有软件的人就不说了,USB安全存储专家(如下简称USSE)是一套计算机USB端口屏蔽、USB端口控制、实时监视、实时监控于一体的计算机网络安全控制系统。没软件的朋友能够用这些方法的了。
方法一: 禁用主板usb设备
管理员在CMOS设置里将USB设备禁用,而且设置BIOS密码,这样U盘插到电脑上之后,电脑也不会识别。这种方法有它的局限性,就是不只禁用了U盘,同时也禁用了其余的usb设备,好比usb鼠标,usb光驱等。因此这种方法管理员通常不会用,除非这台电脑很是重要,值得他舍弃掉整个usb总线的功能。可是这种屏蔽也能够破解,即使设置了密码。整个BIOS设置都存放在CMOS芯片里,而COMS的记忆做用是靠主板上的一个电容供电的。电容的电来源于主板电池,因此,只要把主板电池卸下来,用一根导线将原来装电池的地方正负极短接,瞬间就能清空整个CMOS设置,包括BIOS的密码。随后只需安回电池,本身从新设置一下CMOS,就可使用usb设备了。(通常网吧须要使用USB外接设像头,因此通常不是这条)
方法二: 修改注册表项,禁用usb移动存储设备
打开注册表文件,依次展开"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci]”及“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]”双击右面的“Start”键,把编辑窗口中的“数值数据”改成“4”,把基数选择为“十六进制”就能够了。改好后注销一下就能够看见效果了。为了防止别人用相同的方法来破解,咱们能够删除或者更名注册表编辑器程序。
----------------------------------------
USB只读
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
----------------------------------------
USB禁用
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci]
Start=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
Start=dword:00000004
Start”这个键是USB设备的工做开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
----------------------------------------
方法三:禁止安装USB驱动程序
在Windows资源管理器中,进入到“系统盘:WINDOWS\inf”目录,找到名为“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,而后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,选中“彻底控制”后面的“拒绝”复选框,最后点击“肯定”按钮。
再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问,其操做过程同上。完成了以上设置后,该组中的用户就没法安装USB设备驱动程序了,当把U盘或移动硬盘插到计算机的USB接口时只会收到“权限访问拒绝”的提示。固然正如上文所说链接USB接口的打印机或扫描仪都是没有问题的,一切正常,一点也不影响使用。
注意:要想使用访问控制列表(ACL),要采用NTFS文件系统。该方法适用于电脑新安装后历来没有接过USB存储设备(即一次都没接过U盘之类的介质,固然打印机扫描仪等等不带存储功能的产品不算)。
方法四:打开“设备管理器”——在里面单击展开“通用串行总线控制器”,看见几个UBS接口,双击其中之一,在属性的“常规”选项卡的“设备用法”下拉框中选择“停用”按“肯定”返回。以此类推,禁用其它几个。
方法五:隐藏盘符和禁止查看(适用于Windows系统)
打开注册表编辑器,依次展开以下分支[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。键值由四个字节组成,每一个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“个人电脑”中相应的驱动器就被隐藏了。第一个字节表明从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节表明I到P,第三个字节表明Q到X,第四个字节表明Y和Z。好比要关闭C盘,将键值改成04 00 00 00;要关闭D盘,则改成08 00 00 00,若要关闭C盘和D盘,则改成0C 00 00 00(C是十六进制,转成十进制就是12)。
理解了原理后,下面以个人电脑为例说明如何操做:个人电脑有一个软驱、一个硬盘(5个分区)、一个光驱,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),因此个人“NoDrives”值为“02 ff ff ff”,隐藏了B、I到Z盘。
重启计算机后,再插入U盘,在个人电脑里也是看不出来的,但在地址栏里输入I:(个人电脑电后一个盘符是H)仍是能够访问移动盘的。到这里你们都看得出“NoDrives”只是障眼法,因此咱们还要作多一步,就是再新建一个二进制“NoViewOnDrive”,值改成“02 ff ff ff”,也就是说其值与“NoDrives”相同。 这样一来,既看不到U盘符也访问不到U盘了。
方法六:批处理禁用
此批处理程序最好在域环境下使用,由于被禁用的用户若是有管理员权限,这种禁用是能够被破的
一、禁用USB批处理:把下死文字保存为.bat文件,就成了禁用USB接口的脚本:
@echo off
COPY %WINDIR%\inf\usbstor.inf %WINDIR%\usbstor.inf
COPY %WINDIR%\inf\usbstor.PNF %WINDIR%\usbstor.PNF
DEL %WINDIR%\inf\usbstor.inf
DEL %WINDIR%\inf\usbstor.PNF
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f
echo on
二、启用USB批处理:把下死文字保存为.bat文件,就成了启用USB接口的脚本
@echo off
COPY %WINDIR%\usbstor.inf %WINDIR%\inf\usbstor.inf
COPY %WINDIR%\usbstor.PNF %WINDIR%\inf\usbstor.PNF
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f
echo on
若是你的全部计算机都有同一个管理员,且密码相同,你还能够用下面的批处理远程检查一下是
否禁用成功了
@echo off
for /f "delims=" %%i in (C:\hosts.txt) do net use \\%%i\c$ "管理员密码" /user:"管理员用户名" & if errorlevel 1 (
echo %%i false>>C:\false.txt) else (
if exist \\%%i\c$\WINDOWS\inf\usbstor.inf (echo %%i false>>C:\false.txt ) else (
echo %%i successed>>C:\successed.txt)
)
echo on
----------------------------------------
AD 组策略来屏蔽U 盘等可移动磁盘
2010-02-04 16:09:10| 分类: 默认分类 | 标签: |字号大中小 订阅 .
策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网,经过分析和整理,总结以下: 一、 在域控制器上打开Active Directory 用户和计算机,找到您要屏蔽U 盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U 盘”,建好后,双击“屏蔽U 盘”(必需先打开一次,不然系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按如下顺序定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,选中Windows 资源管理器,咱们能够看到有“隐藏个人电脑中的这些指定的驱动器”和“防止从个人电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提供了7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能知足咱们的要求(由于U 盘的盘符一般是排在最后的,并且如今的硬盘比较大,少则也有三 四个分区)。 二、 在域控制器上打开Active Directory 用户和计算机,在刚才咱们新建的“屏蔽U 盘”策略上单击右键选择查看属性,找到"屏蔽U 盘"的组策略的惟一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。 三、 打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盘符依赖于您安装的操做系统所在的分区,若是安装AD 时在C 盘,默认则就是这个路径,其中hcsad.hc 则是你给这个AD 取得名字,我这里给这个域的顶级域名取为为HC,因此这里就是HCSAD.HC),打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM 目录下的system.adm 文件,此文件是咱们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码: * POLICY !!NoDrives EXPLAIN !!NoDrives_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoDrives" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC 8 NAME !!ABConly VALUE NUMERIC 7 NAME !!ABCDOnly VALUE NUMERIC 15 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY 如何利用AD 组策略来屏蔽U 盘等可移动磁盘 * POLICY !!NoViewOnDrive EXPLAIN !!NoViewOnDrive_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoViewOnDrive" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC 8 NAME !!ABConly VALUE NUMERIC 7 NAME !!ABCDOnly VALUE NUMERIC 15 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY 说明:这是两个策略,第一个!!NoDrive,它的做用是在个人电脑中不显示指定的驱动器名,驱动器号表明的全部驱动器不出如今标准的打开对话框上,可是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然能够访问该驱动器;第二个!!NoViewOnDrive 的做用是阻止用户访问驱动器。能够阻止上述状况的出现,可是仅仅用第二个的话,用户能够看见该驱动器的盘符,但不能访问,通常状况,两个同时使用,能够达到比较理想的效果。 仔细观察上述代码,不难发现,其中一共有7 个NAME 项,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on 的意思说值为26 位的二进制,最多可指定26 个驱动器盘符,而1 bit per drive 则表明1 位表明1 个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。咱们可根据咱们的须要修改此代码段,假如咱们要隐藏A、B、C、F、G、H、I,您能够根据您的须要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端全部的USB 接口数(防止有人同时插入几个U 盘,呵呵,可是我建议,在作系统规划时就要 注意这个问题:就是固定给全部的电脑分配几个盘,如4 个,即:CDEF,这样咱们就能够利用禁掉除CDEF 全部的盘,这样就能够保证万无一失啦,哈哈…)。那么咱们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的NAME !!ABCDOnly VALUE NUMERIC 15下插入一行NAME !!ABCFGHIOnly VALUE NUMERIC 487,随后,利用查找命令,找到如下字段:在 ABConly="仅限制驱动器 A、B 和 C" ,这一段文字,下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I",等于号后引号内的说明您能够根据本身的喜爱定义,它将会显示在策略的下拉框中。保存后,打开“屏蔽U 盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管如何利用AD 组策略来屏蔽U 盘等可移动磁盘理器”,在右边的窗口中双击“隐藏个人电脑中的这些指定的驱动器”或“防止从个人电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都须要设置),保存后,包含于该组织单位下的用户登陆时,便会发现他的U 盘插上后,系统虽能识别并正确安装驱动,但在“个人电脑”中却没法看见,而且经过其余方法也没法访问,包括在地址栏中输入盘符。 最后,附上从A 到Z 对应的每个数字,方便你们理解: A B C D E F 1 2 4 8 16 32 G H I J K L 64 128 256 512 1024 2048 M N O P Q R 4096 8192 16384 32768 65536 131072 S T U V W X 262144 524288 1048576 2097152 4194304 8388608 Y Z 16777216 33554432 根据上表中的数字,你们能够根据实际想禁用的盘符而后对应表上的数字得出的总数,如想禁用全部的盘符,即从A 到Z,则以上的数字相加等于67108863,以上面找到的那两段代码,其中就有一项禁用全部盘符,后面的数字也正好是这个。 举例:好比你若是想禁止除CDEF 这四个盘之外的全部盘,则是按上表中的数字去掉CDEF 中对应的数字,四个盘对应的数字正好是60,所以,将这个总数:67108863 减去60=67108803。而后在上面插入的那段字符里作相应的调整,你也能够根据喜爱,建立多个组合,如禁止CDEFGHIJK,或是禁止XYZ 等等。可是要注意此段代码:NAME !!ABCFGHIOnly VALUE NUMERIC 487(好比你想禁用从除CDEF 以外的全部盘符,是要在这段代码的!!后面写成这样:ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……,后面的NUMERIC 487 则根据你想要禁用的盘符的数值(见上表)加起来的和,总而言之一句话,你想要禁用的盘符都要在这段代码里面。 至此,所有设置完毕,让您的客户段使用此OU 下的用户登陆看看吧!