400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

usb存储设备管理策略 (电脑怎么设置usb接口禁用)

本文简介:本文主要为大家整理了 “usb存储设备管理策略” 相关的内容,主要有 电脑怎么设置usb接口禁用, 屏蔽电脑USB端口、禁用USB接口、禁用U口的方法汇总, 网管怎样禁止使用USB接口、如何禁用USB口的方法汇总, 电脑禁用USB设备的方法, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。

1、电脑怎么设置usb接口禁用

方法一:BIOS修改法

开机时按【del】键进入BIOS设置界面,不同主板之间可能存在一定差异,具体方法可自行百度,进入后选择【“IntegratedPeripherals”】功能,然后将【“USB1.1Controller”】和【“USB2.0Contr01ler”】两个选项的属性设置为【“Disableed”】,这样就可以对USB端口进行禁用了。

方法二:注册表修改法

首先在电脑上进入注册表编辑器,依次打开以下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR],然后在页面右侧的窗口中找到Start”的DWORD值,然后在弹出的对话框中间数值数据修改为十六进制的数值“4”,然后点击保存重启电脑即可生效。

方法三:资源管理器修改法

打开windows的资源管理器,进入【A盘】,找到名为‘Usbstor.pnf’的文件,右键点击这个文件,然后在弹出的菜单中选择‘属性’,之后切换到‘安全’的选项页,在“组或用户名称”框中选中要禁止的用户组,之后再选择‘完全控制’>‘拒绝’复选框,最后点击确定保存即可。

方法三:利用安企神软件

首先进入安企神软件,依次点击【策略模板管理】>【外设管理】,然后勾选策略内容中的下列内容,并点击确定即可完成对USB端口的屏蔽。

电脑怎么设置usb接口禁用(图1)


2、屏蔽电脑USB端口、禁用USB接口、禁用U口的方法汇总

禁用计算机USB接口、禁用U口、禁用U盘的方法汇总

2022/1/23

无论是个人电脑还是企业办公电脑,隐私保护和文件安全都是重中之重。然而U盘、移动硬盘等设备的普及使得任何人可以轻易的通过电脑USB端口窃取文件、资料,给用户的隐私安全和企业信息安全带来比较大的隐患,于是不少企业已经开始想方设法屏蔽或限制电脑的USB端口。
    说起屏蔽电脑U口的方法其实不少,比如常见的就有以下几种:
方法一:安企神USB端口管理系统
   
较简单的方法只需要在电脑上安装一个小工具:安企神USB监控系统(官网:www.wgj7.com)。这个软件随计算机启动而自动启动并隐藏在后台运行,非管理员无法停止或卸载,从而保证了控制的有效性。从软件控制界面可以看出此系统的功能还是非常全面的,在存储设备控制方面不仅支持完全禁用USB存储设备,同时也允许U盘只读取不写入,这使得控制更加灵活和方便,除此之外,软件更多的是集成了对操作系统的保护和对电脑用户的使用规范,例如禁用注册表、设备管理器、任务管理器等等控制选项不仅保护系统本身稳定有效,而且也能够防止用户随意更改电脑系统配置以免出现不必要的问题,网页/程序黑名单等功能则可以对用户使用电脑做一些行为上的约束,避免电脑沦为娱乐工具。总之,这一个软件可以解决企业局域网不少常见问题。

安企神USB监控系统v2.2

方法二: 禁用主板usb设备。

  管理员在CMOS设置里将USB设备禁用,并且设置BIOS密码,这样U盘插到电脑上以后,电脑也不会识别。这种方法有它的局限性,就是不仅禁用了U盘,同时也禁用了其他的usb设备,比如usb鼠标,usb光驱等。所以这种方法管理员一般不会用,除非这台电脑非常重要,值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解,即便设置了密码。整个BIOS设置都存放在CMOS芯片里,而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池,所以,只要把主板电池卸下来,用一根导线将原来装电池的地方正负极短接,瞬间就能清空整个CMOS设置,包括BIOS的密码。随后只需安回电池,自己重新设置一下CMOS,就可以使用usb设备了。(当然,这需要打开机箱,一般众目睽睽之下不大适用~~)

方法三: 修改注册表项,禁用usb移动存储设备。

打开注册表文件,依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键,把编辑窗口中的“数值数据”改为“4”,把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解,我们可以删除或者改名注册表编辑器程序。
提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
 
方法四:隐藏盘符和禁止查看(适用于Windows系统)

 打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。较早个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04 00 00 00;要关闭D盘,则改为08 00 00 00,若要关闭C盘和D盘,则改为0C 00 00 00(C是十六进制,转成十进制就是12)。
 
  理解了原理后,下面以我的电脑为例说明如何操作:我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以我的“NoDrives”值为“02 ff ff ff”,隐藏了B、I到Z盘。
 
  重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为“02 ff ff ff”,也就是说其值与“NoDrives”相同。 这样一来,既看不到U盘符也访问不到U盘了。
 
方法五:禁止安装USB驱动程序

  在Windows资源管理器中,进入到“系统盘:WINDOWSinf”目录,找到名为“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,选中“完全控制”后面的“拒绝”复选框,较后点击“确定”按钮。
 
  再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问,其操作过程同上。完成了以上设置后,该组中的用户就无法安装USB设备驱动程序了,这样就达到禁用的目的。
 
  注意:要想使用访问控制列表(ACL),要采用NTFS文件系统。
 
方法六:
 
   其实管理员经常做的,是将移动存储设备使用权限禁用配合屏蔽U盘图标。这种方法非常恶毒,就是说,即使改动了移动存储设备的使用权限,安装驱动后,在我的电脑里仍然看不到u盘的图标,即使为u盘重新分配盘符后仍然看不到。这种情况是因为管理员修改了注册表,屏蔽了除硬盘驱动器之外的所有盘符(以前在机房,光驱也常通过这种办法屏蔽)。懂得修改注册表的同学可以用regedit找到HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Policies\Explorer子键,将双字节项"NoDrives"的键值改为0或者干脆将"NoDrives"项删掉。注销一下再登陆,就能发现久违的u盘图标了!也可以将下面这段文字另存为reg格式,(假如管理员足够变态把regedit也给disable了)

方法七:
 
打开“设备管理器”——在里面单击展开“通用串行总线控制器”,看见几个UBS接口,双击其中之一,在属性的“常规”选项卡的“设备用法”下拉框中选择“停用”按“确定”返回。以此类推,禁用其它几个。

除了上述的方法之外,禁用电脑USB端口的方法还有很多,只是原理都是类似的,这里就不一一列举了。另外,对于电脑安全要求较高的企业单位, 上述的某些方法也许并不保险,而安企神USB端口管理系统因为较高的自我保护机制是值得信赖的较佳选择。


 

3、网管怎样禁止使用USB接口、如何禁用USB口的方法汇总

作者:安企神日期:2022/6/19

 
在很多企事业单位局域网中,处于网络安全的考虑,很多网管员一般都要禁用电脑USB接口使用、限制员工随意插U盘、移动硬盘等USB存储设备,以保护单位的信息安全和商业机密。但是如何较有效控制USB接口使用、禁止USB口使用呢?笔者汇总了当前国内所有管理USB口使用的方法,提供给国内广大网管员更好地禁用计算机USB接口,尤其是禁止USB存储设备的使用。
 
当然,如果企业想直接禁止计算机USB接口使用,则可以部署专业的USB控制软件,如当前国内流行的“安企神USB监控系统”(官网:www.wgj7.com),可以直接禁用U盘、禁止移动硬盘、禁止手机存储、限制蓝牙使用等等所有可能涉及到存储设备的接口,从而可以较大限度的保护单位信息安全和商业机密;同时,在禁止USB存储设备的同时也不会影响USB鼠标键盘和加密狗等非USB存储设备,从而可以实现USB接口的精准控制。只不过,这些监控U口使用的软件常常需要付费才能使用。
 
较早种、禁用BIOS的相关设定


·优点设定容易做法简单


·缺点BIOS的管理密码可能被破解
 
在主板的BIOS设定里我们可以将USB端口的功能设定为禁用。由于设定十分容易做法简单因此成为企业经常用来管理USB设备的手段。为了防止员工自行进入BIOS重新启用USB端口的功能一般在完成设定之后IT人员会同时设定BIOS的管理密码只有相关获得授权的人员才能访问、更改BIOS设定。需要特别注意的是BIOS与USB端口相关设定的名称与位置往往随品牌的不同而有所差异甚至没有这方面的设定。此外BIOS的管理密码并非设定之后就无法破解。只要进行主板放电操作也就是将主板上的纽扣电池取出后、再重新放回BIOS密码就会恢复成默认值而员工就能趁机进入BIOS更改设定。不过对企业来说一般都不允许员工私自拆装公司所配发的电脑而只要非IT部门的人员在进行类似的动作时就很容易引起其他人的注意。而在机密数据外泄事件发生后此人自然会成为公司重点排查的可疑对象。在主板的BIOS设定里我们可以将USB端口的功能设定为禁用。
 
第二种、贴上易碎贴纸
 
·优点用肉眼就可以分辨电脑的USB端口有无使用过的迹象


·缺点贴纸不小心破碎时容易引发不必要的误会
 
这种做法经常见于高科技园区的许多IT企业适用对象多半针对企业的来访者较少使用在内部的员工电脑。来访者将笔记本电脑携入办公区之前门口的接待人员会在该台电脑的USB端口与网络端口上粘贴一张易碎贴纸以确认来访者在进入企业内部的这段时间里是否曾经通过这些通用接口联接外设设备或者存取数据。用易碎贴纸控制USB好处在于只要通过肉眼就可以分辨电脑的连接端口是否曾经使用过可是一旦贴纸因为各种原因而产生破裂就很容易造成误会。这时IT人员有权检查来访者的电脑看硬盘里是否存放了本企业的机密数据在确认无异状之后才会放行让来访者把笔记本电脑带走。
 
第三种、移除主板上的USB跳线的连接线


·优点使USB端口功能达到真正的完全失效。
·缺点管理上欠缺弹性日后重新启用USB端口功能的时候需要打开电脑机箱插回跳线的连接线。移除主板上跳线Jumper的连接线同样能够实现禁用主板上的USB端口的功能。不同于在BIOS将USB端口功能设定禁用跳线的连接线之后USB端口的功能达到真正的完全失效不但无法读取USB设备同时不能通过USB给连接在电脑上的USB外设供电。当企业因为业务上的需求而要启用USB端口功能的时候就必须先将电脑机箱打开、将跳线的连接线插回去做法上较为麻烦。
 
第四种、用热熔胶堵住端口
 
·优点可彻底封锁USB


·缺点USB端口硬件随之失效无法使用
 
也有许多企业尤其是政府机关、安全机构经常是以热熔胶等填充物堵住电脑的USB端口不让员工使用一旦封锁之后即无法再连接任何的USB外设设备。这是一种破坏性的封锁方式当填充物注入USB孔时USB接口也会随之损坏而永久无法使用。
 
第五种、插上专用适配卡或硬件锁
 
·优点重新启用时不需要拆掉硬件或者重新开机原有的电脑操作不会因此中断或改变


·缺点管理弹性较差
 
有一些现成的硬件设备能够帮助企业管理USB的使用。市面上有一种适配卡式的产品插在主板上的PCI插槽之后USB等外设连接端口的功能就会随之失效。产品本身附有一个遥控器如果日后还有使用USB的需求只要按下遥控器上的按钮连接端口的功能就会开放同时不影响电脑目前正在执行中的电脑操作。还一种是硬件锁可以锁住电脑上的连接接口但根据使用需求而取下恢复USB端口的功能不像使用热熔胶灌入USB插口时会造成硬件界面的损坏。某些品牌电脑的厂商就推出了这样的产品设计让习惯采购同品牌电脑的企业作为选购配件另外在一些电脑卖场也能找到具有类似功能的产品。
 
第六种、利用员工群组原则集中控制
 
·优点适用于大量电脑环境可批量强制实施统一设定


·缺点人性化不足管理弹性较差
 
员工人数稍有规模的企业一般都会在内部架设Windows Active DirectoryAD服务器并将所有电脑加入网域以便实施统一控制。有了这样的集中管理环境IT人员就可以在一台电脑中处理完所有员工电脑的控制措施不用像前面几种方式一样需要到每一台电脑手动设定。企业可以通过设定群组对象原则GPO的方式在AD服务器的管理界面执行相关的设置接着将规则发送到所有员工的电脑中就可以关闭外设设备的使用权限。不只是USB储存设备企业也可以使用相同方式控制光驱、LS-120以及软驱的使用。
 
第七种、修改电脑Windows系统的特定注册表项
 
·优点设置简单
·缺点对于了解电脑操作的人来说效果有限
 
对于连接过USB储存设备的电脑可以利用修改注册表设置的方式禁止员工在电脑上使用USB储存设备。开启Windows的登录编辑程序在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的项目下找到Start数值点选开启之后将数值由预设的3修改为4就能将USB储存设备设置为禁用。此种做法对于知道如何修改注册表的员工来说随时可以将注册表项设置恢复成默认值继续在电脑上使用USB储存设备。如果企业有使用Windows Vista则可以群组设置中将移除式磁盘驱动器的项目设置为拒绝授予读写权限。直接修改电脑内的特定注册表项也可以达到USB禁用的效果合适少量电脑的封锁。
 
第八种、删除USB储存设备的驱动程序


·优点可针对不同USB设备个别控制


·缺点仅能针对先前未曾连接USB储存设备的电脑
 
适用于未曾连接过任何USB储存设备的电脑。在“C:WINDOWSinf”路径下可以找到usbstor.inf、usbstor.PNF两个安装信息文档这是Windows系统用来辨识USB储存设备的驱动程序。我们可以针对这两个文档设置存取权限修改文件名称或者直接删除文档就可以让让员工无法在自己电脑上使用USB储存设备。相同的做法也能用于打印机、网络摄像头等USB设备的管理。
 
第九种、采用外部设备控制产品的解决方案
 
·优点可根据需求开放一部分的功能具备良好的管理弹性
 
·缺点无法防止员工以编辑修改的方式将机密数据外流
 
企业对于USB的管理需求往往不只是单纯的开与关而己而是希望根据实际需求来决定要开放什么样的功能在此种情况下就需要导入外部设备的控制产品来达成这项目的。这类产品通常会通过安装在用户电脑上的代理程序实施管理而且能够整合Windows AD、LDAP等目录服务让同一部门、相同群组的电脑套用相同的规则做管理省去个别调整设置的麻烦。除了设置开关之外这类产品对于外设的插口可以提供相当精细的管理功能对于USB储存设备可以设置成只读属性只能阅览移动U盘里的数据但不可以执行写入的动作对于智能型手机这类员工工作上经常使用到的设备通过某些这类型的产品可以只允许电脑与手机之间交换通讯簿与行事历但不能将电脑里的数据复制到手机上的记忆卡里。企业可以在员工将数据写入USB储存设备的时候可以备份到指定的储存空间供企业日后稽查检查之用不过也有企业为了避免数据储存上的麻烦只是记录文档的传输动作将此台电脑何时传送了什么样的文档记录起来不过这样一来对于员工以编辑修改的方式将机密数据外流的做法产品就无法有效地加以管理。除了市面上的产品之外网络上也有许多免费版本的USB控制软件比如USB Blocker不过也要注意某些工具有可能是广告软件或间谍软件。和付费产品相比这一类控制产品的功能比较少见采用与否需视企业实际需求与部署规模而定。
 
第十种、将重要文档予以加密
 
·优点可让员工正常使用USB端口并能防止设备遗失
·缺点一旦密钥遗失就无法开启移动U盘里的文档


控制的对象以文档为主而非USB端口本身当数据写入USB储存设备的时候可以通过应用程序进行加密限制拥有解密密钥的人才能开启该文档防止USB储存设备遗失之后里头存放的机密数据遭到盗取。
 
第十一种、借助SSL VPN或终端服务
 
·优点可防止机密数据通过网络复制到远程电脑的磁盘驱动器


·缺点防护范围有限


安全厂商的SSL VPN设备提供一种称为虚拟桌面的应用服务当员工从外部网络连接内部网络之后电脑上的屏幕画面就会自动切换成虚拟桌面任何存取或修改数据的动作都必须在此区域进行。而Windows Server的终端服务是一种可供多人同时执行远程服务器上应用的程序环境这类型解决方案有一项功能是允许联机阶段将员工端本机电脑上的磁盘驱动器、打印机等设备自动联机成为远程电脑上的网络磁盘驱动器有可能会因此形成机密外泄通道。该怎么防护我们可以在本地端电脑设置相关的本机群组原则——关闭磁盘重新导向的功能禁止员工将远程电脑上的机密数据下载。
 
 第十二种、实施DLP数据丢失防范解决方案
 
·优点可以有效防止机密资料通过各种途径外流同时无需封锁USB端口功能
·缺点对于非Windows平台的控制效果较差
 
DLP数据丢失防范是更进一步的机密数据安全保护方案功能上不但包含外部设备控制的功能更结合数据过滤的方式从文档内容着手在不影响USB端口功能的情况下将含有机密内容的数据拦阻下来不允许复制到USB储存设备或者通过网络传送出去。
 
第十二种、使用专业的管理U口使用的软件
 
·优点可以非常简单有效地控制USB存储设备的使用而不影响USB鼠标键盘和加密狗,从而可以更好地适应当前电脑普遍使用USB鼠标键盘的情况,避免通过BIOS完全禁用USB接口而影响USB鼠标键盘的使用,从而可以实现更为精准的管理。如本文开头提到的、国内较为知名的“安企神屏蔽USB接口使用软件”(百度搜索下载使用即可)
·缺点作为商用的USB控制软件,常常需要付费才可以使用。
 
总之,企业禁用U口使用、限制U口使用的方法很多,但总体而言通过专业的USB口控制软件来监视USB接口使用,是当前国内管理电脑USB接口较有效、较直接和较精准的控制方法,可以更好地帮助企业保护单位信息安全和商业机密。

4、电脑禁用USB设备的方法

方法一:BIOS设置法

电脑开机时,快速点击键盘上的【Delete】键,进入主板的BIOS设置界面,进入界面后,点击【Integrated Peripherals】选项。点击打开后,把【USB Controller】和【USB Contr01ler】两个选项的属性设置成【Disableed】,这样就把电脑的USB接口禁用了。

这种方法需要对电脑有一定了解,因为blos中操作比较复杂,一旦操作出错,后果不可想象,因此推荐第二种方法。

方法二:利用安企神软件

打开安企神软件,在首页点击【默认策略模板管理】,在左侧菜单栏中找到【外设管理】,然后勾选【禁用USB外设】就可以对电脑的USB接口进行禁用了。

电脑禁用USB设备的方法(图1)

软件还支持对光驱、刻录、便携式设备(手机)、蓝牙设备、红外设备、串口设备、1394设备、PCMCIA设备、无线网卡、USB无线网卡、USB网络共享等等进行禁用。