主页 / server / 问题 / 5419
Accepted
Mike Wills
Asked: 2009-05-07 10:15:29 +0800 CST

锁定桌面 USB 端口

  • 772

您如何锁定台式机上的 USB 端口,以便我们可以防止在台式机上使用 USB 驱动器。

我应该澄清一下,这些是 Windows XP 桌面。

我们还应该假设,与大多数新台式机一样,许多台式机都使用 USB 连接键盘和/或鼠标。

windows security windows-xp usb desktop

13 个回答

  1. 如果它们是 Windows 桌面,您可以使用本地策略(或组策略,如果是 Active Directory)。它没有默认设置,但可以在 MSKB 555324下找到 MS 提供的模板。

    • 8
  2. Best Answer

    应该有一个组策略对象,您可以通过 Active Directory 推送它。gpedit.msc在WinXP Pro 上查看。

    • 7

  3. 您应该能够从计算机的 BIOS 中禁用 USB 端口。您也可以拔下它们与主板的电缆。

    • 6

  4. 我不认为禁用端口真的会做你想要的。除非这些电脑使用 PS2 鼠标和键盘。只要您有用于键盘和鼠标的 USB 端口,就可以插入集线器并将其 USB 驱动器插入其中。您真正想要做的是阻止计算机识别通过 USB 插入的 USB 存储设备(但不是其他 USB 设备)。

    • 5

  5. 如果用户对其 PC 具有管理权限,他们可以覆盖您为防止这种情况所做的任何事情。但是,您可以按照以下链接访问 Microsoft 推荐的解决方案:

    http://support.microsoft.com/kb/823732

    如前所述,您还可以在 BIOS 中阻止从 U 盘启动。

    • 5

  6. 如果您担心使用软件解决方案,您可以购买一些硬件锁。

    USB 端口拦截器

    这假设您有预算为每台机器购买这些。如果他们也是 USB,您可能还需要阻止人们拔下键盘和鼠标。

    • 4

  7. 我在客户现场看到的两种解决方案:

    • (Linux) 将相应的/etc/modprobe.conf类型文件中的相关 USB 内核模块 (usb_storage) 列入黑名单
    • 热胶枪
    • 3

  8. 在 BIOS 中,将启动设备设置为仅从硬盘启动,并使用密码保护 BIOS。在 BIOS 中,禁用所有可以使用的 USB 设备。为了防止 U 盘被挂载,您需要采取其他措施。你能把电脑放在一个只有键盘和鼠标线出来的盒子里吗?然后没有可用的USB端口供他们摆弄。

    底线是,只要您不信任可以物理访问机器的人,您只能提高安全性,但无法获得绝对的安全性。

    • 3

  9. 我不得不在独立机器以及几台域机器上执行此操作。GPO 将是一个更好的方式,但我没有这样做的奢侈。显然,如果有人对机器拥有管理员权限并且有一点知识,他们可以撤消此操作。

    在我使用它的时候,我们拥有所有的 XP 机器。没有用户拥有管理员权限。没有用户是[应该是]超级用户。为了帮助阻止用户使用 USB 大容量存储设备,其他一些管理员删除了 USBSTOR.SYS。因此,如果我需要重新启用 USB 大容量存储设备,我还需要恢复驱动程序文件。(因此,我将当前副本与下面的文件一起放在手边)。我的“Enable.bat”副本有一行——我在这里注释掉了——根据需要恢复文件。

    禁用.bat:

    (可能必须将“BUILTIN\Administrators”添加到 CACLS 命令中。我不必在我的环境中添加)

    @echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

    禁用.reg:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

    启用.bat

    (可能需要为“BUILTIN\Administrators”添加另一组 CACLS 命令。我不必在我的环境中添加)

    @echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

    启用.reg:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

    类似的东西可能适用于 Vista——但我还没有尝试过。

    • 3

  10. 我更喜欢培训用户什么是可接受的,什么是不可接受的。如果您不能那么信任您的用户,那么请拿走他们的 PC 并设置一个瘦客户端系统,连接回运行您所有应用程序的 Citrix 服务器之类的东西。我能想到的唯一其他解决方案是将实际 PC 放在一个带锁的柜子中,只露出用于键盘、鼠标和显示器的电缆。在所有情况下,我认为你最终只会为自己创造更多的工作。

    • 2

相关问题