禁用USB接口.docx

1、禁用USB接口方法一，BIOS设置法（快刀斩乱麻法）进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用USB接口。最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表 解“锁”上述设备了。注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了打印机、U盘和移动盘。由于此法过于霸道，请慎用。方法二，禁止闪盘或移动硬盘的启动（适用于windows XP/2000/2003）打开注册表编辑器，

2、依次展开如下分支 HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR，在右侧的窗格中找到名为 “Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。(“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。) “确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。注意：此办法只对一部分USB

3、存储设备有效。方法三，隐藏盘符和禁止查看（适用于windows系统）打开注册表编辑器，依次展开如下分支 HKEY_CURRENT_USERsoftwareMicrosoftwindowsCurrentVersionPloicIE，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表 Y和Z。比如要关闭C

4、盘，将键值改为04 00 00 00；要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00(C是十六进制，转成十进制就是12)。理解了原理后，下面以我的电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5 个分区)、一个光驱，盘符分布是这样的：A:（3.5软盘）、C:、D:、E:、F:、G:、H:（光盘），所以我的“NoDrives”值为“02 ff ff ff”，隐藏了B、I到Z盘。注意：重启电脑后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:（U盘盘符）还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法。管理员可以

5、利用本特点“偷偷”使用。 方法四，禁止安装USB驱动程序在windows资源管理器中，进入到“系统盘:windowsinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。 注意：要想使用访问控制列表(ACL)，要

6、采用NTFS文件系统。注意：此办法只对在本电脑未使用过的USB存储设备方法五，修改注册表 点击“开始，运行”，在运行对话框中输入“regedit”命令，回车后弹出注册表编辑器，依次展开 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”，找到“Start”键，双击打开，将其值修改为“4”，点击“确定”按钮后，重新启动系统 “Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。 这里我使用结束桌面进程的方法可以来刷新注册表,这样我们就不必重启了.呵呵 我把命令写上来. taskk

7、ill /f /im explorer.exe & start explorer.exe 把上面这一句保存为刷新注册表.bat 就可以了。屏蔽USB端口，往往出于一个方面的考虑：安全。这个安全包括病毒安全和数据安全。现在的USB闪存病毒可是猖獗的很，同时，你电脑上面的东西，不希望有人用U盘轻松拷贝走的话，你就得封锁USB端口了。对很多企业来说，这个的需求倒是不小。当然，无论是防君子还是小人，对于电脑高手，是防不住的。下面，看看如何把Windows Vista系统的USB端口给封锁掉。本文提供了两种方法，每种方法都可以参考，看自己的使用习惯了。一、手工修改注册表更改注册表项，包含3个途径也，禁用

8、USB设备启动、禁用向USB设备写入数据、隐藏和禁止查看盘符，下面挨个说明。1、打开注册表编辑器：Win键+R键打开运行窗口运行regedit，或者在Windows Vista开始菜单的搜索栏中输入regedit，开启注册表编辑器。如果弹出UAC提示窗口，则点击确认。2、在注册表管理器中，定位到HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR，在右边窗口里面双击Start这个注册表项，将键值由3改为4，点击确定即可（如果要恢复，将Start注册值由4改为3，即可就能用USB设备了）。这样，重启后就可以禁用USB设备启动了，在资源管理

9、器中是看不到USB设备的盘符，自然也就更无法使用了。如图1所示：图1 注册表修改修改注册表禁用向USB设备写入数据，也可以封锁USB口，实施方法是：打开注册表编辑器，定位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies，在右侧窗口中创建一个DWORD的表项，名为WriteProtect，值为1；如果没有该注册表分支，可先创建分支（将该值改回0即可能够写入USB数据，否则只能读USB设备中的数据）。修改后确定即可。重启机器后，任何想向USB设备中写入数据都会显示错误提示。如图2所示。图2 修改数值修改注册

10、表隐藏和禁止查看盘符也起到封锁USB口的目的，实施方法是：打开注册表编辑器，定位到HKEY_CURRENT_USERsoftwaremicosoftWindowsCurrentVersionPloiciesExplorer，新建一二进制注册表项NoDrives，其值00 00 00 00表示不隐藏任何驱动器，设置其值为00 ff ff ff以便隐藏I到Z盘，这样在资源管理器中看不到I到Z盘了；新建一个二进制项NoViewOnDrive，其值定为00 ff ff ff，就达到禁看的目标了（将每个项的值改为00 00 00 00，就又可以使用USB设备了）。大家可以在Vista中创建已受限账户，该

11、账户没有修改注册表的权限，然后把它发给大家使用，这个账户中的USB设备使用就可以是被禁止的，于是就无人能够利用小提示中的改回设置了。有效的禁用USB端口？ 为了公司商业机密资料的安全性，公司里面所有电脑都是没有软驱和光驱的，并且公司的网络出口也是有上网监控。但是公司一百多台台电脑主板上都有USB端口，这样就给闪盘盗取电脑资料提供了方便。如果可以在电脑中禁用USB设备，那电脑中的数据就会安全多了。下面就来介绍几种禁用USB设备的方法。一在BIOS中禁用在主板上我们可以通过BIOS来对USB设备进行控制。进入BIOS设置界面选中里面的“Integrated Peripherals”项按回车，进入后

12、再选中“OnChip PCI Device(s)”后按回车，把里面的“OnChip USB Controller”设置为“Disabled”就可以了，但是为了防止一些知道此方法的人来修改该设置，最好再给BIOS设置加上密码，这样就确保万无一失了。但是这个方法也有一个缺点，就是它禁用了所有的USB设备，如一些USB的鼠标、键盘、打印机等，都无法使用了，且别人也可能通个进入BIOS的方法修改，USB又能恢复正常使用。二修改注册表禁用还有一个方法就是通过修改注册表来实现。打开注册表文件，依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusb

13、ehci”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“4”，把基数选择为“十六进制”就可以了。改好后重新启动一下电脑就可以看见效果了。为了防止别人用相同的方法来破解，我们可以删除或者改名注册表编辑器程序。提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。但是这个方法也有一个缺点，用户可以修改注册表再次启用USB。三用专用软件禁用我们还可以通过一些专用的软件来禁止USB设备的使用，如用“瑞世恒华USB加锁王”（下载地址：）就可以轻松的?.夜芊浅看蟆?/a使用瑞世恒华USB加锁王的好处：只能由管理员才能改变USB设置，其

14、他人XX无法改变。系统一经安装，每次开机都会在后台自动启动，无法恶意删除、终止、卸载或破坏它，保证了电脑使用的安全性运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。提示：Windows 2000中要设置注册表的控制权限，需用Regedt32exe注册表编辑器。1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。Step1：右击

15、这两个文件，选择“属性安全高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备2. 计算机已安装了USB设备这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改为十六位进制数值“4”。该方法修改后，当用户将US

16、B存储设备连接到计算机时，该设备将无法运行。如果想要限制用户随意使用USB设备的话，可以通过修改注册表权限来实现。点击“开始”菜单中的“运行”，输入并执行Regedt.exe命令，打开注册表编辑器，依次展开如下子键：HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR，点击“编辑”菜单中的“权限”，并在打开的该子键权限对话框中取消System的所有控制权。如果想分配USB控制权，只需要对相应用户设置控制权限就可以啦！ 如今优盘的使用很普遍了，无论品牌机还是兼容机，大伙在购置回家后都喜欢搭配上个优盘，拷起东西来很方便。然而，在单位由于受到商业竞

17、争的原因，大多数机器上是不允许使用优盘的，因为那样老板心里不舒服，担心商业泄密。这不，最近单位老总要求本人彻底封杀优盘(除了有特权的用户)。赶快行动吧，不然老板怪罪下来，吃不了可兜着走。 我们单位大多数使用的是window2000、windowxp系统。Window98所占的比例不多，因此重点放在屏蔽window2000、windowxp上。关于封杀usb接口的文章在网上挺多的，大多数是通过cmos的修改来屏蔽usb接口，或者是将window系统中的i386文件夹下的设备压缩包彻底删除，再者就是通过停用usb总线控制器。这些方法有的在达到目的的同时，也阻碍了其他设备的应用，效果不是很友好。这让

18、我想到了是否应用组策略来实现封杀的目的，因为在原来我曾利用它封杀过某个盘区的使用，当然不是因为私人的物件也是为了产品的保密。思路很好，那实践一下看看效果如何吧? 首先，在“开始运行.”中输入”gpedit.msc”后，便打开了如下图1所示: 我们就是利用“防止从我的电脑”访问驱动器“来设置禁止usb接口。双击打开启用后，发现并不像我们想象的那样驱动盘符都存在，如图2所示: 而且存在这么一个问题，每个电脑的分区数不同，分配给优盘的区号也不同，怎样将其封杀呢? 经过一段时间的摸索，我找到了控制组策略的模板文件，它就是$Systemroot$System32GroupPolicyAdmsystem.

19、adm，用笔记本打开后，截图如图3: 呵呵，发现了吧?在“NAME!Only VALUENUMERIC ”语句，前面的好似一个定义，跟我们在图2看到的效果相似，而且有这么句“low 26 bits on(1bit per drive)”，意思说“26位每一个设备占1位”。每个分区是按着1、2、4、8、16、32、等逐步递增，于是经过试验，果然如此，只要将除了硬盘分区保留外，我们将所有的字母写上，同时算出数值。 即将: NAME! EFGHIONLY VALUE NUMERIC 496 (注:我这里只是举了5个盘符，为什么?后面说明)将上面的语句在“!NoDrives_Help”和“!NoVie

20、wOnDrive”两个地方上填写。并且在图4所示的位置，也要加入一行: EFGHIONLY=“限制驱动器E、F、G、H、I”。 否则，在你重新打开gpedit时会出错误信息。当所有工作做完后，保存该文档，打开组策略，看看效果: 图5所示: 呵呵，是吧?在下拉菜单中出现了我们设置的驱动器号了。将上面的语句在“!NoDrives_Help”和“!NoViewOnDrive”两个地方上填写。并且在图4所示的位置，也要加入一行: EFGHIONLY=“限制驱动器E、F、G、H、I”。 否则，在你重新打开gpedit时会出错误信息。当所有工作做完后，保存该文档，打开组策略，看看效果: 图5所示: 呵呵，是吧?在下拉菜单中出现了我们设置的驱动器号了。