在公司局域网中,处于网络安全的考虑,常常需要封堵电脑USB接口的使用,尤其是禁止U盘、禁用USB存储设备等,防止有人通过U盘、移动硬盘或手机等复制电脑文件的行为。这就需要对插入电脑USB接口的设备进行有效的管理,需要完全禁用U盘、禁止移动硬盘的使用,同时还不能影响非USB存储设备的使用,如网银U盾、USB鼠标键盘和加密狗的使用,从而可以实现USB端口的精确管理。
那么,公司局域网如何有效管理U口、屏蔽USB存储工具的使用呢?笔者以为可以通过以下两种方法来实现:
一、通过注册表封U口、注册表封USB口的使用,或者通过组策略封USB接口、组策略禁用USB端口的使用。
1、注册表封U口、封USB口的方法
找到键值所在的注册表位置,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub
(2000系统下)或HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbstor(XP or 2K3),在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了;如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4。
如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,/
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,/
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储驱动程序"
重启机器就可以了。
图:注册表禁用USB存储设备
2、通过组策略禁用USB端口、封USB接口使用。
方法:进入组策略编辑器(开始—运行,输入“gpedit.msc”,回车),依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%/inf/usbstor.inf“,确定;
图:组策略禁用u口的方法
新闻热点
疑难解答
