12种方法禁用USB端口 - shell - 51CTO技术博客

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

12种方法禁用USB端口 - shell - 51CTO技术博客博客登录
用户名:
密 码:
注册 | 登录 忘记密码?51cto首页 | 博客 | 论坛 | 下载 热点文章异步串行通讯和同步串行..
 帮助

转载:57 翻译:0原创:42 shell > 复制链接 邀请加入技术圈
加友情链接发短消息相册技术圈博客首页 | 下载 | 技术论坛 | 短消息博 客我的博客
发表文章
管理博客
技术圈创建圈子
我的圈子
寻找圈子
相 册我的相册
上传图片
管理相册
首页 | Oracle | db2 | sql server | Linux | windows | 系统安全 | 杂事杂说 | shell | seo
“追梦五年”主题征文『51CTO五周年庆』 51CTO招聘社区产品专员/助理博主的更多文章>>
12种方法禁用USB端口



2010-01-17 15:04:53 标签:USB [推送到技术圈]


想要控制USB端口的数据传输,我们收集了目前可行的所有做法,总共归纳为3大类、12种方式。
第1大类是物理封锁,又可细分成完全禁用、弹性禁用,以及贴标签检查;第2类是修改操作系统设定,从Windows环境着手修改;第3类手段更全面,如果企业想获得最高的控制弹性,以专用的外设控制解决方案,或搭配其它安全方案的管理手段联合控制,即可达到要求。而这里要特别注意的是,企业是否真正需要大量个人端电脑控制与监视能力,如果确有需求,那么企业多半须要花钱采购、配置特定的设备。
1. bios 中禁用,在Advance Chip Setting 里,关闭USB ON Board 选项,可以通过debug
,放电,或者软件等方法破解bios 密码
2. 文件权限,如果计算机上尚未安装USB 存储设备,向用户或组分配对%SystemRoot%\Inf\Usbstor.pnf 和
%SystemRoot%\Inf\Usbstor.inf 两个文件的'拒绝'权限。
3. 如果计算机上已经安装过USB
存储设备,请将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
注册表项中的'Start '值设为4

第一种、禁用BIOS的相关设定
·优点:设定容易,做法简单
·缺点:BIOS的管理密码可能被破解
在主板的BIOS设定里,我们可以将USB端口的功能,设定为禁用。由于设定十分容易,做法简单,因此成为企业经常用来管理USB设备的手段。为了防止员工自行进入BIOS重新启用USB端口的功能,一般在完成设定之后,IT人员会同时设定BIOS的管理密码,只有相关获得授权的人员才能访问、更改BIOS设定。

需要特别注意的是:BIOS与USB端口相关设定的名称与位置,往往随品牌的不同,而有所差异,甚至没有这方面的设定。
此外BIOS的管理密码并非设定之后,就无法破解。只要进行主板放电操作,也就是将主板上的

纽扣电池取出后、再重新放回,BIOS密码就会恢复成默认值,而员工就能趁机进入BIOS更改设定。不过,对企业来说,一般都不允许员工私自拆装公司所配发的电脑,而只要非IT部门的人员,在进行类似的动作时,就很容易引起其他人的注意。而在机密数据外泄事件发生后,此人自然会成为公司重点排查的可疑对象。
图1

在主板的BIOS设定里,我们可以将USB端口的功能设定为禁用。
第二种、贴上易碎贴纸
·优点:用肉眼就可以分辨电脑的USB端口有无使用过的迹象
·缺点:贴纸不小心破碎时,容易引发不必要的误会
这种做法经常见于高科技园区的许多IT企业,适用对象多半针对企业的来访者,较少使用在内部的员工电脑。
来访者将笔记本电脑携入办公区之前,门口的接待人员会在该台电脑的USB端口与网络端口上,粘贴一张易碎贴纸,以确认来访者在进入企业内部的这段时间里,是否曾经通过这些通用接口联接外设设备,或者存取数据。

用易碎贴纸控制USB,好处在于只要通过肉眼,就可以分辨电脑的连接端口是否曾经使用过,可是,一旦贴纸因为各种原因而产生破裂,就很容易造成误会。这时,IT人员有权检查来访者的电脑,看硬盘里是否存放了本企业的机密数据,在确认无异状之后,才会放行,让来访者把笔记本电脑带走。

第三种、移除主板上的USB跳线的连接线
·优点:使USB端口功能达到真正的完全失效。
·缺点:管理上欠缺弹性,日后重新启用USB端口功能的时候,需要打开电脑机箱,插回跳线的连接线。
移除主板上跳线(Jumper)的连接线,同样能够实现禁用主板上的USB端口的功能。不同于在BIOS将USB端口功能设定禁用,跳线的连接线之后,USB端口的功能达到真正的完全失效,不但无法读取USB设备,同时不能通过USB给连接在电脑上的USB外设供电。

当企业因为业务上的需求,而要启用USB端口功能的时候,就必须先将电脑机箱打开、将跳线的连接线插回去,做法上较为麻烦。
第四种、用热熔胶堵住端口
·优点:可彻底封锁USB
·缺点:USB端口硬件随之失效,无法使用
也有许多企业,尤其是政府机关、安全机构,经常是以热熔胶等填充物堵住电脑的USB端口,不让员工使用,一旦封锁之后,即无法再连接任何的USB外设设备。
这是一种破坏性的封锁方式,当填充物注入USB孔时,USB接口也会随之损坏,而永久无法使用。
第五种、插上专用适配卡或硬件锁
·优点:重新启用时,不需要拆掉硬件,或者重新开机,原有的电脑操作不会因

此中断或改变
·缺点:管理弹性较差
有一些现成的硬件设备,能够帮助企业管理USB的使用。市面上有一种适配卡式的产品,插在主板上的PCI插槽之后,USB等外设连接端口的功能就会随之失效。产品本身附有一个遥控器,如果日后还有使用USB的需求,只要按下遥控器上的按钮,连接端口的功能就会开放,同时不影响电脑目前正在执行中的电脑操作。

还一种是硬件锁,可以锁住电脑上的连接接口,但根据使用需求而取下,恢复USB端口的功能,不像使用热熔胶灌入USB插口时,会造成硬件界面的损坏。某些品牌电脑的厂商就推出了这样的产品设计,让习惯采购同品牌电脑的企业作为选购配件;另外,在一些电脑卖场也能找到具有类似功能的产品。

第六种、利用员工群组原则,集中控制
·优点:适用于大量电脑环境,可批量强制实施,统一设定
·缺点:人性化不足,管理弹性较差
员工人数稍有规模的企业,一般都会在内部架设Windows Active
Directory(AD)服务器,并将所有电脑加入网域,以便实施统一控制。有了这样的集中管理环境,IT人员就可以在一台电脑中处理完所有员工电脑的控制措施,不用像前面几种方式一样,需要到每一台电脑手动设定。

企业可以通过设定群组对象原则(GPO)的方式,在AD服务器的管理界面执行相关的设置,接着将规则发送到所有员工的电脑中,就可以关闭外设设备的使用权限。不只是USB储存设备,企业也可以使用相同方式控制光驱、LS-120,以及软驱的使用。

第七种、修改电脑Windows系统的特定注册表项
·优点:设置简单
·缺点:对于了解电脑操作的人来说,效果有限
对于连接过USB储存设备的电脑,可以利用修改注册表设置的方式,禁止员工在电脑上使用USB储存设备。开启Windows的登录编辑程序,在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR”的项目下找到Start数值,点选开启之后,将数值由预设的3,修改为4,就能将USB储存设备设置为禁用。此种做法,对于知道如何修改注册表的员工来说,随时可以将注册表项设置恢复成默认值,继续在电脑上使用USB储存设备。
如果企业有使用Windows Vista,则可以群组设置中,将移除式磁盘驱动器的项目设置为拒绝授予读写权限。

直接修改电脑内的特定注册表项,也可以达到USB禁用的效果,合适少量电脑的封锁。
第八种、删除USB储存设备的驱动程序
·优点:可针对不同USB设备个别控制
·缺点:仅能针对先前未曾连接USB储存设备的电脑
适用于未曾连接过任何USB储存设

备的电脑。在“C:\WINDOWS\inf”路径下,可以找到usbstor.inf、usbstor.PNF两个安装信息文档,这是Windows系统用来辨识USB储存设备的驱动程序。

我们可以针对这两个文档设置存取权限,修改文件名称,或者直接删除文档,就可以让让员工无法在自己电脑上使用USB储存设备。相同的做法,也能用于打印机、网络摄像头等USB设备的管理。

第九种、采用外部设备控制产品的解决方案
·优点:可根据需求开放一部分的功能,具备良好的管理弹性
·缺点:无法防止员工以编辑修改的方式将机密数据外流
企业对于USB的管理需求往往不只是单纯的开与关而己,而是希望根据实际需求来决定要开放什么样的功能,在此种情况下,就需要导入外部设备的控制产品来达成这项目的。

这类产品通常会通过安装在用户电脑上的代理程序实施管理,而且能够整合Windows
AD、LDAP等目录服务,让同一部门、相同群组的电脑套用相同的规则做管理,省去个别调整设置的麻烦。
除了设置开关之外,这类产品对于外设的插口,可以提供相当精细的管理功能,对于USB储存设备,可以设置成只读属性,只能阅览移动U盘里的数据,但不可以执行写入的动作,对于智能型手机,这类员工工作上经常使用到的设备,通过某些这类型的产品,可以只允许电脑与手机之间交换通讯簿,与行事历,但不能将电脑里的数据复制到手机上的记忆卡里。

企业可以在员工将数据写入USB储存设备的时候,可以备份到指定的储存空间,供企业日后稽查检查之用,不过也有企业为了避免数据储存上的麻烦,只是记录文档的传输动作,将此台电脑何时传送了什么样的文档记录起来,不过这样一来,对于员工以编辑修改的方式将机密数据外流的做法,产品就无法有效地加以管理。

除了市面上的产品之外,网络上也有许多免费版本的USB控制软件,比如USB Blocker,不过,也要注意某些工具有可能是广告软件或间谍软件。
和付费产品相比,这一类控制产品的功能比较少见,采用与否,需视企业实际需求与部署规模而定。
第十种、将重要文档予以加密
·优点:可让员工正常使用USB端口,并能防止设备遗失
·缺点:一旦密钥遗失,就无法开启移动U盘里的文档
控制的对象以文档为主,而非USB端口本身,当数据写入USB储存设备的时候,可以通过应用程序进行加密,限制拥有解密密钥的人才能开启该文档,防止USB储存设备遗失之后,里头存放的机密数据遭到盗取。

第十一种、借助SSL VPN或终端服务
·优点:可防止机密数据

通过网络复制到远程电脑的磁盘驱动器
·缺点:防护范围有限
安全厂商的SSL
VPN设备提供一种称为虚拟桌面的应用服务,当员工从外部网络连接内部网络之后,电脑上的屏幕画面就会自动切换成虚拟桌面,任何存取或修改数据的动作都必须在此区域进行。

而Windows
Server的终端服务,是一种可供多人同时执行远程服务器上应用的程序环境,这类型解决方案有一项功能是允许联机阶段,将员工端本机电脑上的磁盘驱动器、打印机等设备自动联机,成为远程电脑上的网络磁盘驱动器,有可能会因此形成机密外泄通道。该怎么防护?我们可以在本地端电脑设置相关的本机群组原则──关闭磁盘重新导向的功能,禁止员工将远程电脑上的机密数据下载。

第十二种、实施DLP数据丢失防范解决方案
·优点:可以有效防止机密资料通过各种途径外流,同时无需封锁USB端口功能
·缺点:对于非Windows平台的控制效果较差
DLP数据丢失防范是更进一步的机密数据安全保护方案,功能上不但包含外部设备控制的功能,更结合数据过滤的方式,从文档内容着手,在不影响USB端口功能的情况下,将含有机密内容的数据拦阻下来,不允许复制到USB储存设备,或者通过网络传送出去。

本文出自 技术博客




上一篇 组策略禁止USB最好的方法 下一篇 XP加入域时提示网络位置错误


类别:系统安全 ┆ 技术圈(0) ┆ 阅读(666) ┆ 评论(0) ┆推送到技术圈 ┆返回首页




相关文章USB启动盘制作教程如何直接从USB设备上的VHD文件直接启动Windo..如何解决usb不能拔出的问题关于用组策略彻底禁止USB存储设备的原理USB禁用代码wince通过usb上网基于OHCI的USB主机
—— 中断处理b转serial 在linux中的使用方法USB禁用、USB加锁
文章评论


发表评论


昵 称: 登录 快速注册
验证码: 点击图片可刷新验证码请点击后输入验证码 博客过2级,无需填写验证码
内 容:




dusongw

博客统计信息用户名:dusongw
文章数:99
评论数:9
访问量:27573
无忧币:488
博客积分:640
博客等级:4
注册日期:2007-05-01
距离博客争夺赛结束还有12 天
热门文章CQ40安装XP Oracle用户、权限、角色管理 shell 面试试题提要 sql数据库自动备份 12种方法禁用USB端口
网管面试题2-windows 网管面试题3-windows 关于键盘失灵的处理
搜索本博客内文章


我的技术圈(5)
企业网管新生代 网络工程师联盟 存储安全 New 网络技术 routerswitch
最近访客
liusw
iparmor
wxhdjl
淡水_..
malecu
TES

TL..
micha..
fufen..
ljs1
h12345
最新评论
[匿名]51cto游客:mkdir -p /userdata/user{1....50}|..



[匿名]惠普金牌服务:惠普专用XP系统,惠普笔记本CQ40,CQ..



[匿名]惠普金牌服务:惠普笔记本专用系统光盘,不会出现..



[匿名]51cto游客:路过,顶一下。顺路推荐一个不错的..



泰山石:写的很不错,学习了


51CTO推荐博文ISA设置的一点心得 组策略管理——软件限.. Windows server 2008 R.. 同一台路由器上面双vpd.. 【Window
2008 R2组策.. 浅谈电子配线架智能布.. IBM System X + VMware.. 深度探讨MBR引导 浅谈Mysql簇
实战恢复2950交换机的IOS Oracle 11g DataGuard..
友情链接 雪源梅香
周海鹏微软技术社区
's ..
微软爱好者
johnny
lgzeng
王春海的博客
rainbird
我的学习之路
Java究竟怎么玩
terry
Java学习博客
黑客训练
李涛的技术专栏
综合布线工作组
运筹帷幄
孔雀猪
叶俊坚
数据重现
J0ker: 浮生若茶
虚声一片
杜飞
程秉辉的博客-与读..
HOHO网页设计
老杨@51CTO
老杨@51CTO
匣子
岳雷的微软网络课堂
未来的网络工程师
51CTO博客开发 Copyright By 版权所有



相关文档
最新文档