禁用USB接口.docx

禁用USB接口.docx

《禁用USB接口.docx》由会员分享，可在线阅读，更多相关《禁用USB接口.docx（9页珍藏版）》请在冰豆网上搜索。

禁用USB接口

方法一，BIOS设置法（快刀斩乱麻法）

进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disabled”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：

这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了打印机、U盘和移动盘。

由于此法过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的启动（适用于windowsXP/2000/2003）

打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

（“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

）“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

注意：

此办法只对一部分USB存储设备有效。

方法三，隐藏盘符和禁止查看（适用于windows系统）

打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\windows\CurrentVersion\PloicIE，新建二进制值“NoDrives”，其缺省值均是00000000，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:

到Z:

的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。

第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。

比如要关闭C盘，将键值改为04000000；要关闭D盘，则改为08000000，若要关闭C盘和D盘，则改为0C000000（C是十六进制，转成十进制就是12）。

理解了原理后，下面以我的电脑为例说明如何操作：

我的电脑有一个软驱、一个硬盘（5个分区）、一个光驱，盘符分布是这样的：

A:

（3.5软盘）、C:

、D:

、E:

、F:

、G:

、H:

（光盘），所以我的“NoDrives”值为“02ffffff”，隐藏了B、I到Z盘。

注意：

重启电脑后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:

（U盘盘符）还是可以访问移动盘的。

到这里大家都看得出“NoDrives”只是障眼法。

管理员可以利用本特点“偷偷”使用。

方法四，禁止安装USB驱动程序

在windows资源管理器中，进入到“系统盘:

windowsinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。

再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。

完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。

注意：

要想使用访问控制列表（ACL），要采用NTFS文件系统。

注意：

此办法只对在本电脑未使用过的USB存储设备

方法五，修改注册表

点击“开始，运行”，在运行对话框中输入“regedit”命令，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”，找到“Start”键，双击打开，将其值修改为“4”，点击“确定”按钮后，重新启动系统

“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

这里我使用结束桌面进程的方法可以来刷新注册表,这样我们就不必重启了..呵呵

我把命令写上来..

taskkill/f/imexplorer.exe&&startexplorer.exe

把上面这一句保存为"刷新注册表.bat"

就可以了。

屏蔽USB端口，往往出于一个方面的考虑：

安全。

这个安全包括病毒安全和数据安全。

现在的USB闪存病毒可是猖獗的很，同时，你电脑上面的东西，不希望有人用U盘轻松拷贝走的话，你就得封锁USB端口了。

对很多企业来说，这个的需求倒是不小。

当然，无论是防君子还是小人，对于电脑高手，是防不住的。

　　下面，看看如何把WindowsVista系统的USB端口给封锁掉。

　　本文提供了两种方法，每种方法都可以参考，看自己的使用习惯了。

　　一、手工修改注册表

　　更改注册表项，包含3个途径也，禁用USB设备启动、禁用向USB设备写入数据、隐藏和禁止查看盘符，下面挨个说明。

　　1、打开注册表编辑器：

Win键+R键打开运行窗口运行regedit，或者在WindowsVista开始菜单的搜索栏中输入regedit，开启注册表编辑器。

如果弹出UAC提示窗口，则点击确认。

　　2、在注册表管理器中，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR，在右边窗口里面双击Start这个注册表项，将键值由3改为4，点击确定即可（如果要恢复，将Start注册值由4改为3，即可就能用USB设备了）。

这样，重启后就可以禁用USB设备启动了，在资源管理器中是看不到USB设备的盘符，自然也就更无法使用了。

如图1所示：

图1注册表修改

　　修改注册表禁用向USB设备写入数据，也可以封锁USB口，实施方法是：

打开注册表编辑器，定位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies，在右侧窗口中创建一个DWORD的表项，名为WriteProtect，值为1；如果没有该注册表分支，可先创建分支（将该值改回0即可能够写入USB数据，否则只能读USB设备中的数据）。

修改后确定即可。

重启机器后，任何想向USB设备中写入数据都会显示错误提示。

如图2所示。

图2修改数值

　　修改注册表隐藏和禁止查看盘符也起到封锁USB口的目的，实施方法是：

打开注册表编辑器，定位到HKEY_CURRENT_USER\software\micosoft\Windows\CurrentVersion\Ploicies\Explorer，新建一二进制注册表项NoDrives，其值00000000表示不隐藏任何驱动器，设置其值为00ffffff以便隐藏I到Z盘，这样在资源管理器中看不到I到Z盘了；新建一个二进制项NoViewOnDrive，其值定为00ffffff，就达到禁看的目标了（将每个项的值改为00000000，就又可以使用USB设备了）。

　　大家可以在Vista中创建已受限账户，该账户没有修改注册表的权限，然后把它发给大家使用，这个账户中的USB设备使用就可以是被禁止的，于是就无人能够利用小提示中的改回设置了。

有效的禁用USB端口？

　　为了公司商业机密资料的安全性，公司里面所有电脑都是没有软驱和光驱的，并且公司的网络出口也是有上网监控。

但是公司一百多台台电脑主板上都有USB端口，这样就给闪盘盗取电脑资料提供了方便。

如果可以在电脑中禁用USB设备，那电脑中的数据就会安全多了。

下面就来介绍几种禁用USB设备的方法。

一．在BIOS中禁用

　　在主板上我们可以通过BIOS来对USB设备进行控制。

进入BIOS设置界面选中里面的“IntegratedPeripherals”项按回车，进入后再选中“OnChipPCIDevice（s）”后按回车，把里面的“OnChipUSBController”设置为“Disabled”就可以了，但是为了防止一些知道此方法的人来修改该设置，最好再给BIOS设置加上密码，这样就确保万无一失了。

　　但是这个方法也有一个缺点，就是它禁用了所有的USB设备，如一些USB的鼠标、键盘、打印机等，都无法使用了，且别人也可能通个进入BIOS的方法修改，USB又能恢复正常使用。

二．修改注册表禁用

还有一个方法就是通过修改注册表来实现。

打开注册表文件，依次展开“HKEY_LOCAL_MACHINE\SYS

TEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“4”，把基数选择为“十六进制”就可以了。

改好后重新启动一下电脑就可以看见效果了。

为了防止别人用相同的方法来破解，我们可以删除或者改名注册表编辑器程序。

提示：

“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

但是这个方法也有一个缺点，用户可以修改注册表再次启用USB。

三．用专用软件禁用

我们还可以通过一些专用的软件来禁止USB设备的使用，如用“瑞世恒华USB加锁王”（下载地址：

）就可以轻松的?

..夜δ芊浅Ｇ看蟆?

/a>

　　使用瑞世恒华USB加锁王的好处：

只能由管理员才能改变USB设置，其他人XX无法改变。

系统一经安装，每次开机都会在后台自动启动，无法恶意删除、终止、卸载或破坏它，保证了电脑使用的安全性

运行注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键，取消System的所有控制权。

如果要分配控制权，只需要对相应用户设置控制权限就可以了。

提示：

Windows2000中要设置注册表的控制权限，需用Regedt32．exe注册表编辑器。

1.计算机未安装USB设备

　　这种情况可以采取将%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。

　　Step1：

右击这两个文件，选择“属性→安全→高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。

　　Step2：

在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。

　　这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备

　　2.计算机已安装了USB设备

　　这种情况可以通过修改注册表来实现。

方法是修改注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的“Start”值，改为十六位进制数值“4”。

　　该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。

如果想要限制用户随意使用USB设备的话，可以通过修改注册表权限来实现。

点击“开始”菜单中的“运行”，输入并执行Regedt.exe命令，打开注册表编辑器，依次展开如下子键：

HKEY_LOCAL_MACHINE\SYSTEM\

ControlSet002\Services\USBSTOR，点击“编辑”菜单中的“权限”，并在打开的该子键权限对话框中取消System的所有控制权。

如果想分配USB控制权，只需要对相应用户设置控制权限就可以啦！

如今优盘的使用很普遍了，无论品牌机还是兼容机，大伙在购置回家后都喜欢搭配上个优盘，拷起东西来很方便。

然而，在单位由于受到商业竞争的原因，大多数机器上是不允许使用优盘的，因为那样老板心里不舒服，担心商业泄密。

这不，最近单位老总要求本人彻底封杀优盘（除了有特权的用户）。

赶快行动吧，不然老板怪罪下来，吃不了可兜着走。

　　我们单位大多数使用的是window2000、windowxp系统。

Window98所占的比例不多，因此重点放在屏蔽window2000、windowxp上。

关于封杀usb接口的文章在网上挺多的，大多数是通过cmos的修改来屏蔽usb接口，或者是将window系统中的i386文件夹下的设备压缩包彻底删除，再者就是通过停用usb总线控制器。

这些方法有的在达到目的的同时，也阻碍了其他设备的应用，效果不是很友好。

这让我想到了是否应用组策略来实现封杀的目的，因为在原来我曾利用它封杀过某个盘区的使用，当然不是因为私人的物件也是为了产品的保密。

思路很好，那实践一下看看效果如何吧?

　　首先，在“开始—>运行.”中输入”gpedit.msc”后，便打开了如下图1所示:

　　我们就是利用“防止从‘我的电脑”访问驱动器“来设置禁止usb接口。

双击打开启用后，发现并不像我们想象的那样驱动盘符都存在，如图2所示:

而且存在这么一个问题，每个电脑的分区数不同，分配给优盘的区号也不同，怎样将其封杀呢?

　　经过一段时间的摸索，我找到了控制组策略的模板文件，它就是$Systemroot$\System32\GroupPolicy\Adm\system.adm，用笔记本打开后，截图如图3:

　　呵呵，发现了吧?

在“NAME!

!

×OnlyVALUENUMERIC×”语句，前面的好似一个定义，跟我们在图2看到的效果相似，而且有这么句“low26bitson（1bitperdrive）”，意思说“26位每一个设备占1位”。

每个分区是按着1、2、4、8、16、32、等逐步递增，于是经过试验，果然如此，只要将除了硬盘分区保留外，我们将所有的字母写上，同时算出数值。

　　即将:

　　NAME!

!

EFGHIONLYVALUENUMERIC496

　　（注:

我这里只是举了5个盘符，为什么?

后面说明）

将上面的语句在“!

!

NoDrives_Help”和“!

!

NoViewOnDrive”两个地方上填写。

并且在图4所示的位置，也要加入一行:

　　EFGHIONLY=“限制驱动器E、F、G、H、I”。

　　否则，在你重新打开gpedit时会出错误信息。

当所有工作做完后，保存该文档，打开组策略，看看效果:

　　图5所示:

　　呵呵，是吧?

在下拉菜单中出现了我们设置的驱动器号了。

将上面的语句在“!

!

NoDrives_Help”和“!

!

NoViewOnDrive”两个地方上填写。

并且在图4所示的位置，也要加入一行:

　　EFGHIONLY=“限制驱动器E、F、G、H、I”。

　　否则，在你重新打开gpedit时会出错误信息。

当所有工作做完后，保存该文档，打开组策略，看看效果:

　　图5所示:

　　呵呵，是吧?

在下拉菜单中出现了我们设置的驱动器号了。