並關閉註冊表編輯器，重新啓動計算機，使設置生效。重啓後，當有人將USB存儲設備連接到計算機時，雖然USB設備上的指示燈在正常閃爍，但在資源管理器當中就是無法找到其盤符，因此也就無法使用USB設備了。

　　方法三、隱藏盤符和禁止查看(適用於Windows系統)

　　打開註冊表編輯器，依次展開如下分支 [HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer]，新建二進制值“NoDrives”，其缺省值均是00 00 00 00，表示不隱藏任何驅動器。鍵值由四個字節組成，每個字節的每一位(bit)對應從A:到Z:的一個盤，當相應位爲1時，“我的電腦”中相應的驅動器就被隱藏了。第一個字節代表從A到H的8個盤，即01爲A，02爲B，04爲C……依次類推，第二個字節代表I到P，第三個字節代表Q到X，第四個字節代表 Y和Z。比如要關閉C盤，將鍵值改爲04 00 00 00;要關閉D盤，則改爲08 00 00 00，若要關閉C盤和D盤，則改爲0C 00 00 00(C是十六進制，轉成十進制就是12)。

　　理解了原理後，下面以我的電腦爲例說明如何操作：我的電腦有一個軟驅、一個硬盤(5個分區)、一個光驅，盤符分佈是這樣的：A:(3.5軟盤)、C:、D:、E:、F:、G:、H:(光盤)，所以我的“NoDrives”值爲“02 ff ff ff”，隱藏了B、I到Z盤。

　　重啓計算機後，再插入U盤，在我的電腦裏也是看不出來的，但在地址欄裏輸入I:(我的電腦電後一個盤符是H)還是可以訪問移動盤的。到這裏大家都看得出“NoDrives”只是障眼法，所以我們還要做多一步，就是再新建一個二進制“NoViewOnDrive”，值改爲“02 ff ff ff”，也就是說其值與“NoDrives”相同。這樣一來，既看不到U盤符也訪問不到U盤了。

　　方法四、禁止安裝USB驅動程序

　　在Windows資源管理器中，進入到“系統盤:WINDOWSinf”目錄，找到名爲“Usbstor.pnf”的文件，右鍵點擊該文件，在彈出菜單中選擇“屬性”，然後切換到“安全”標籤頁，在“組或用戶名稱”框中選中要禁止的用戶組，接着在用戶組的權限框中，選中“完全控制”後面的“拒絕”複選框，最後點擊“確定”按鈕。

　　再使用以上方法，找到“usbstor.inf”文件並在安全標籤頁中設置爲拒絕該組的用戶訪問，其操作過程同上。完成了以上設置後，該組中的用戶就無法安裝USB設備驅動程序了，這樣就達到禁用的目的。

　　注意：要想使用訪問控制列表(ACL)，要採用NTFS文件系統。

結束語

　　正所謂亂花漸欲迷人眼，經過以上四個步驟，就算是箇中高手，想查找突破防線也要大費周折了，有時候解決問題不一定是找別人提供的解決方案，那是要錢的。對於老闆來說要錢就等於要他的命，呵呵，還是自己想法子解決吧