為了防止病毒傳播或資料外泄,很多網(wǎng)吧、學(xué)校和公司的電腦都采取不安裝軟驅(qū)、光驅(qū)的方法來預(yù)防。但是USB移動(dòng)存儲(chǔ)的出現(xiàn)使病毒傳播或資料外泄更難以防范,這一直是管理員頭疼的事情。為了禁用或管理USB接口,很多人都是在CMOS中禁止USB接口并設(shè)置密碼,更有甚者用電烙鐵取下主板上的USB接口,這些都不是簡便的方法,尤其是針對域中的多臺(tái)計(jì)算機(jī),工作量就更大了。下面筆者將介紹如何在一臺(tái)或多臺(tái)電腦上禁用和管理USB接口的方法。
一、在WindowsXP中禁用和管理USB接口
1. 計(jì)算機(jī)未安裝USB設(shè)備
這種情況可以采取將%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf兩個(gè)文件設(shè)置其用戶的控制權(quán)限。
Step1:右擊這兩個(gè)文件,選擇“屬性→安全→高級(jí)”,在“權(quán)限”頁面中取消“從父項(xiàng)繼承那些可以應(yīng)用到子對象的權(quán)限項(xiàng)目,包括那些在此明確定義的項(xiàng)目”復(fù)選框。
Step2:在“安全”頁面中,選擇要屏蔽的用戶或用戶組,在“完全控制”中選擇“拒絕”復(fù)選框,然后單擊“確定”。
這種通過分配權(quán)限的方法,可以指定哪些用戶可以使用USB設(shè)備,哪些用戶不可以使用USB設(shè)備,和下面的“Windows NT以上系統(tǒng)通用方法”一樣,靈活性較大,所以建議采用該方法限制用戶安裝USB設(shè)備。
2. 計(jì)算機(jī)已安裝了USB設(shè)備
這種情況可以通過修改注冊表來實(shí)現(xiàn)。方法是修改注冊表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的“Start”值,改為十六位進(jìn)制數(shù)值“4”。
該方法修改后,當(dāng)用戶將USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí),該設(shè)備將無法運(yùn)行。
二、Windows NT以上系統(tǒng)通用方法
運(yùn)行注冊表編輯器,找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR鍵,取消System的所有控制權(quán)。如果要分配控制權(quán),只需要對相應(yīng)用戶設(shè)置控制權(quán)限就可以了。
小提示:Windows 2000中要設(shè)置注冊表的控制權(quán)限,需用Regedt32.exe注冊表編輯器。
三、禁止和管理域中多臺(tái)計(jì)算機(jī)USB設(shè)備的使用
方法很簡單,就是在域控制器上通過組策略限制用戶對“Windows NT以上系統(tǒng)通用方法”中注冊表鍵的控制權(quán)即可。