12種方法禁用USB端口 電腦技術吧

想要控制USB端口的數據傳輸，我們收集了目前可行的所有做法，總共歸納為3大類、12種方式。 
第1大類是物理封鎖，又可細分成完全禁用、彈性禁用，以及貼標簽檢查；第2類是修改操作系統設定，從Windows環境著手修改；第3類手段更全面，如果企業想獲得最高的控制彈性，以專用的外設控制解決方案，或搭配其它安全方案的管理手段聯合控制，即可達到要求。而這裡要特別注意的是，企業是否真正需要大量個人端電腦控制與監視能力，如果確有需求，那麼企業多半須要花錢采購、配置特定的設備。 1. bios 中禁用，在Advance Chip Setting 裡，關閉USB ON Board 選項，可以通過debug ，放電，或者軟件等方法破解bios 密碼
2. 文件權限，如果計算機上尚未安裝USB 存儲設備，向用戶或組分配對%SystemRoot%InfUsbstor.pnf 和 %SystemRoot%InfUsbstor.inf 兩個文件的'拒絕'權限。
3. 如果計算機上已經安裝過USB 存儲設備，請將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR 注冊表項中的'Start '值設為4

第一種、禁用BIOS的相關設定
·優點：設定容易，做法簡單
·缺點：BIOS的管理密碼可能被破解
在主板的BIOS設定裡，我們可以將USB端口的功能，設定為禁用。由於設定十分容易，做法簡單，因此成為企業經常用來管理USB設備的手段。為了防止員工自行進入BIOS重新啟用USB端口的功能，一般在完成設定之後，IT人員會同時設定BIOS的管理密碼，只有相關獲得授權的人員才能訪問、更改BIOS設定。 
需要特別注意的是：BIOS與USB端口相關設定的名稱與位置，往往隨品牌的不同，而有所差異，甚至沒有這方面的設定。 
此外BIOS的管理密碼並非設定之後，就無法破解。只要進行主板放電操作，也就是將主板上的紐扣電池取出後、再重新放回，BIOS密碼就會恢復成默認值，而員工就能趁機進入BIOS更改設定。不過，對企業來說，一般都不允許員工私自拆裝公司所配發的電腦，而只要非IT部門的人員，在進行類似的動作時，就很容易引起其他人的注意。而在機密數據外洩事件發生後，此人自然會成為公司重點排查的可疑對象。 圖1

 

在主板的BIOS設定裡，我們可以將USB端口的功能設定為禁用。

第二種、貼上易碎貼紙
·優點：用肉眼就可以分辨電腦的USB端口有無使用過的跡象
·缺點：貼紙不小心破碎時，容易引發不必要的誤會
這種做法經常見於高科技園區的許多IT企業，適用對象多半針對企業的來訪者，較少使用在內部的員工電腦。 
來訪者將筆記本電腦攜入辦公區之前，門口的接待人員會在該台電腦的USB端口與網絡端口上，粘貼一張易碎貼紙，以確認來訪者在進入企業內部的這段時間裡，是否曾經通過這些通用接口聯接外設設備，或者存取數據。 
用易碎貼紙控制USB，好處在於只要通過肉眼，就可以分辨電腦的連接端口是否曾經使用過，可是，一旦貼紙因為各種原因而產生破裂，就很容易造成誤會。這時，IT人員有權檢查來訪者的電腦，看硬盤裡是否存放了本企業的機密數據，在確認無異狀之後，才會放行，讓來訪者把筆記本電腦帶走。