如何屏蔽USB接口、禁用USB端口的使用,防止U盘病毒传播?
作者:跨栏儿 日期:2014-1-16
企业安全事故频发,使得企业对局域网安全愈加敏感。事实上,USB随意拷贝、外接设备随意接入往往是机密资料外泄的源头。要做好局域网安全管理,屏蔽USB接口、禁用USB端口的使用,以防止U盘病毒传播、限制员工随意使用USB存储设备是非常重要的。那么,如何禁止USB接口文件拷贝,又不妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备呢?笔者总结了三个较佳方案:
方案一:BIOS里全部关闭USB端口 或用管理员帐号登陆,设备管理器里停用
评测:端口全关了,会导致其他设备用不了,打印机、鼠标键盘、扫描仪、加密狗等需要使用的外接设备会受影响。
方案二:从操作系统注册表下手,批处理执行管理
1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符
2、禁用USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,(这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置)
用两条批处理指令实现:
copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul
3、禁止将电脑里的资料拷贝到USB存储设备:主要方法就是把USB存储设备设置只读的
打开注册表:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1
到此,基本上较早个过程基本完成,实现的功能包括:禁止使用USB存储设备,不影响其他USB外设,就算要用,也把USB 存储设备干成残废(只读)。
那么当部分用户需要使用USB存储设备,如何开启呢?逆向操作以上步骤就可以了。
评测:命令符号复杂,容易操作失误。还有就是可以随意被用户更改,一旦用户发现禁用,很可能也用逆向操作解决禁用。
方案三:大势至USB控制系统
大势至USB端口控制软件(下载地址:http://www.grablan.com/monitorusb.html)是当前国内监控USB接口软件里面功能较强大、安装较快捷、使用较简单的USB监控软件,可以完全禁用USB存储设备,而不影响USB鼠标和键盘的使用。同时还可以对电脑操作系统的关键位置进行全面的防护,可以彻底完全实现管理USB接口的使用而不会被使用者或第三方软件所干扰。
使用方法非常简单,通过在电脑上安装之后,点点鼠标就可以完全禁用USB设备,如禁用U盘、限制移动硬盘、屏蔽手机等USB存储设备,而不影响USB鼠标键盘的使用,操作非常简单、有效。同时,“大势至USB控制系统”,还可以有效禁用操作系统的关键位置,如禁用注册表、禁用组策略、禁用设备管理器、禁用任务管理器,甚至还可以禁止从U盘启动操作系统、禁止从光驱启动操作系统等,非常强大。
当然,大势至USB也不是十全十美,客户端程序是所有管控软件无法规避的技术难题。但这并不影响USB控制的精确性,它的超强密码隐藏功能使得用户无法察觉,卸载更改也是完全不可能。
总之,USB端口控制、外接设备禁用等局域网管理问题解决方案很多,企业需要根据各自的安全要求级别找到较适合自己的方法就可以了。
