有时候处于电脑文件管理都需要,我们需要禁用USB存储设备,防止员工随意使用U盘复制电脑文件,窃取单位无形资产和商业机密。那么,如何禁用USB存储设备、禁止U盘使用呢?可以通过以下两种方法:
有时候处于电脑文件管理都需要,我们需要禁用USB存储设备,防止员工随意使用U盘复制电脑文件,窃取单位无形资产和商业机密。那么,如何禁用USB存储设备、禁止U盘使用呢?可以通过以下两种方法:
方法一、AD组策略禁用usb接口、组策略禁止U盘使用的方法
我们要禁用USB,无外乎是不允许电脑在插入USB设备时自动进行安装。Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个就是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。知道了这些,我们就可以动手完成USB的禁用工作了。(我的域控制器为Windows 2003 Server SP1 CN)
1、打开Active Directory用户和计算机;
2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;
3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;
4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%/inf/usbstor.inf“,确定;
6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;
7、在“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;
8、除此之外,重复5、6、7步,对“%systemroot%/inf/usbstor.PNF“进行设置;
9、关闭组策略编辑器;
10、使用“gpupdate /force”,强行刷新策略。
至此,完成对USB的禁用。但这个方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U盘等设备,那还需要修改注册表来达到目的。需要修改的注册表键值位于:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/UsbStor(Windows 2000下,键值在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub),展开后,会看到一个start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来加以运行即可。
方法二、通过U盘禁用工具软件、禁用USB设备软件来禁止usb存储设备使用
虽然通过组策略禁止USB端口、组策略屏蔽U盘使用,可以起到一定的信息安全防泄密的功能。但是,这种方法毕竟是通过操作系统的组策略实现的,这就使得一些懂技术的员工也同样可以反向修改组策略的方法来达到重新使用USB存储设备的目的。同时,通过组策略限制U盘使用的方法也比较复杂,如果想使用U盘还需要频繁修改。因此,你还可以通过一些USB禁用软件、电脑USB设备屏蔽软件来实现。
例如有一款“大势至USB端口屏蔽软件”(下载地址:http://www.grabsun.com/monitorusb.html),只需要在电脑安装之后,就可以禁止U盘、禁用usb存储设备。同时,还可以只让使用某些U盘、只让使用指定的U盘,实现了U盘的灵活管理;此外,还可以实现只让从U盘向电脑复制文件,而禁止从电脑向U盘复制文件,或者从电脑向U盘拷贝文件时必须输入密码,从而保护老电脑文件安全。如下图所示:
此外,通过本系统还可以实现禁止邮件附件上传、禁止网盘上传文件、禁止QQ发送文件以及禁止FTP文件上传等,从而保护电脑文件安全,防止通过网络途径泄密。
总之,有效禁止优盘、屏蔽USB存储设备的使用,一方面可以通过组策略、注册表来实现;另一方面,也可以通过一些U盘禁用工具软件、屏蔽usb端口软件来实现,具体采用哪种方法,企事业单位可以根据自己的具体情况选择。
网友评论