文章摘要:在公司局域网中,有时候出于商业机密保护的需要,我们需要禁止员工电脑USB接口的使用,通过屏蔽USB接口,可以防止员工通过U盘、移动硬盘或者手机等带有存储功能的设备来私自拷贝公司的商业机密,从而影响了公司的稳健经营。而传统的禁止电脑U口使用的方法通常是通过注册表或组策略来限制U盘等USB存储工具,这种方法虽然有一定的作用,但是很容易被员工反向修改从而绕开限制而重新可以使用U盘、移动硬盘等USB设备。
在公司局域网中,有时候出于商业机密保护的需要,我们需要禁止员工电脑USB接口的使用,通过屏蔽USB接口,可以防止员工通过U盘、移动硬盘或者手机等带有存储功能的设备来私自拷贝公司的商业机密,从而影响了公司的稳健经营。而传统的禁止电脑U口使用的方法通常是通过注册表或组策略来限制U盘等USB存储工具,这种方法虽然有一定的作用,但是很容易被员工反向修改从而绕开限制而重新可以使用U盘、移动硬盘等USB设备。同时,对于规模较大的局域网,如果一个一个修改电脑的组策略或注册表将是一件非常繁杂的工作,会极大的地增加网管员的工作负荷。因此,如果你局域网电脑数量较少、同时员工也相对缺乏计算机相关知识的情况下,可以通过此种方法;而一旦公司电脑数量较多,则较好通过部署专业的禁用USB接口的软件来屏蔽USB接口的使用,从而达到屏蔽U盘使用的目的。笔者在此推荐一款叫做“洞察眼USB控制系统”的电脑usb管理软件(详细了解:http://www.dongchayan.com/monitorusb.html),可以轻松帮助网管员达到禁止电脑使用U盘、屏蔽USB端口使用的目的。
通过洞察眼USB控制软件,你可以轻松实现监控电脑U口使用、禁用电脑USB端口的目的。如下图所示:
上一篇 : 洞察眼教你如何解决ip冲突、如何进行ip-mac绑定?
图:洞察眼USB屏蔽软件
1、USB设备是使用USB接口的,在网上找了下,得知它使用如下两个配置文件或是注册表文件, usbstor.inf和usbstor.png。注册表文件是: Windows 2000下 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub 或是 winxp ,win2k3下 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor 2、清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB设备的目 的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。 以下两种实验均在WINDOWS 2003实验通过 通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里 会有变化的)嘿嘿。 如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统, 单击右键――添加文件或文件夹。找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之 然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然, 这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图 确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设 定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会 生效了。 如果,使用过了USB设备了,(或者不是域控怎么办?)呵呵,当然是通过注册表键值来搞定了! 找到键值所在的注册表位置,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub (2000系统下)或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor(XP or 2K3 ) ,在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗 口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了; 如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4!!! 如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB 大容量存储驱动程序" 重启机器吧,就可以了。 另注,如果是想省些功夫,可以通过组策略来分发启动脚本的方式来达到禁用的目的!各位去试吧! 如果是几台独立服务器或是PC机,也可以直接设置c:\windows\inf\usbstor.inf 和usbstor.pnf这两个文件的权限的!! 如果较多独立服务器或是PC机的,干脆就做个注册表文件,提供他们下载,导入就行了!!嘿嘿,要重启才能生效! 而如果通过洞察眼USB访问控制软件可以不用重启电脑,只需要点击鼠标进行设置就可以了。同时,在公司电脑数量较多的情况下,可以用洞察眼USB监控工具的网络版,通过在局域网被控制电脑上安装客户端,网管员电脑安装管理端的方式,可以远程控制局域网各个电脑USB接口的使用或禁用,从而进一步实现了更为便捷、更为高效的管理。总之,洞察眼管理电脑USB接口使用的软件,是当前国内限制USB接口使用、禁用u盘较方便、较有效的软件,可以轻松保护单位无形资产和商业机密的目的。
