限制企業(yè)電腦使用USB

如何禁止公司內(nèi)部所有電腦的USB接口進(jìn)行文件拷貝，但不能妨礙打印機(jī)、鼠標(biāo)鍵盤、掃描儀、加密狗等等一切需要USB接口工作的外部設(shè)備。 　　說白了就是不讓員工把公司的機(jī)密資料帶出去。 　　

下面介紹3種方法：  　

　1、要管制USB存儲(chǔ)設(shè)備，一般用戶不能寫不能讀；部分用戶能讀不能寫入U(xiǎn)SB存儲(chǔ)設(shè)備；還有一部分人（公司高管）平時(shí)不讀不寫，在需要用的時(shí)候要能讀能寫！  　　

2、無論使用什么方式進(jìn)行管制，不能影響到現(xiàn)在USB打印機(jī)、掃描儀、加密狗、鼠標(biāo)鍵盤等等外部設(shè)備的使用。   　　 　　

1、方案一：BIOS里全部關(guān)閉USB端口  　　

2、方案二：Client端安裝USB管理軟件，用軟件進(jìn)行管制，安裝一臺(tái)服務(wù)器，監(jiān)控所有電腦的USB動(dòng)態(tài)  　　

3、方案三：從操作系統(tǒng)注冊(cè)表下手，批處理執(zhí)行管理  　　      

先說說這三個(gè)方案： 　　

方案一：最差的方法，端口全關(guān)了，什么USB設(shè)備都用不了了，就別提這機(jī)那機(jī)了，PASS掉。 　　

方案二：所有電腦安裝Client，工作量大，時(shí)間根本不夠，再說了，很多人介意在用戶端安裝軟件，多一個(gè)進(jìn)程多占用一部分內(nèi)存，到時(shí)候電腦速度慢了又會(huì)有人大呼小叫了。仍然PASS， 　　

第三個(gè)，其實(shí)這也是最管用的手段：批處理！  　　        

實(shí)施過程：  　　

1、首先，關(guān)閉USB存儲(chǔ)設(shè)備的盤符自動(dòng)分配，打開注冊(cè)表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，將"Start"的值改為4（禁止自動(dòng)啟動(dòng)），默認(rèn)為3是自動(dòng)分配盤符  　　

2、去掉USB存儲(chǔ)設(shè)備的作用文件：進(jìn)入WINDOWS系統(tǒng)目錄，找到X:\Windows\inf，這里說明一下，USB存儲(chǔ)設(shè)備的作用文件有兩個(gè)，分別是usbstor.inf和usbstor.pnf，因?yàn)楹罄m(xù)可能需要重新打開USB功能，所以不要?jiǎng)h除它，建議拷貝到其他位置，刪除它也沒關(guān)系，但記得做好備份。 　　

用四行批處理指令實(shí)現(xiàn)：  　　copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul  　　copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul  　　del %Windir%\inf\usbstor.pnf /q/f >nul

del %Windir%\inf\usbstor.inf /q/f >nul 　　  　　

3、然后，禁止將電腦里的資料拷貝到USB存儲(chǔ)設(shè)備，意思是把USB存儲(chǔ)設(shè)備設(shè)置只讀的。  　　

打開注冊(cè)表：定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control，在其下新建一個(gè)名為“StorageDevicePolicies”的項(xiàng)，選中它，在右邊的窗格中新建一個(gè)名為“WriteProtect”的DWORD值，并將其數(shù)值數(shù)據(jù)設(shè)置為1  　　

有了這一條，你就是能用USB存儲(chǔ)設(shè)備，也只能單方面讀取數(shù)據(jù)了。  　

　到此，基本上第一個(gè)過程基本完成，實(shí)現(xiàn)的功能包括：禁止使用USB存儲(chǔ)設(shè)備，不影響其他USB外設(shè)，就算要用，也只能把USB存儲(chǔ)設(shè)備設(shè)置成只讀。  　

　接下來說第二個(gè)部分：如何開啟？（部分用戶需要使用USB存儲(chǔ)設(shè)備） 實(shí)際上，逆向操作以上步驟就可以完成開啟，但為了表達(dá)的更完整一些，把過程寫下來：  　　

1、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，將"Start"的值改為3  　　

2、恢復(fù)USB存儲(chǔ)設(shè)備作用文件，還是4行指令：  　　copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul  　　copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul  　　del %Windir%\usbstor.pnf /q/f >nul  　　

del %Windir%\usbstor.inf /q/f >nul 　　 　　

完成后，用戶可使用USB存儲(chǔ)設(shè)備，但不能往里面寫入任何內(nèi)容！不信就試試。  　　  　　

這樣，關(guān)閉也寫了，開啟也寫了，接下來的事情，應(yīng)該知道吧。  　　

批處理代碼：  　　

關(guān)閉過程：  　　

@echo off  　　reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f  　　reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f  　　

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul  　　copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul  　　del %Windir%\inf\usbstor.pnf /q/f >nul  　　

del %Windir%\inf\usbstor.inf /q/f >nul  　　

@echo on 　　 　　

開啟過程：  　　@echo off reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f  　　

copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul  　　copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul  　　del %Windir%\usbstor.pnf /q/f >nul  　　

del %Windir%\usbstor.inf /q/f >nul  　　

@echo on 　　 　　

將以上代碼保存為兩個(gè)BAT文檔，然后放進(jìn)x:\Windows\system32\目錄下，比如DisableUSB.bat和EnableUSB.bat  　　

然后直接在運(yùn)行里面輸入指令：DisableUSB （關(guān)閉）EnableUSB（開啟)