作者:大势至 日期:2016.4.22
现在U盘的存储空间越来越大,动辄都是几十G的存储空间,同时读写速度越来越快,可以轻易将电脑中的大量文件复制到U盘里面。这虽然方便了电脑文件的保存,便于文件传输,但同时也使得员工可以轻松通过U盘拷贝公司电脑大量的文件携带出去,用于个人目的,从而给公司电脑文件安全带来了巨大的风险。为此,公司局域网要监控U盘的使用,尤其是一些涉密行业,电脑文件往往是单位的无形资产和商业机密,一旦泄露将会给企业带来巨大的损失。为此,我们需要有效控制U盘的使用,防止U盘泄密的行为。
那么,公司局域网如何监控U盘使用,实现电脑监控U盘拷贝资料的行为呢?一般有两种方法可以实现:
方法一、公司电脑禁止U盘使用、屏蔽电脑USB端口的使用,从而禁用USB存储设备。
很多涉密行业都是完全禁止电脑使用USB存储设备,防止通过U盘拷贝电脑文件。而禁用电脑U盘使用、屏蔽USB存储设备的方法很多,一般是通过注册表禁止U盘、组策略禁用U盘、禁用USB存储设备的方式来实现的。操作也比较简单,方法如下:
1、注册表禁用USB存储设备的设置方法。
打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。较早个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04 00 00 00;要关闭D盘,则改为08 00 00 00,若要关闭C盘和D盘,则改为0C 00 00 00(C是十六进制,转成十进制就是12)。
理解了原理后,下面以我的电脑为例说明如何操作:我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以我的“NoDrives”值为“02 ff ff ff”,隐藏了B、I到Z盘。
重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为“02 ff ff ff”,也就是说其值与“NoDrives”相同。 这样一来,既看不到U盘符也访问不到U盘了。
2、组策略禁用U盘、禁止移动硬盘的方法。
点击开始,运行,输入组策略命令gpedit.msc,打开组策略编辑器,找到本地组策略编辑器,选择计算机配置---管理模板---系统---设备安装---设备安装限止项,在右边就可以设置:禁止安装可移动设备,如图:
组策略禁止使用U盘 保护文件安全方法
通过双击上面的禁止安装可移动设备,然后再配置中选择已启用,即可在win7下禁止使用U盘、移动硬盘的使用。
虽然通过注册表或组策略可以禁止U盘的使用,但是完全禁用U盘也会给工作带来一些负面影响,毕竟通过盘拷贝、存储文件也有很多便利。因此,这种情况下,可以参考方法二。
方法二、通过U盘监控软件来监控拷贝到U盘的文件,防止U盘泄密。
目前国内有很多专门的U盘管理软件、电脑USB存储设备禁用软件可以实现监控U盘使用,防止U盘复制电脑文件的行为。例如有一款“大势至USB端口控制软件”(下载地址:
http://www.grablan.com/monitorusb.html),是一款专门禁止U盘使用、屏蔽USB存储设备的软件,不仅可以完全禁止USB存储设备的使用,而且还可以只让使用特定的U盘,同时还可以只让从U盘向电脑文件复制文件而禁止从电脑向U盘复制文件,或者从电脑向U盘复制文件时必须输入密码,从而极大地保护了电脑文件的安全。如下图所示:
同时,通过这个软件还可以禁止电脑发送邮件、禁止网盘上传电脑文件、禁止FTP文件上传以及禁止QQ发送文件等,防止通过网络途径泄密的行为。
此外,通过这个软件还可以禁止注册表、禁止组策略、禁止计算机管理、禁止PE盘启动系统、禁止光驱启动系统以及禁止开机按F8键进入操作系统安全模式等,从而可以防止一些懂技术的员工试图通过修改操作系统的相关设置来达到重新启用U盘的目的,进一步保护了操作系统安全,间接保护了电脑文件安全。
总之,无论是通过注册表、组策略还是通过U盘监控软件都可以实现保护电脑文件安全,防止数据泄密的目的,具体采用哪种举措,企事业单位可以根据自己的需要进行抉择。
