author avatar
2018-5-18  劉恩綺  客服部資深專員
 

摘要
大部分的企業或公司都會基於資安問題及商業機密保護的考量,常常會需要禁用電腦USB埠,更準確地說是希望禁用如USB隨身碟、外接硬碟等帶有存儲功能的USB外置存儲裝置。在本文中,我們將為你介紹數種限制USB埠使用的方法。



在企業中,基於電腦安全、商業機密保護的考量,常常會有禁用電腦USB埠的需求,更準確地說是希望禁用如USB隨身碟、外接硬碟等帶有存儲功能的USB設備。但是,如今電腦上使用USB的設備越來越多,在這種情況下如何限制USB存儲裝置使用的同時不影響其他USB設備的使用成為管理時的最大目標。在本文中,我們將為你介紹幾種禁止USB埠的方法。

目錄

方法一:物理隔絕

物理隔絕是一種方法原始但卻意外有效的禁用方式,在這裡提供兩種物理方法的思路,一是使用熱熔膠暴力封堵所有USB介面,這樣一來可以使所有的USB設備無法與電腦進行連接,達到禁用USB的目的。另一種是使用帶鎖具的鐵制外殼,將電腦的主機殼 放置其中的話,除非暴力拆除外殼,否則就無法將USB設備與主機連接。
帶鎖的機箱

圖:帶鎖具的鐵制外殼

熱熔膠封USB埠

圖:使用熱熔膠暴力封堵所有USB介面

優點:

高效的純物理禁止方式,沒有繁瑣的軟體設定。

缺點:

  • 需要使用者具有一定的動手能力。
  • 嚴重影響美觀。
  • 粗暴的改造方式往往難以復原。

推薦:

使用Renee USB Block可以輕鬆•鎖定USB隨身碟埠 •過濾USB隨身碟白名單•上網控制及鎖定網站•程式執行檔鎖定 等等操作。
支援Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系統。 批量訂購更有最高60%+的優惠折扣
詳情請點選瞭解

返回目錄

方法二:使用群組原則或註冊表設定將USB儲存設備限制為唯讀

通過系統自帶的群組原則或是註冊表限制的方式,可以把USB存儲裝置設定成唯讀模式,也就是禁止將電腦裡的資料拷貝到USB存儲裝置,這樣可以起到一定的防止資料拷貝的作用。

通過群組原則設定所有USB設備為唯讀模式:

步驟一:使用Windows鍵+R的複合鍵啟動命令視窗,鍵入gpedit.msc並點選確定。

keyboard-win+r
在執行視窗中鍵入gpedit.msc

步驟二:打開以下路徑:電腦配置-管理範本-系統-卸除式存放裝置訪問,按兩下右側的“抽取式磁碟:拒絕寫入許可權”

步驟三:在彈出的視窗中,選擇“已啟用”,並點選“應用”,這樣將不再能對USB隨身碟進行寫入。

通過註冊表設定所有USB設備為唯讀模式:

禁用

在開始-運行中鍵入“regedit”打開註冊表:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下新建一個名為“StorageDevicePolicies”的項,選中它,在右邊的窗格中新建一個名為“WriteProtect”的DWORD值,並將其數值資料設定為1 。

或者新建文字檔,將下面的代碼拷貝並粘貼到文本中,將文字檔另存為尾碼為“.reg”的檔案,按兩下該檔案將其導入註冊表後,就能禁止對USB存儲裝置進行寫入操作。(可點選此處立即下載)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

@=""

“WriteProtect"=dword:00000001

重新啟用

想要復原時,將剛才新建的DWORD值“WriteProtect”刪除/將資料設定為0。

或者新建文字檔,將下面的代碼複製並粘貼到文本中,將文字檔另存為尾碼為“.reg”的檔,按兩下該檔將其導入註冊表後,就能重新解除USB存儲裝置的唯讀模式,重新對其進行寫入操作。(可點選此處立即下載)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

@=""

“WriteProtect"=dword:00000000

優點:

系統自帶的限制功能,無需借助其他軟體。

缺點:

限制手段十分簡單,熟悉電腦的人以反向的步驟就能輕鬆解除。

推薦:

使用Renee USB Block可以輕鬆•USB隨身碟埠鎖定 •USB隨身碟過濾白名單•上網控制及網站過濾•可執行檔鎖定 等等操作
支援Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系統。 批量訂購更有最高60%+的優惠折扣
詳情請點選瞭解

返回目錄

方法三:修改註冊表完全禁用USB儲存設備

禁止使用USB存儲裝置

新建文字檔,將下面的代碼複製並粘貼到文本中,將文字檔另存為尾碼為“.reg”的檔,按兩下該檔將其導入註冊表後,就能禁止使用USB存儲裝置。(可點選此處立即下載)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

“Type"=dword:00000001

“Start"=dword:00000004

“ErrorControl"=dword:00000001

“ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,2e,00,53,00,59,00,53,00,00,00

“DisplayName"="USB Mass Storage Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

“Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

這裡腳本的原理主要是,通過修改Windows的USB全域埠開關來實現管控,重點語句是:
“Start"=dword:00000004 000000004 代表禁用USB埠,如果改為00000003則代表允許使用USB埠。

使用效果:

禁用前,電腦能正常讀取USB隨身碟

禁用前效果

禁用後,電腦將無法識別USB隨身碟

禁用後效果

重新啟用USB存儲裝置

新建文本檔案,將下面的代碼複製並粘貼到文本中,將文本大幹另存為尾碼為“.reg”的檔案,按兩下該檔案將其匯入註冊表後,就能重新開啟USB存儲裝置的許可權。(可點選此處立即下載)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

 

“Type"=dword:00000001

 

“Start"=dword:00000003

 

“ErrorControl"=dword:00000001

 

“ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

 

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

 

00,52,00,2e,00,53,00,59,00,53,00,00,00

 

“DisplayName"="USB Mass Storage Driver"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

 

“Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

 

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

優點:

系統自帶的限制功能,無需借助其他軟體。

缺點:

  • 註冊表的操作比較麻煩,對於不熟悉電腦的用戶不太友好。尤其是現在網上腳本的品質參差不齊,如果下載了一個錯誤的腳本,就很容易會導致系統出現運行不正常的情況。
  • 限制手段十分簡單,稍微熟悉電腦的人,在網路上一搜,就能找到方法隨意解除這些限制。

推薦:

使用Renee USB Block可以輕鬆•USB隨身碟埠鎖定 •USB隨身碟過濾白名單•上網控制及網站過濾•可執行檔鎖定 等等操作
支援Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系統。 批量訂購更有最高60%+的優惠折扣
詳情請點選瞭解

返回目錄

方法四:使用裝置管理員或BIOS禁用USB埠

使用禁用硬體的方式,同樣可以在一定程度上達到禁用USB埠的作用

1.從BIOS禁用USB埠

通過在主機板BIOS上設定USB埠的關閉,可以完全封鎖電腦上所有USB埠。

步驟一:啟動電腦後按相應按鍵(一般是del鍵)進入BIOS,選擇USB設定

thinkpad設定
什麼是BIOS?

BIOS是Basic Input Output System的縮寫,可以簡單的理解為主機板內置的系統的意思,主要負責系統裡面各個硬體的參數設定,系統啟動和基本的讀寫處理

如何進入電腦的BIOS?請點選這裡查看

步驟二:將USB的相關埠設定更改為DISABLED,就能禁用電腦上所有的USB埠

thinkpad-設定2

2.從裝置管理員禁用USB埠

在電腦自帶的裝置管理員中,同樣可以禁用USB埠。

步驟一:1. 右鍵點選我的電腦-屬性,進入裝置管理員

進入設備管理器
如果找不到我的電腦,也可以按鍵盤上Win鍵+R這一複合鍵啟動命令視窗,鍵入devmgmt.msc進入裝置管理員

步驟二:在裝置管理員中,將“通用序列匯流排控制器”(Universal Serial Bus controllers)中的USB設備全部禁用即可禁用USB埠。

禁用所有USB埠
利用以上兩種方式,雖然可以達到封鎖USB儲存設備的目的,但由於所有USB埠都被封鎖,因此所有如USB滑鼠、鍵盤、音箱等儲存設備以外USB設備都將無法使用,十分不科學。

優點:

全面封鎖所有USB埠,他人無法使用USB儲存設備拷貝電腦的資料。

缺點:

  • 所有USB埠禁止意味著所有USB設備都無法投入使用,在大多數外接設備都以USB作為供電埠的今天十分不便。
  • 僅僅是簡單的封鎖,只要重新啟用埠就能輕鬆解除限制。

推薦:

使用Renee USB Block可以輕鬆•USB隨身碟埠鎖定 •USB隨身碟過濾白名單•上網控制及網站過濾•可執行檔鎖定 等等操作
支援Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系統。 批量訂購更有最高60%+的優惠折扣
詳情請點選瞭解

返回目錄

方法五:使用Renee USB Block鎖定埠

上面介紹的兩種方法,不僅易於破解,而且在實際使用上會為用戶帶來諸多的不便,那麼是否有一種安全、高效的方法,來防止他人使用USB存儲裝置惡意拷貝電腦的資料呢?在這裡,將Renee USB Block推薦給大家。

Renee USB Block是什麼?

Renee USB Block是一款針對電腦USB存儲裝置許可權管理的專業軟體,可以禁止除白名單以外的USB存儲裝置讀取、寫入,從而實現電腦資料防洩密的目的。
Windows版本下載
最新消息:

現在批量購買Renee USB Block,有最高60%+的折扣優惠,詳情請看

Renee USB Block為什麼安全?

Renee USB Block是使用底層的驅動程式對USB設備進行禁用,而非簡單地使用Windows的功能禁用某項設備。
驅動程式是指溝通使用者程式和電腦硬體的特殊程式。譬如需要通過印表機列印檔案,通過word發出了列印指令,電腦所安裝的印表機驅動程式就會對印表機進行溝通,控制印表機進行列印操作。換而言之,沒有驅動程式,硬體就無法正常工作。
安裝Renee USB Block的時候,首先會安裝一個USB過濾驅動程式(過濾程式只會攔截USB存儲裝置,不會攔截滑鼠、鍵盤,因此不必擔心其他USB受影響的情況。)

安裝完成後,連接USB到電腦後,如想要讀取USB存儲裝置,電腦會先發出資料包,該資料包會先到達過濾驅動程式:

情況1:如該USB設備在USB Block的白名單中,則該資料包會繼續傳送到電腦的USB驅動程式,驅動程式分析資料包後,會回饋讀取的資料到電腦系統。

USB隨身碟在白名單中
情況2:如該USB設備不在USB Block的白名單中。則資料包就無法通過USB過濾驅動程式,資料包被攔截從而無法傳送到電腦的USB驅動程式發出讀取指令。
USB隨身碟不在白名單中
可見,使用Renee USB Block時可以智慧區分插入電腦中的USB儲存設備,只有受信任的USB儲存設備才能接入電腦,避免因USB儲存設備造成的電腦被病毒感染或是電腦資料被惡意拷貝的情況,同時軟體只會有針對性地對USB儲存設備起效,其他USB設備則不會受到軟體的影響。

如何使用Renee USB Block限制USB隨身碟?

在開始介紹USB磁片的限制功能前,先讓我們瞭解Renee USB Block的白名單功能。

白名單功能:

對於可信任的USB隨身碟,每次插入都要鍵入密碼的話顯得十分麻煩,利用軟體的白名單功能即可輕鬆地區分可信任USB隨身碟以及其他非受信USB隨身碟,在保護電腦免受USB磁片介質侵害的同時,可以讓可信任的USB隨身碟不再受到軟體的限制,免去軟體使用者不必要的麻煩。

步驟1. 將可信任的USB磁片插入電腦,然後打開Renee USB Block,在白名單功能表中點選“添加”。
添加目標USB存儲裝置到白名單
步驟2.選擇要加入白名單的USB隨身碟,並為其添加容易識別的標籤名稱,點選“確定”即可。在加入白名單後,該USB隨身碟在電腦上的所有操作將不再受到軟體的任何限制。
設定USB存儲裝置名稱

USB磁片讀取限制:

步驟1.打開Renee USB Block,勾選“禁止讀取抽取式磁碟“。

禁止讀取USB隨身碟

步驟2.選擇要加入白名單的USB隨身碟,並為其添加容易識別的標籤名稱,點選“確定”即可。在加入白名單後,該USB隨身碟在電腦上的所有操作將不再受到軟體的任何限制。

鍵入密碼訪問USB存儲裝置

步驟3.只有鍵入正確的軟體密碼後方可對USB隨身碟進行正常訪問,否則無法將無法讀取USB隨身碟。

無法進入USB隨身碟

USB隨身碟讀取限制:

步驟1.打開Renee USB Block,勾選“禁止抽取式磁碟寫入”。

禁止抽取式磁碟寫入
步驟2.之後插入USB隨身碟,軟體會自動彈出需要密碼認證的對話方塊,鍵入正確的密碼打開USB隨身碟。
鍵入密碼訪問USB存儲裝置
步驟3.禁止USB隨身碟寫入後,雖然讀取USB隨身碟裡面的資料,但無法對USB隨身碟寫入資料。換句話說,在啟用禁止USB隨身碟寫入功能後,他人將無法使用USB隨身碟拷貝電腦的資料,避免資料被惡意拷貝的風險。
除USB隨身碟外,軟體還提供禁止CD/DVD、SD讀卡器、Android/iOS手機等多種設備連接電腦的許可權,提供全方位的資料安全保障。

優點:

  • 底層驅動級別的USB過濾保護,安全係數高。
  • 智慧的USB存儲裝置保護,可自動識別USB存儲裝置,不影響其他USB設備使用。
  • 功能靈活,可對讀取、寫入等不同級別的許可權進行限制,匹配更多的使用場景。

缺點:

  • 免費版所有功能只能維持10分鐘,逾時失效。
返回目錄

總結:

基於防止USB儲存途徑對電腦的惡意攻擊、惡意拷貝資料來看,方法1過於粗暴,不僅難以復原,而且對於多個電腦難以批量操作,十分不推薦使用這種方法。方法2、方法3、方法4雖然有一定的限制作用,但以辦公室防洩密的商業級別需求來看,這些使用電腦內置功能設定的所謂“保護”也只是形同虛設,稍微對電腦熟悉的人就能輕鬆將其破解。

而使用方法5的Renee USB Block,借助強大的底層驅動器級別的防護,可以真正全方位地保護辦公環境的電腦,使其免受USB儲存設備的感染以及惡意拷貝的影響,這也是目前USB存儲許可權管理領域最好的軟體之一,尤其適合作為辦公室防洩密場景的解決方案使用,深受眾多企業的好評。

相關熱點主題

保護NAS共用檔案資訊

想建立自己的NAS伺服器並加密?了解如何加密以加強NAS伺服器的安全!
立即了解 >>

免費WiFi真的安全嗎?

使用免費WiFi時,您了解背後的風險嗎?正確認識並規避這些風險!
立即了解 >>

如何禁止瀏覽特定網站

為您介紹多種可禁止使用不同的瀏覽器瀏覽特定的頁面、網站的方法。
立即了解 >>