爲了防止病毒傳播或資料外泄,很多網吧、學校和公司的電腦都採取不安裝軟驅、光驅的方法來預防。但是USB移動存儲的出現使病毒傳播或資料外泄更難以防範,一直是管理員頭疼的事情。爲了禁用或管理USB接口,很多人都是在CMOS中禁止USB接口並設置密碼,更有甚者用電烙鐵取下主板上的USB接口,這些都不是簡便的方法,尤其是針對域中的多臺計算機,工作量就更大了。下面筆者將介紹如何在一臺或多臺電腦上禁用/管理USB接口的方法。
一、在WindowsXP中禁用/管理USB接口
1、計算機未安裝USB設備
這種情況可以採取將%SystemRoot%Inf下的U*stor.pnf和U*stor.inf兩個文件設置其用戶的控制權限。
step1:右擊這兩個文件,選擇"屬性"——"安全"——"高級",在"權限"頁面中取消"從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目"複選框。
step2:在"安全"頁面中,選擇要屏蔽的用戶或用戶組,在"完全控制"中選擇"拒絕"複選框,然後單擊"確定"。
這種方法通過分配權限的方法,可以指定哪些用戶可以使用USB設備,哪些用戶不可以使用USB設備,和下面的"WindowsNT以上系統通用方法"一樣,靈活性較大,所以建議採用該方法限制用戶安裝USB設備。
2、計算機已安裝了USB設備
這種情況可以通過修改註冊表來實現。方法是修改註冊表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的"Start"值,改爲十六位進制數值"4"。
該方法修改後,當用戶將USB存儲設備連接到計算機時,該設備將無法運行。
二、WindowsNT以上系統通用方法
運行註冊表編輯器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵,取消system的所有控制權。如果要分配控制權,只需要對相應用戶設置控制權限就可以了。
小提示:Windows2000中要設置註冊表的控制權限,需用regedt32.exe註冊表編輯器。
三、禁止/管理域中多臺計算機USB設備的使用
方法很簡單,就是在域控制器上通過組策略限制用戶對"WindowsNT以上系統通用方法"中註冊表鍵的控制權即可。
方法一:BIOS設置法
重新啓動計算機,在開機過程中,點擊鍵盤上的“Delete”鍵,進入BIOS設置界面,選擇“Integrated Peripherals”選項,展開後將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設置爲“Disableed”,即可禁用USB接口。最後別忘記給BIOS設置上一個密碼,這樣他人就無法通過修改註冊表解“鎖”上述設備了。
方法二:註冊表法(適用於Windows XP/2003)
利用該方法可以鎖定電腦上的USB接口,從而達到禁止他人使用閃盤或移動硬盤等可移動存儲設備的目的。
在“運行”對話框中輸入“regedit”,回車後,打開註冊表編輯器,依次展開如下分支[HKEY_LOCAL_MACHINE/SYSTEM/CurrentCntrolSet/Services/USBSTOR],在右側的窗格中找到名爲“Start”的DWORD值,雙擊,在彈出的編輯對話框中將其數值數據修改爲十六位進制數值“4”。點“確定”按鈕並關閉註冊表編輯器,重新啓動計算機,使設置生效。重啓後,當有人將USB存儲設備連接到計算機時,雖然USB設備上的指示燈在正常閃爍,但在資源管理器當中就是無法找到其盤符,因此也就無法使用USB設備了。
提示:“Start”這個鍵是USB設備的工作開關,默認設置爲“3”表示手動,“2”是表示自動,“4”是表示停用
三:註冊表限制法:
如果電腦已經用過USB存儲設備,那麼禁止起來就更加方便了,直接使用註冊表文件進行導入操作即可。
禁止使用USB存儲設備的註冊表內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,/
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,/
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲設備"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR/Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,/
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,/
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,/
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,/
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,/
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
我們將上面的代碼保存成一個以REG爲後綴的文本文件,然後雙擊該文件導入註冊表就完成了禁止該計算機使用USB存儲設備的操作。所有用戶都無法用USB存儲設備了,這點和上面僅僅是根據用戶或用戶組來限制的方法是不同的,效果更好應用範圍更廣。
開啓USB存儲設備使用權限的註冊表內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,/
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,/
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存儲設備"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR/Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,/
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,/
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,/
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,/
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,/
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
我們將上面的代碼保存成一個以REG爲後綴的文本文件,然後雙擊該文件導入註冊表就完成了開啓該計算機使用USB存儲設備的操作。所有用戶都可以使用USB存儲設備。