屏蔽USB口

屏蔽USB口

2007-05-18 09:56

方法一：修改BIOS设置

这种方法虽然比较“原始”、简单，但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备（包括USB 键盘及鼠标）的用户。

具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键（或根据画面上的提示按相应的键盘按键）进入BIOS设置界面，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。

方法二：修改系统文件/注册表

与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。

该方法分两种情况：如果电脑尚未使用过USB设备（比如刚重装好系统），可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。

对于已经使用过USB设备的电脑，要禁用电脑的USB功能，就得通过注册表来实现。如果你对电脑并不熟悉，修改前请先备份注册表。

【未使用过USB设备的电脑】

1、启动资源管理器，依次打开Windows文件夹下面的子目录Inf。

2、在Inf文件夹里，找到“Usbstor.pnf”文件，右键单击该文件，然后选择“属性”。

3、再“属性”对话框里单击“安全”选项卡。

4、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

5、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

注意：此外，还需将系统账户添加到“拒绝”列表中。

6、右键单击“Usbstor.inf”文件，然后单击“属性”。

7、单击“安全”选项卡。

8、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

9、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

【使用过USB设备的电脑】

1、单击“开始”，然后单击“运行”。

2、在“打开”框中，键入“regedit”，然后单击“确定”。

3、找到并单击下面的注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

4、在右边窗格中，双击“Start”。

5、在“数值数据”框中，将原始数值“3”改成“4”。（如果想恢复对USB设

备的支持，只需将该值改回“3”即可。）

6、退出注册表编辑器。

https://www.wendangku.net/doc/2018950616.html,/kb/823732/zh-cn

方法三：使用相关软件

上述两种手动设置的方法比较浅显、简单。对于电脑高手而言，并无法形成有效的防范，所以比较适合个人用户。而目前市面上有一些专门针对这个问题而开发的USB安全管理软件，可以很好地对电脑的USB功能进行封锁，而且控制更方便，安全性更高。

USB加锁王（企业版）

软件大小：9.2M

软件版本：2.0

软件类型：共享软件

运行环境：Win9x/Me/NT/2000/XP/2003

软件下载：https://www.wendangku.net/doc/2018950616.html,?鄄https://www.wendangku.net/doc/2018950616.html,

USB加锁王（企业版）是一套电脑USB端口屏蔽、USB控制、实时监视、实时监控与一体的电脑网络安全控制系统。USB加锁王使用一种USB设备的自动识别技术和双层控制技术，从驱动级对电脑的USB设备进行控制，安全级别高，可靠性高。能自动识别插入的设备是USB存储设备或是非存储设备，并可以控制所有的USB接口设备，如禁止/允许所有USB接口的任何设备。也可以根据需要只禁止USB存储设备，而允许使用USB接口的非存储设备如USB鼠标键盘等。该软件自能由管理员才能登陆设置界面、更改USB设置，以及也关闭或卸载软件。

“企业版”包含了安装在员工电脑上的客户端（Client）程序和安装在服务器上的服务器端（Server）。

客户端程序的主要功能是屏蔽员工电脑上的USB设备（限制USB），如停止所有USB存储设备的使用，包括U盘、数码相机、MP3 等USB存储设备；以及其他USB 设备，如USB鼠标、USB打印机、USB扫描仪等；而服务器端则用于监控局域网中所有装有客户端程序的电脑的状态，一旦有客户端非法关闭，就会发出报警信息；它还可以方便地对所有客户端电脑的USB设备使用状态进行控制，可以设为只禁用USB存储设备、全禁用或者全部不禁用。

“清扬”内网管理系统

软件大小：3.5M

软件版本：2.0

软件类型：共享软件

运行环境：Windows2000/XP/2003

软件下载：https://www.wendangku.net/doc/2018950616.html,/nec-demo.htm

“清扬”内网管理系统其实是一个综合的企业局域网电脑管理系统，可以对局域网内的所有电脑的各种操作和使用权限进行全面的监控、管理和记录。如强制性拨号阻断、禁用USB移动存储、禁用光驱、禁用软驱、远程集中设定终端网络属性（如IP、网关、DNS、代理服务器和机器名等）、查杀系统进程、实时监控网络打印机及打印行为、实时监控指定目录中文件的增加、删除、修改等行为、实时监控终端网络连接信息。禁用USB移动存储，就是其中的一个主要功能。

该系统能实现对企业局域网内所有电脑的USB存储设备使用，进行综合集中的管理。在配置了“禁止使用”策略的电脑就无法使用USB存储设备。甚至只要一有USB存储设备被插入，即可立即被阻断，并记录在系统日志里。除此之外，该系统还能对各电脑使用USB的情况进行监控及记录。

USB Lock AP

软件大小：1.47M

软件版本：1.8

软件类型：共享软件

运行环境：Windows2000/XP/2003

软件下载：http://www.advan?鄄https://www.wendangku.net/doc/2018950616.html,

USB Lock AP是一款针对个人用户的安全保护软件。虽然功能不多，界面很简洁，但却非常实用。软件界面分3部分。从左到右依次是USB存储设备防护，光驱/软驱设备防护，文件夹防护。下面的“PC Lock”按钮可以实现立即锁住电脑，只有输入密码才能解锁。

软件安装好运行后，要输入密码才能进入设置界面，初始密码为“klp10”。当点按USB控制区的“Protect”按钮后，电脑立即进入防护状态。只要有任何的USB移动存储设备插入到电脑的任一USB口上，电脑屏幕会立即被锁定，并开始15秒倒计数，要求在15秒时间内拔出USB存储设备，否则将立即关机。虽然有点“蛮横”，但确实行之有效。对未经允许的外来USB存储设备，决不妥协，坚决抵制。

---------------------------------------------------------------------------------------------------------------------

补充:

u盘插上去，系统会提示搜到新硬件，但是随后提示新硬件有错误；用控制面板的添加硬件，会发现usb root hub上面是个小红叉而不是问号。看表面现象不像是bios锁的，但是实在不知道怎么才能弄开，是不是注册表锁的？请高手解答~~~~谢谢

问题补充：还有我的鼠标键盘都是usb接口接入的，都能用，为什么u盘就不行呢？？？？是被什么软件锁了吗？（我的硬盘有近10G的空间隐藏了，里面是否有什么加密软件呢？）

还有我在设备管理器里面“启用”usb storage，突然看到了u盘的内容，但是很快（1秒吧）就没了，usb storage设备还是关闭的。还有安装了万能usb驱动也不行！！！！:lr1

----------------------

可能性：

一、USB接口连接问题

二、USB接口是否有异物

三、操作系统是否支持USB

四、个别软件是否有冲突现象

五、USB接口是否有损坏

六、网络来源：

注册表

打开注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\SYS

TEM\CurrentControlSet\Services\usbehci（还有usbhub,，或者USBSTOR）”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“3”，把基数选择为“十六进制”就可以了。改好后重新启动一下电脑。提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用

BIOS

查看BIOS选项是否禁用USB

磁盘文件格式

察看是否为NTFS，使用管理账户登陆更改安全设置

局域网用户禁止USB设备

以上介绍的是工作组环境中禁用USB存储设备，但对于某些规模较大的企业网来说，它采用的是域管理模式，并且客户机数量众多，逐一手工设置起来非常麻烦。这时您可以利用“GFI LANguard Portable Storage Control（简称GLPSC）”工具来解决这个问题，它不但可以控制域环境中的中USB存储设备，还能严格控制软驱或刻录机等设备。

1.安装GLPSC

以域管理员帐号登录域控制器后，从https://www.wendangku.net/doc/2018950616.html,/soft/3375.htm下载GLPSC工具。运行GLPSC安装程序，弹出安装配置对话框，同意用户许可协议后，一路点击“Next”按钮，进入到“Protected devices setup（受保护设备配置）”对话框，接下来指定企业网内受到保护和限制的存储设置，如USB设备、软驱或光驱设备，这里一定要在“Devices Type”框中选中“Removable Storage Media https://www.wendangku.net/doc/2018950616.html,B…”选项，当然要想限制软驱和光驱等存储设备，也可以选中“Floppy Disk”和“CD-ROM/DVD-ROM”这两个选项。

然后进入到“Access control agents（访问控制代理）”对话框，在这里一定要选择“Active Directory global security groups”选项，这样GLPSC工具才能和AD活动目录完美结合，网管才能通过域帐号来限制和管理用户对USB存储设备的使用。

最后进入到“Access control groups setup”对话框，选中“Create the control groups”选项，为GLPSC工具创建一个初始化控制组，这样就完成整个安装过程。

2.设置访问权限

默认情况下，所有员工是被禁止使用USB存储设备的。对于某些特殊的员工，要想使用USB存储设备，网管只要将该员工域帐号加入到“GFI_LPSC_REMOVABLE”控制组中即可，，当然也可以采用手工逐个添加域用户的方法。

这里笔者使用手工添加法，如只允许名为“https://www.wendangku.net/doc/2018950616.html,\yanpi”域用户使用USB存储设备。在GLPSC管理控制台窗口中依次点击“Access Removable Media”选

项后，在“Authorized users（授权用户）”框中选中“Allow only

the?Permissions Active?users and members of the groups below to Access the devices”单选项，然后点击“Add Directory user”按钮，将

“https://www.wendangku.net/doc/2018950616.html,\yanpi”域用户添加到列表框中。

这样以来，企业网中只有“https://www.wendangku.net/doc/2018950616.html,\yanpi”域用户可以使用USB存储设备，而其它用户都被禁用，如果想要别的用户可以使用USB存储设备，按照以上步骤操作即可。

3.安装客户代理

Deploy”项目，在右侧的框体中切换到“Deployment?下面还需要为域中的客户机安装“客户代理”程序。在GLPSC管理控制台窗口中，依次点击“Tools list of computers from?targets”标签页，点击“Add domain”后，弹出“选择计算机”对话框，选中域中所有的客户机，点击“OK”按钮，最后点击底部的“Start”按钮，就开始为域中所有的客户机远程安装和配置客户代理程序了。

小提示：默认情况下，客户代理程序安装完成后，域用户机器需要重新启动，为避免影响员工工作，可以取消“Options”框体中的“Reboot computers after Deployment”选项钩选，这样安装完成后，客户机只会弹出警告对话框，不会重新启动。

完成以上步骤后，网管就能严格控制员工对USB存储设备使用了，只有经过网管授权的员工，才能正常访问USB存储设备，而其它员工都是被禁止的。

参考资料：https://www.wendangku.net/doc/2018950616.html,

修改system.adm文件

搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079”，如图2。

然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驱动器"”，如图3。

修改后进行保存并覆盖掉原来的文件。

3. 编辑域用户的组策略

重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。

选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。成功地达到了禁用USB储存器而不影响USB设备的使用。最后，为保险起见，在组策略中禁用了自动播放。