现在U盘的使用非常普遍,同时存储空间也越来越大,可以方便地存储大量的文件。这对于企业来说,也便于文件保存、传送。但是相应地,员工可以轻松通过自己的U盘大量拷贝公司电脑文件,然后携带出去。尤其是很多单位的商业机密、无形资产等重要文件都是存储在公司电脑上的,一旦泄露出去将会给企业带来巨大损失。因此,如何保护电脑文件安全,防止商业机密泄露就成为企业网络管理的重要方面。
那么如何禁止U盘、移动硬盘等USB存储设备使用呢?很多人是通过在电脑BIOS里面禁用USB端口的使用,虽然可以完全禁止U盘、移动硬盘等USB存储设备,但是由于很多电脑都是使用USB鼠标键盘,因此也会导致此类非USB存储设备无法使用。因此,通过BIOS禁用U口的方式不太可行。下面我们介绍另外两种方法:
方法一、通过注册表禁用USB存储设备而不影响非USB存储设备的使用。
原理:装好系统后,安装好鼠标等USB设备,再在注册表
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
中把“Start”值改为4就可以了,4是禁用,3是启用
具体分为以下两种情况:
1、如果计算机上尚未安装 USB 存储设备
如果计算机上尚未安装 USB 存储设备,请向用户或组分配对下列文件的“拒绝”权限:
? %SystemRoot%InfUsbstor.pnf
? %SystemRoot%InfUsbstor.inf
这样,用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:
1. 启动 Windows 资源管理器,然后找到 %SystemRoot%Inf 文件夹。
2. 右键单击“Usbstor.pnf”文件,然后单击“属性”。
3. 单击“安全”选项卡。
4. 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
5. 在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
注意:此外,还需将系统帐户添加到“拒绝”列表中。
6. 右键单击“Usbstor.inf”文件,然后单击“属性”。
7. 单击“安全”选项卡。
8. 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。
9. 在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
2、如果计算机上已经安装了 USB 存储设备
警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 如果计算机上已经安装了 USB 存储设备,请将以下注册表项中的“Start”值设置为 4:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
这样,当用户将 USB 存储设备连接到计算机时,该设备将无法运行。要设置“Start”的值,请按照下列步骤操作:
1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入 regedit,然后单击“确定”。
3. 找到并单击下面的注册表项:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
4. 在右窗格中,双击“Start”。
5. 在“数值数据”框中,键入 4,单击“十六进制”(如果尚未选中),然后单击“确定”。
6. 退出注册表编辑器。
方法二、借助于专门的电脑U盘禁用软件、USB存储设备禁用软件来实现。
如果你觉得修改注册表比较麻烦,则也可以借助于专门的电脑USB端口禁用软件来实现。目前国内有很多专门禁止U盘使用的软件、屏蔽USB存储设备的软件。例如有一款“大势至USB端口管理软件”(下载地址:http://www.grabsun.com/monitorusb.html),只需要在电脑安装之后,就可以自动禁用USB存储设备的使用,而对于USB鼠标键盘、U盾、USB打印机则不会禁用,从而可以有效电脑文件安全,防止通过U盘拷贝出去的行为。如下图所示:
图:禁止U口软件
同时,通过“大势至USB端口禁用软件”还可以设置禁止电脑发邮件、禁止网盘上传文件、禁止论坛附件上传、禁止FTP文件上传以及禁止QQ发送文件等,全面保护电脑文件安全,防止通过网络途径泄露的行为。
图:禁止电脑发邮件、网盘、论坛和FTP文件上传
此外,通过大势至USB屏蔽软件还可以禁止随身wifi、禁止光驱刻录、只让电脑访问某些网站以及只让电脑运行某些程序等,进一步规范员工使用电脑行为,从而进一步保护电脑文件安全。