教你XP组策略禁用USB端口、Win7组策略禁用usb接口的方法

2022-07-15

在公司局域网中，如何有效禁用USB接口、屏蔽USB端口的使用，一直是电脑信息安全管理、商业机密保护的一个重要方面。这是因为，当前USB存储设备多种多样，大容量的U盘、移动硬盘以及手机存储卡等现在极为普遍，都可以轻松从电脑拷贝大量的文件，尤其是涉及公司商业机密的文件，可以轻松被员工拷贝出去，从而对公司经营造成了极大的风险。为此，我们必须采取有效的举措来禁用USB存储设备，尤其是禁用U盘、禁止移动硬盘、禁止手机、蓝牙等所有可能传输、复制电脑文件的设备使用，防止通过这些USB存储设备来泄露公司商业机密。

当然，如果你想较简单、快捷禁用USB接口、禁用U盘、屏蔽移动硬盘使用等，可以借助专业的电脑USB端口管理软件。如当前流行的“安企神USB端口管理软件”（下载地址：http://www.wgj7.com/monitorusb.html ），只需要在电脑安装之后，点点鼠标就可以完全禁用U盘、移动硬盘和手机的使用。同时，为了防止员工通过修改注册表、组策略而重新启用U盘、移动硬盘，系统还禁止修改注册表、禁止打开组策略、禁止打开设备管理器等操作系统关键位置，从而防止员工反向修改，实现了较严密的USB端口管理。如下图所示：

图：USB端口管理软件

那么，如何通过组策略禁止USB接口、屏蔽USB端口的使用呢？同时，在禁用USB存储设备的同时，还不能影响USB鼠标、键盘，毕竟现在USB鼠标越来越普遍。具体方法如下：

1、 USB设备是使用USB接口的，它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。注册表文件是：
Windows 2000下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub
或是
winxp ,win2k3下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor
2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之

然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图

确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

如果，使用过了USB设备了，（或者不是域控怎么办？）呵呵，当然是通过注册表键值来搞定了！

找到键值所在的注册表位置，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub（2000系统下）或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor（XP or 2K3），在对应的usbhub（或USBSTOR）分支右边子窗口中，双击一下“Start”键值，在弹出的数值设置窗口中，检查一下其中的数字是多少，如果是4，表明该计算机的USB端口使用权限已经被限制起来了;如果是3，表明该计算机的USB端口使用权限已经被启用起来了，这里确保是4！！！

如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储驱动程序"

重启机器吧，就可以了。

总之，企业局域网禁用USB接口、屏蔽USB端口的方法很多，无论是通过注册表禁用USB接口还是通过组策略禁用usb端口，都可以很好地保护电脑商业机密的安全。但是，由于组策略和注册表都是通过对操作系统的设置而达到禁用U盘的目的，因此容易被反向修改而重新启用U盘和USB存储设备。为此，我们必须考虑禁止修改注册表、禁止修改组策略、禁止打开设备管理器等，在这个方面，USB端口管理软件可以起到更好的防护和保障作用。