usb禁用

GFI LANguard Portable Storage Contro---禁用可移動存儲設備的好利器！

一，適用於工作組模式的計算機網絡
方法一：修改BIOS設置
這種方法雖然比較“原始”、簡單，但卻很有效。因爲是在Windows啓動前就從硬件層面關閉了電腦的USB功能，所以比較適合長期不使用USB設備（包括USB鍵盤及鼠標）的用戶。
具體操作如下：在電腦開機或重新啓動出現主板開機畫面的時候，迅速按鍵盤上的“Delete”鍵（或根據畫面上的提示按相應的鍵盤按鍵）進入BIOS設置界面，選擇“Integrated Peripherals”選項，展開後將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設置爲“Disabled”，即可禁用電腦的所有USB接口。最好再順便設置一個BIOS密碼，這樣其他人就無法隨意進入BIOS更改設置了。

方法二：修改系統文件/註冊表 http://support.microsoft.com/kb/823732/zh-cn ：微軟提供解決方法6 C- f8 r" Z) U2 [

與第一種方法所不同的是，這種方法僅能禁用USB儲存設備，如移動硬盤或優盤，對於其他USB設備，如USB鼠標、USB鍵盤就不起作用了。但我們的主要目的是禁止他人在電腦上使用優盤或移動硬盤等可移動存儲設備。
該方法分兩種情況：如果電腦尚未使用過USB設備（比如剛重裝好系統），可以通過向用戶或組分配對Usbstor.pnf和Usbstor.inf兩個文件的“拒絕”權限來實現對USB設備的禁用。
對於已經使用過USB設備的電腦，要禁用電腦的USB功能，就得通過註冊表來實現。如果你對電腦並不熟悉，修改前請先備份註冊表。, d3 T; m+ B   u5 s. ^1 j9 t
【未使用過USB設備的電腦】
、啓動資源管理器，依次打開Windows文件夾下面的子目錄Inf。9 x6 l$ c% k4 f) Q( D2 Y
2、在Inf文件夾裏，找到“Usbstor.pnf”文件，右鍵單擊該文件，然後選擇“屬性”。
、再“屬性”對話框裏單擊“安全”選項卡。* y+ q: |& p4 Y
4、在“組或用戶名稱”列表中，單擊要爲其設置“拒絕”權限的用戶或組。
5、在“UserName or Group?鄄Name 的權限”列表中，單擊以選中“完全控制”旁邊的“拒絕”複選框，然後單擊“確定”。
注意：此外，還需將系統賬戶添加到“拒絕”列表中。8 W7 `5 ^& c9 p7 c0 r& O- N! z3 K
6、右鍵單擊“Usbstor.inf”文件，然後單擊“屬性”。4 Y% I$ o1 k, e& h7 s8 }8 `
7、單擊“安全”選項卡。
8、在“組或用戶名稱”列表中，單擊要爲其設置“拒絕”權限的用戶或組。
9、在“UserName or Group?鄄Name 的權限”列表中，單擊以選中“完全控制”旁邊的“拒絕”複選框，然後單擊“確定”。9 t* D( R& ~6 Z1 H
【使用過USB設備的電腦】
、單擊“開始”，然後單擊“運行”。
、在“打開”框中，鍵入“regedit”，然後單擊“確定”。. r2 [% t0 Q; x6 a; w/ I2 s" I
3、找到並單擊下面的註冊表項：3 D- S4 q6 K( `' L$ G( k- {
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor/ {" k8 [0 O; @# K9 u1 `
4、在右邊窗格中，雙擊“Start”。
5、在“數值數據”框中，將原始數值“3”改成“4”。（如果想恢復對USB設備的支持，只需將該值改回“3”即可。）
6、退出註冊表編輯器。9 M- {6 b( l9 D+ H; _   C
& y( c, [6 K4 e1 y1 c
. W/ n. B" k" _1 o: E5 g8 U# M( H
! N: E: F5 s! h8 F
9 C- R3 K5 m/ k4 N* b# p
二、局域網用戶禁止USB設備
    以上介紹的是工作組環境中禁用USB存儲設備，但對於某些規模較大的企業網來說，它採用的是域管理模式，並且客戶機數量衆多，逐一手工設置起來非常麻煩。這時您可以利用“GFI   LANguard Portable Storage Control（簡稱GLPSC）”工具來解決這個問題，它不但可以控制域環境中的中USB存儲設備，還能嚴格控制軟驅或刻錄機等設備。/ S+ l9 F4 m6 k! X6 e3 F0 r
1.安裝GLPSC/ {6 X   l) L7 G/ O
+ L. {. Q3 N$ B7 ^& w8 m+ j
以域管理員帳號登錄域控制器後，從http://www.pc173.com/soft/3375.htm下載GLPSC工具。運行GLPSC安裝程序，彈出安裝配置對話框，同意用戶許可協議後，一路點擊“Next”按鈕，進入到“Protected devices setup（受保護設備配置）”對話框，接下來指定企業網內受到保護和限制的存儲設置，如USB設備、軟驅或光驅設備，這裏一定要在“Devices Type”框中選中“Removable Storage Media e.g.USB…”選項，當然要想限制軟驅和光驅等存儲設備，也可以選中“Floppy Disk”和“CD-ROM/DVD-ROM”這兩個選項。" R/ s. ~' h3 l
7 ^* n% {3 P$ d% k' L! o   S& u
然後進入到“Access control agents（訪問控制代理）”對話框，在這裏一定要選擇“Active Directory global security groups”選項，這樣GLPSC工具才能和AD活動目錄完美結合，網管才能通過域帳號來限制和管理用戶對USB存儲設備的使用。   [5 ?% t3 P   U8 q, }1 a# _
7 k7 d& _: Z& W, u8 _3 N6 y
最後進入到“Access control groups setup”對話框，選中“Create the control groups”選項，爲GLPSC工具創建一個初始化控制組，這樣就完成整個安裝過程。2 P0 G+ J4 Y   Y6 q; Z7 i
2.設置訪問權限. @- A   q/ \; r7 z

默認情況下，所有員工是被禁止使用USB存儲設備的。對於某些特殊的員工，要想使用USB存儲設備，網管只要將該員工域帳號加入到“GFI_LPSC_REMOVABLE”控制組中即可，，當然也可以採用手工逐個添加域用戶的方法。

    這裏筆者使用手工添加法，如只允許名爲“rtj.net\yanpi”域用戶使用USB存儲設備。在GLPSC管理控制檯窗口中依次點擊“Access Permissions Removable Media”選項後，在“Authorized users（授權用戶）”框中選中“Allow only the users and members of the groups below to Access the devices”單選項，然後點擊“Add Active Directory user”按鈕，將“rtj.net\yanpi”域用戶添加到列表框中。6 w+ }& B6 x( i8 D. H' N* s, u

這樣以來，企業網中只有“rtj.net\yanpi”域用戶可以使用USB存儲設備，而其它用戶都被禁用，如果想要別的用戶可以使用USB存儲設備，按照以上步驟操作即可。! M4 `$ N0 N* Y$ k
3.安裝客戶代理

    下面還需要爲域中的客戶機安裝“客戶代理”程序。在GLPSC管理控制檯窗口中，依次點擊“ToolsDeploy”項目，在右側的框體中切換到 “Deployment targets”標籤頁，點擊“Addlist of computers from domain”後，彈出“選擇計算機”對話框，選中域中所有的客戶機，點擊“OK”按鈕，最後點擊底部的“Start”按鈕，就開始爲域中所有的客戶機遠程安裝和配置客戶代理程序了。 ( v( D6 U* J! x5 S
- K/ t: r: |8 V. ~& k
小提示：默認情況下，客戶代理程序安裝完成後，域用戶機器需要重新啓動，爲避免影響員工工作，可以取消“Options”框體中的“Reboot computers after Deployment”選項鉤選，這樣安裝完成後，客戶機只會彈出警告對話框，不會重新啓動。

    完成以上步驟後，網管就能嚴格控制員工對USB存儲設備使用了，只有經過網管授權的員工，才能正常訪問USB存儲設備，而其它員工都是被禁止的。