禁用USB接口.docx
《禁用USB接口.docx》由会员分享,可在线阅读,更多相关《禁用USB接口.docx(9页珍藏版)》请在冰豆网上搜索。
禁用USB接口
方法一,BIOS设置法(快刀斩乱麻法)
进入BIOS设置,选择“IntegratedPeripherals”选项,展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disabled”,即可禁用USB接口。
最后别忘记给BIOS设置上一个密码,这样他人就无法通过修改注册表解“锁”上述设备了。
注意:
这个方法是完全禁止了USB接口,也就是说各种USB接口的设备均不能用了,当然也包括了打印机、U盘和移动盘。
由于此法过于霸道,请慎用。
方法二,禁止闪盘或移动硬盘的启动(适用于windowsXP/2000/2003)
打开注册表编辑器,依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。
(“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
)“确定”按钮并关闭注册表编辑器,重新启动计算机,使设置生效。
重启后,当有人将USB存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器当中就是无法找到其盘符,因此也就无法使用USB设备了。
注意:
此办法只对一部分USB存储设备有效。
方法三,隐藏盘符和禁止查看(适用于windows系统)
打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\windows\CurrentVersion\PloicIE,新建二进制值“NoDrives”,其缺省值均是00000000,表示不隐藏任何驱动器。
键值由四个字节组成,每个字节的每一位(bit)对应从A:
到Z:
的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。
第一个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。
比如要关闭C盘,将键值改为04000000;要关闭D盘,则改为08000000,若要关闭C盘和D盘,则改为0C000000(C是十六进制,转成十进制就是12)。
理解了原理后,下面以我的电脑为例说明如何操作:
我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:
A:
(3.5软盘)、C:
、D:
、E:
、F:
、G:
、H:
(光盘),所以我的“NoDrives”值为“02ffffff”,隐藏了B、I到Z盘。
注意:
重启电脑后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:
(U盘盘符)还是可以访问移动盘的。
到这里大家都看得出“NoDrives”只是障眼法。
管理员可以利用本特点“偷偷”使用。
方法四,禁止安装USB驱动程序
在windows资源管理器中,进入到“系统盘:
windowsinf”目录,找到名为“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,选中“完全控制”后面的“拒绝”复选框,最后点击“确定”按钮。
再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问,其操作过程同上。
完成了以上设置后,该组中的用户就无法安装USB设备驱动程序了,这样就达到禁用的目的。
注意:
要想使用访问控制列表(ACL),要采用NTFS文件系统。
注意:
此办法只对在本电脑未使用过的USB存储设备
方法五,修改注册表
点击“开始,运行”,在运行对话框中输入“regedit”命令,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”,找到“Start”键,双击打开,将其值修改为“4”,点击“确定”按钮后,重新启动系统
“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
这里我使用结束桌面进程的方法可以来刷新注册表,这样我们就不必重启了..呵呵
我把命令写上来..
taskkill/f/imexplorer.exe&&startexplorer.exe
把上面这一句保存为"刷新注册表.bat"
就可以了。
屏蔽USB端口,往往出于一个方面的考虑:
安全。
这个安全包括病毒安全和数据安全。
现在的USB闪存病毒可是猖獗的很,同时,你电脑上面的东西,不希望有人用U盘轻松拷贝走的话,你就得封锁USB端口了。
对很多企业来说,这个的需求倒是不小。
当然,无论是防君子还是小人,对于电脑高手,是防不住的。
下面,看看如何把WindowsVista系统的USB端口给封锁掉。
本文提供了两种方法,每种方法都可以参考,看自己的使用习惯了。
一、手工修改注册表
更改注册表项,包含3个途径也,禁用USB设备启动、禁用向USB设备写入数据、隐藏和禁止查看盘符,下面挨个说明。
1、打开注册表编辑器:
Win键+R键打开运行窗口运行regedit,或者在WindowsVista开始菜单的搜索栏中输入regedit,开启注册表编辑器。
如果弹出UAC提示窗口,则点击确认。
2、在注册表管理器中,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR,在右边窗口里面双击Start这个注册表项,将键值由3改为4,点击确定即可(如果要恢复,将Start注册值由4改为3,即可就能用USB设备了)。
这样,重启后就可以禁用USB设备启动了,在资源管理器中是看不到USB设备的盘符,自然也就更无法使用了。
如图1所示:
图1注册表修改
修改注册表禁用向USB设备写入数据,也可以封锁USB口,实施方法是:
打开注册表编辑器,定位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies,在右侧窗口中创建一个DWORD的表项,名为WriteProtect,值为1;如果没有该注册表分支,可先创建分支(将该值改回0即可能够写入USB数据,否则只能读USB设备中的数据)。
修改后确定即可。
重启机器后,任何想向USB设备中写入数据都会显示错误提示。
如图2所示。
图2修改数值
修改注册表隐藏和禁止查看盘符也起到封锁USB口的目的,实施方法是:
打开注册表编辑器,定位到HKEY_CURRENT_USER\software\micosoft\Windows\CurrentVersion\Ploicies\Explorer,新建一二进制注册表项NoDrives,其值00000000表示不隐藏任何驱动器,设置其值为00ffffff以便隐藏I到Z盘,这样在资源管理器中看不到I到Z盘了;新建一个二进制项NoViewOnDrive,其值定为00ffffff,就达到禁看的目标了(将每个项的值改为00000000,就又可以使用USB设备了)。
大家可以在Vista中创建已受限账户,该账户没有修改注册表的权限,然后把它发给大家使用,这个账户中的USB设备使用就可以是被禁止的,于是就无人能够利用小提示中的改回设置了。
有效的禁用USB端口?
为了公司商业机密资料的安全性,公司里面所有电脑都是没有软驱和光驱的,并且公司的网络出口也是有上网监控。
但是公司一百多台台电脑主板上都有USB端口,这样就给闪盘盗取电脑资料提供了方便。
如果可以在电脑中禁用USB设备,那电脑中的数据就会安全多了。
下面就来介绍几种禁用USB设备的方法。
一.在BIOS中禁用
在主板上我们可以通过BIOS来对USB设备进行控制。
进入BIOS设置界面选中里面的“IntegratedPeripherals”项按回车,进入后再选中“OnChipPCIDevice(s)”后按回车,把里面的“OnChipUSBController”设置为“Disabled”就可以了,但是为了防止一些知道此方法的人来修改该设置,最好再给BIOS设置加上密码,这样就确保万无一失了。
但是这个方法也有一个缺点,就是它禁用了所有的USB设备,如一些USB的鼠标、键盘、打印机等,都无法使用了,且别人也可能通个进入BIOS的方法修改,USB又能恢复正常使用。
二.修改注册表禁用
还有一个方法就是通过修改注册表来实现。
打开注册表文件,依次展开“HKEY_LOCAL_MACHINE\SYS
TEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键,把编辑窗口中的“数值数据”改为“4”,把基数选择为“十六进制”就可以了。
改好后重新启动一下电脑就可以看见效果了。
为了防止别人用相同的方法来破解,我们可以删除或者改名注册表编辑器程序。
提示:
“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
但是这个方法也有一个缺点,用户可以修改注册表再次启用USB。
三.用专用软件禁用
我们还可以通过一些专用的软件来禁止USB设备的使用,如用“瑞世恒华USB加锁王”(下载地址:
)就可以轻松的?
..夜δ芊浅G看蟆?
/a>
使用瑞世恒华USB加锁王的好处:
只能由管理员才能改变USB设置,其他人XX无法改变。
系统一经安装,每次开机都会在后台自动启动,无法恶意删除、终止、卸载或破坏它,保证了电脑使用的安全性
运行注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键,取消System的所有控制权。
如果要分配控制权,只需要对相应用户设置控制权限就可以了。
提示:
Windows2000中要设置注册表的控制权限,需用Regedt32.exe注册表编辑器。
1.计算机未安装USB设备
这种情况可以采取将%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。
Step1:
右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。
Step2:
在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后单击“确定”。
这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备
2.计算机已安装了USB设备
这种情况可以通过修改注册表来实现。
方法是修改注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的“Start”值,改为十六位进制数值“4”。
该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。
如果想要限制用户随意使用USB设备的话,可以通过修改注册表权限来实现。
点击“开始”菜单中的“运行”,输入并执行Regedt.exe命令,打开注册表编辑器,依次展开如下子键:
HKEY_LOCAL_MACHINE\SYSTEM\
ControlSet002\Services\USBSTOR,点击“编辑”菜单中的“权限”,并在打开的该子键权限对话框中取消System的所有控制权。
如果想分配USB控制权,只需要对相应用户设置控制权限就可以啦!
如今优盘的使用很普遍了,无论品牌机还是兼容机,大伙在购置回家后都喜欢搭配上个优盘,拷起东西来很方便。
然而,在单位由于受到商业竞争的原因,大多数机器上是不允许使用优盘的,因为那样老板心里不舒服,担心商业泄密。
这不,最近单位老总要求本人彻底封杀优盘(除了有特权的用户)。
赶快行动吧,不然老板怪罪下来,吃不了可兜着走。
我们单位大多数使用的是window2000、windowxp系统。
Window98所占的比例不多,因此重点放在屏蔽window2000、windowxp上。
关于封杀usb接口的文章在网上挺多的,大多数是通过cmos的修改来屏蔽usb接口,或者是将window系统中的i386文件夹下的设备压缩包彻底删除,再者就是通过停用usb总线控制器。
这些方法有的在达到目的的同时,也阻碍了其他设备的应用,效果不是很友好。
这让我想到了是否应用组策略来实现封杀的目的,因为在原来我曾利用它封杀过某个盘区的使用,当然不是因为私人的物件也是为了产品的保密。
思路很好,那实践一下看看效果如何吧?
首先,在“开始—>运行.”中输入”gpedit.msc”后,便打开了如下图1所示:
我们就是利用“防止从‘我的电脑”访问驱动器“来设置禁止usb接口。
双击打开启用后,发现并不像我们想象的那样驱动盘符都存在,如图2所示:
而且存在这么一个问题,每个电脑的分区数不同,分配给优盘的区号也不同,怎样将其封杀呢?
经过一段时间的摸索,我找到了控制组策略的模板文件,它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm,用笔记本打开后,截图如图3:
呵呵,发现了吧?
在“NAME!
!
×OnlyVALUENUMERIC×”语句,前面的好似一个定义,跟我们在图2看到的效果相似,而且有这么句“low26bitson(1bitperdrive)”,意思说“26位每一个设备占1位”。
每个分区是按着1、2、4、8、16、32、等逐步递增,于是经过试验,果然如此,只要将除了硬盘分区保留外,我们将所有的字母写上,同时算出数值。
即将:
NAME!
!
EFGHIONLYVALUENUMERIC496
(注:
我这里只是举了5个盘符,为什么?
后面说明)
将上面的语句在“!
!
NoDrives_Help”和“!
!
NoViewOnDrive”两个地方上填写。
并且在图4所示的位置,也要加入一行:
EFGHIONLY=“限制驱动器E、F、G、H、I”。
否则,在你重新打开gpedit时会出错误信息。
当所有工作做完后,保存该文档,打开组策略,看看效果:
图5所示:
呵呵,是吧?
在下拉菜单中出现了我们设置的驱动器号了。
将上面的语句在“!
!
NoDrives_Help”和“!
!
NoViewOnDrive”两个地方上填写。
并且在图4所示的位置,也要加入一行:
EFGHIONLY=“限制驱动器E、F、G、H、I”。
否则,在你重新打开gpedit时会出错误信息。
当所有工作做完后,保存该文档,打开组策略,看看效果:
图5所示:
呵呵,是吧?
在下拉菜单中出现了我们设置的驱动器号了。
升级会员 