如何屏蔽公司电脑U盘等外接设备？

如何屏蔽公司电脑U盘等外接设备？
2013/12/30
目前，对于一些设计公司、安全单位或学校，往往在数据安全方面有比较高的要求，通常，对这些地方计算机的使用也有严格的规范，为了防止数据外泄，限制电脑USB接口的使用是管理者常用的方法，下面就以一个案例看看是如何做到的。

问题：我们单位是个安全单位，对于数据的安全有很高的要求。

我们单位的计算机上均装有Windows XP但我们单位有不少些同事使用USB FlashDisk（闪盘）接在我们单位的计算机上。

领导很担心数据的外泄，也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来，怎么办呢？
解决方案：
1、给所有用户设置非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"control userpasswords2"（不包括双引号）后
确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现
有用户的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用convert 命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"（不包括双引号）後确定
b、在CMD命令行下键入"convert x: /FS:NTFS"(不包括双引号且其中的x表示欲转换的
盘符）
3、为%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件，点击“属性”，在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮，在打开的“权限”页中去掉“从父项继承那些可以应用到子对
象的权限项目，包括那些在此明确定义的项目”复选项後确定
[注：欲看到文件属性的“安全”标签，需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。

并且Home版需要进入安全模式下进行了前面文件夹选项设置后才可见]
上述的方法确实有效，但是对于已经装过USB Mass Storage Device的电脑，已经加载过上面提到的两个文件了，就没什么作用了，必须使用下面的方法：
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"（不包括双引号）後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
将名为Start 的DWORD键键值修改为十六进制的4
[注：此法达到的效果为插入USB 存储设备无任何反应，并且盘符也不会出现，在“磁盘管理”中也看不到该移动存储设备。

达到无处外泄数据和病毒无法被读取的目的]
按照以上步骤完成之后，可以发现U盘已经被完全禁用了，但是如果我们只是想禁止从电
脑向外拷贝而允许从U盘向电脑传文件怎么做呢？可以通过以下方法实现：
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"（不包括双引号）後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 如果在注册表项Control下找不到名为StorageDevicePolicies 的注册表项，那么则手动建立即可
c、在StorageDevicePolicies 注册表项下建立名为WriteProtect 的DWORD值，并将其
键值定义为1 即生效
如果觉得上述方法过于复杂，那么可以通过专业的USB接口管理工具来实现。

比如大势至USB监控系统就是一款操作简单、控制有效的U盘管理器，通过这个软件，可以轻易实现完全禁用一切USB存储设备（包括U盘、移动硬盘、手机存储等等），也可只禁止电脑向U盘拷贝、或需要输入管理员密码才可拷贝方便管理者根据实际情况选择管控方式。

大势至USB控制系统V2.1。