电脑技术学习

把好USB接口 防止资料外泄

dn001
  为了防止病毒传播或资料外泄,很多网吧、学校和公司的电脑都采取不安装软驱、光驱的方法来预防。但是USB移动存储的出现使病毒传播或资料外泄更难以防范,这一直是管理员头疼的事情。为了禁用或管理USB接口,很多人都是在CMOS中禁止USB接口并设置密码,更有甚者用电烙铁取下主板上的USB接口,这些都不是简便的方法,尤其是针对域中的多台计算机,工作量就更大了。下面笔者将介绍如何在一台或多台电脑上禁用和管理USB接口的方法。

  一、在WindowsXP中禁用和管理USB接口

  1. 计算机未安装USB设备

  这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。

  Step1:右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。

  Step2:在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后单击“确定”。

  这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的“Windows NT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。

  2. 计算机已安装了USB设备

  这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制数值“4”。

  该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。

  二、Windows NT以上系统通用方法

  运行注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消System的所有控制权。如果要分配控制权,只需要对相应用户设置控制权限就可以了。

  小提示:Windows 2000中要设置注册表的控制权限,需用Regedt32.exe注册表编辑器。

  三、禁止和管理域中多台计算机USB设备的使用

  方法很简单,就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控制权即可。

标签: