如何locking台式机上的USB端口,以防止在台式机上使用USB驱动器。
我应该澄清这些是Windows XP桌面。
我们也应该假设,像大多数新的桌面一样,许多人使用USB来作为键盘和/或鼠标。
应该有一个组策略对象为此,您可以通过Active Directory推送它。 请参阅WinXP Pro上的gpedit.msc 。
如果他们是Windows桌面,则可以使用本地策略(或组策略,如果是Active Directory)。 没有它的默认设置,但MS提供的模板可以在MSKB 555324下find 。
您应该能够从计算机的BIOS中禁用USB端口。 你也可以把它们的电缆从主板上拔下来。
我不认为禁用端口是真的要做你想要的东西。 除非这些电脑使用PS2鼠标和键盘。 只要你有可用的键盘和鼠标的USB端口,有人可以插入一个集线器,并将其USB驱动器插入。 你真正想要做的是防止计算机识别USB存储设备(而不是其他USB设备)通过USB插入。
如果用户对他们的PC有pipe理权限,他们可以覆盖你所做的任何事情来防止这种情况发生。 不过,您可以按照下面的链接来推荐微软的解决scheme:
http://support.microsoft.com/kb/823732
正如已经提到的,您也可以防止从BIOS中的U盘启动。
如果您担心使用软件解决scheme,则可以购买一些硬件锁。
USB端口阻止器
这假定您有预算为每台机器获取这些。 如果他们是USB的话,你也可能需要防止人们拔掉键盘和鼠标。
我在客户网站上看到的两种解决scheme:
在BIOS中,将引导设备设置为仅从硬盘引导,并且密码保护BIOS。 在BIOS中,禁用所有可以使用的USB设备。 为防止U盘挂载,您需要采取其他措施。 你能把电脑放在只有键盘和鼠标电缆出来的盒子里吗? 然后没有可用的USB端口供他们摆弄。
底线是,只要你不信任有机器访问的人,你只能提高安全性,但是你不能得到绝对的安全。
我必须在独立的机器上以及在多个域名机器上执行此操作。 GPO将是一个更好的方式去,但我没有这样做的奢侈。 很显然,如果有人拥有对机器的pipe理权限和一些知识,他们可以撤销这一点。
当时我正在使用这个,我们有所有的XP机器。 没有用户有pipe理员权限。 没有用户[应该是]高级用户。 为了防止用户使用USB海量存储设备,其他一些pipe理员删除了USBSTOR.SYS。 所以,如果我需要重新启用USB大容量存储设备,我也需要恢复驱动程序文件。 (所以我保持当前的副本与下面的文件一起)。 我的“Enable.bat”副本有一行 – 我在这里注释 – 根据需要恢复文件。
Disable.bat:
(可能需要添加“BUILTIN \ Administrators”到CACLS命令,我不必在我的环境中)
@echo off REM ********************************************************************* REM Disabling USB Mass Storage Driver REM ********************************************************************* echo Disabling USB Mass Storage Driver CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users" CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users" REG.EXE IMPORT "Disable.reg"
Disable.reg:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004
Enable.bat
(可能需要为“BUILTIN \ Administrators”添加另一组CACLS命令,我不必在我的环境中)
@echo off REM ********************************************************************* REM Enabling USB Mass Storage Driver REM ********************************************************************* echo Enabling USB Mass Storage Driver REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R REG.EXE IMPORT "Enable.reg"
Enable.reg:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000003
类似的东西可能适用于Vista – 但我没有试过它。
我更愿意训练使用者什么是可以接受的,什么是不可接受的。 如果您远远不能信任您的用户,那么拿走他们的个人电脑,并build立一个瘦客户端系统连接到像运行所有应用程序的Citrix服务器。 我能想到的唯一的另一个解决scheme就是将实际的PC放在一个locking的机柜中,只需要键盘,鼠标和显示器的电缆出来。 在所有情况下,我认为你最终会为自己创造更多的工作。
如果你想有效地从计算机中“删除”这些端口(并且你需要USB),并且如果你愿意修改计算机,我可以build议2部分环氧树脂吗? 用环氧树脂覆盖连接器,没有人再次堵塞任何东西。 热熔胶不是永久性的,但仍然非常有效。
假设你仍然需要键盘/鼠标的USB端口,你将不得不离开一个或两个端口。
Drivelock 。 如果需要,还镜像U盘中的文件,并允许设备,文件types和用户的白名单和黑名单。
您可以通过以下方式禁用USB 存
http://support.microsoft.com/kb/823732
也可以使USB存储器只读 。 这通常是一个很好的折衷办法,因为它允许用户从USB设备读取数据,例如照相机的照片,但是防止他们将企业数据库复制到记忆棒上。
http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm
尝试完全禁用USB可能不太可取,因为键盘和鼠标等function现在通常都需要USB。 上述两者都可以通过registry项或策略文件来设置。 这些设置的优势将与您的Windows策略和组设置一样强大。