保密要做好,請把USB的門口“守”好

    為了防止病毒傳播或資料外泄，很多網(wǎng)吧、學(xué)校和公司的電腦都采取不安裝軟驅(qū)、光驅(qū)的方法來預(yù)防。但是USB移動(dòng)存儲(chǔ)的出現(xiàn)使病毒傳播或資料外泄更難以防范，這一直是管理員頭疼的事情。為了禁用或管理USB接口，很多人都是在CMOS中禁止USB接口并設(shè)置密碼，更有甚者用電烙鐵取下主板上的USB接口，這些都不是簡便的方法，尤其是針對域中的多臺(tái)計(jì)算機(jī)，工作量就更大了。下面筆者將介紹如何在一臺(tái)或多臺(tái)電腦上禁用和管理USB接口的方法。

    一、在WindowsXP中禁用和管理USB接口

　　1. 計(jì)算機(jī)未安裝USB設(shè)備

　　這種情況可以采取將%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf兩個(gè)文件設(shè)置其用戶的控制權(quán)限。

　　Step1：右擊這兩個(gè)文件，選擇“屬性→安全→高級(jí)”，在“權(quán)限”頁面中取消“從父項(xiàng)繼承那些可以應(yīng)用到子對象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目”復(fù)選框。

Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復(fù)選框，然后單擊“確定”。

　　這種通過分配權(quán)限的方法，可以指定哪些用戶可以使用USB設(shè)備，哪些用戶不可以使用USB設(shè)備，和下面的“Windows NT以上系統(tǒng)通用方法”一樣，靈活性較大，所以建議采用該方法限制用戶安裝USB設(shè)備。

　　2. 計(jì)算機(jī)已安裝了USB設(shè)備

　　這種情況可以通過修改注冊表來實(shí)現(xiàn)。方法是修改注冊表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的“Start”值，改為十六位進(jìn)制數(shù)值“4”。

　　該方法修改后，當(dāng)用戶將USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí)，該設(shè)備將無法運(yùn)行。

　　二、Windows NT以上系統(tǒng)通用方法

　　運(yùn)行注冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR鍵，取消System的所有控制權(quán)。如果要分配控制權(quán)，只需要對相應(yīng)用戶設(shè)置控制權(quán)限就可以了。

　　小提示：Windows 2000中要設(shè)置注冊表的控制權(quán)限，需用Regedt32．exe注冊表編輯器。

　　三、禁止和管理域中多臺(tái)計(jì)算機(jī)USB設(shè)備的使用

　　方法很簡單，就是在域控制器上通過組策略限制用戶對“Windows NT以上系統(tǒng)通用方法”中注冊表鍵的控制權(quán)即可。