想要控制USB端口的數據傳輸,我們收集了目前可行的所有做法,總共歸納為3大類、12種方式。
第1大類是物理封鎖,又可細分成完全禁用、彈性禁用,以及貼標簽檢查;第2類是修改操作系統設定,從Windows環境著手修改;第3類手段更全面,如果企業想獲得最高的控制彈性,以專用的外設控制解決方案,或搭配其它安全方案的管理手段聯合控制,即可達到要求。而這裡要特別注意的是,企業是否真正需要大量個人端電腦控制與監視能力,如果確有需求,那麼企業多半須要花錢采購、配置特定的設備。 1. bios 中禁用,在Advance Chip Setting 裡,關閉USB ON Board 選項,可以通過debug ,放電,或者軟件等方法破解bios 密碼
2. 文件權限,如果計算機上尚未安裝USB 存儲設備,向用戶或組分配對%SystemRoot%InfUsbstor.pnf 和 %SystemRoot%InfUsbstor.inf 兩個文件的'拒絕'權限。
3. 如果計算機上已經安裝過USB 存儲設備,請將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR 注冊表項中的'Start '值設為4
第一種、禁用BIOS的相關設定
·優點:設定容易,做法簡單
·缺點:BIOS的管理密碼可能被破解
在主板的BIOS設定裡,我們可以將USB端口的功能,設定為禁用。由於設定十分容易,做法簡單,因此成為企業經常用來管理USB設備的手段。為了防止員工自行進入BIOS重新啟用USB端口的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,只有相關獲得授權的人員才能訪問、更改BIOS設定。
需要特別注意的是:BIOS與USB端口相關設定的名稱與位置,往往隨品牌的不同,而有所差異,甚至沒有這方面的設定。
此外BIOS的管理密碼並非設定之後,就無法破解。只要進行主板放電操作,也就是將主板上的紐扣電池取出後、再重新放回,BIOS密碼就會恢復成默認值,而員工就能趁機進入BIOS更改設定。不過,對企業來說,一般都不允許員工私自拆裝公司所配發的電腦,而只要非IT部門的人員,在進行類似的動作時,就很容易引起其他人的注意。而在機密數據外洩事件發生後,此人自然會成為公司重點排查的可疑對象。 圖1
在主板的BIOS設定裡,我們可以將USB端口的功能設定為禁用。
第二種、貼上易碎貼紙
·優點:用肉眼就可以分辨電腦的USB端口有無使用過的跡象
·缺點:貼紙不小心破碎時,容易引發不必要的誤會
這種做法經常見於高科技園區的許多IT企業,適用對象多半針對企業的來訪者,較少使用在內部的員工電腦。
來訪者將筆記本電腦攜入辦公區之前,門口的接待人員會在該台電腦的USB端口與網絡端口上,粘貼一張易碎貼紙,以確認來訪者在進入企業內部的這段時間裡,是否曾經通過這些通用接口聯接外設設備,或者存取數據。
用易碎貼紙控制USB,好處在於只要通過肉眼,就可以分辨電腦的連接端口是否曾經使用過,可是,一旦貼紙因為各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權檢查來訪者的電腦,看硬盤裡是否存放了本企業的機密數據,在確認無異狀之後,才會放行,讓來訪者把筆記本電腦帶走。