在企事業(yè)單位局域網(wǎng)中，處于保護電腦文件安全和商業(yè)機密的需要，我們常常需要禁用電腦USB接口、禁止U盤和移動硬盤的使用，防止通過U盤、移動硬盤甚至手機等帶有USB存儲功能的設備復制電腦文件的行為。那么，

在企事業(yè)單位局域網(wǎng)中，處于保護電腦文件安全和商業(yè)機密的需要，我們常常需要禁用電腦USB接口、禁止U盤和移動硬盤的使用，防止通過U盤、移動硬盤甚至手機等帶有USB存儲功能的設備復制電腦文件的行為。那么，具體如何管理電腦USB接口、禁用U盤呢？筆者以為，可以通過以下方式實現(xiàn)，一種是通過注冊表和組策略的方式來實現(xiàn)（如果你覺得這種方法復雜，可以直接看文章底部第二種方法），另外一種是通過電腦U口管理軟件、USB屏蔽軟件來實現(xiàn)，相對更為簡單：

一、通過注冊表禁用USB接口、組策略禁用USB接口來禁止U盤使用

1、USB設備是使用USB接口的，在網(wǎng)上找了下，得知它使用如下兩個配置文件或是注冊表文件，usbstor.inf和usbstor.png。注冊表文件是:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor2、清楚了USB的配置文件或是注冊表中的位置就好說了，下面就分兩種方法來完成禁用USB設備的目的，一是通過組策略使用戶禁用這兩個配置文件，一是通過注冊表。以下兩種實驗均在WINDOWS2003實驗通過通過組策略，當然，這個要應用在域環(huán)境中了，而且要保證，沒有使用過USB設備的（注冊表文件里會有變化的）嘿嘿。如下圖，在管理工具――域安全策略――計算機配置――WINDOWS設置――安全設置――文件系統(tǒng)，單擊右鍵――添加文件或文件夾。找到c:windowsinfusbstor.inf和usbstor.pnf，并添加之然后，確定，會彈出一個對話框，這可是重要步驟，通過此，設定不同用戶對此的訪問級別，當然，這里選拒絕了，你可以根據(jù)實際情況選擇不同的用戶組對這兩個文件的拒絕權(quán)限。如下圖確定，OK，會彈出以下的窗口，當然，還是確定，不過，如果上一步你沒有做的話，可以在此重新設定不同用戶組的訪問權(quán)限的喲（點編輯安全設置按鈕）！確定，便可以了，等域組策略刷新后，就會生效了。如果，使用過了USB設備了，（或者不是域控怎么辦？）呵呵，當然是通過注冊表鍵值來搞定了！找到鍵值所在的注冊表位置，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbhub（2000系統(tǒng)下）或HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor（XPor2K3），在對應的usbhub（或USBSTOR）分支右邊子窗口中，雙擊一下Start”鍵值，在彈出的數(shù)值設置窗口中，檢查一下其中的數(shù)字是多少，如果是4，表明該計算機的USB端口使用權(quán)限已經(jīng)被限制起來了;如果是3，表明該計算機的USB端口使用權(quán)限已經(jīng)被啟用起來了，這里確保是4！?。∪缦拢篧indowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]"Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB大容量存儲驅(qū)動程序"重啟機器吧，就可以了。

二、通過專門的電腦U盤屏蔽軟件、USB禁用軟件來實現(xiàn)電腦USB存儲設備的控制。

目前國內(nèi)有專門的電腦USB接口禁用軟件、USB屏蔽軟件，也可以有效禁用電腦USB接口的使用，禁用U盤、移動硬盤、手機等帶有USB存儲功能的設備，相對來說功能更為強大，操作也更為簡單。例如有一款大勢至USB端口管理軟件”（下載地址:http://www.grabsun.com/monitorusb.html）。通過在電腦上安裝之后，就可以實時禁用U盤、移動硬盤等USB存儲設備的使用。同時，還可以只讓特定U盤使用，只允許從U盤向電腦復制文件，禁止從電腦向U盤復制文件（或者必須輸入密碼才可以復制），從而極大地保護了電腦文件安全。如下圖所示：

圖：通過電腦USB接口管理軟件來禁用U盤、禁用移動硬盤

同時，雖然我們禁止U盤、USB存儲設備的使用，但是由于電腦使用者依然可以通過郵件、網(wǎng)盤、論壇和FTP等工具來將電腦文件發(fā)送出去。因此，也必須禁止電腦發(fā)郵件、禁止網(wǎng)盤上傳、禁止FTP上傳、禁止論壇上傳附件等，防止通過上述網(wǎng)絡途徑泄密的行為。如上圖所示。

此外，大勢至USB禁用軟件還可以禁止電腦打開注冊表、禁止打開組策略、禁止進入電腦安全模式、禁止從U盤啟動電腦、禁止從光驅(qū)啟動電腦等，防止一些懂技術(shù)的員工通過反向修改上述功能模塊而繞過系統(tǒng)監(jiān)控、重新啟用U盤和移動硬盤的行為，從而實現(xiàn)了徹底的U盤、USB接口的管理和防護。

總之，無論是通過注冊表、組策略禁止U盤、屏蔽USB接口，還是通過專門的電腦U盤管理軟件、計算機USB接口屏蔽軟件都可以實現(xiàn)對U盤、移動硬盤的控制，都可以達到一定的網(wǎng)絡管理效果。但是相對于注冊表、組策略來說，電腦USB接口屏蔽軟件的功能更多，防護也更強。具體采用哪種方案，企事業(yè)單位可以根據(jù)自己的需要進行選擇。