禁用USB接口將網絡安全進行到底

　　一般來說不管是大公司還是中小企業都會非常重視自己的網絡安全，根據可靠資料顯示表明造成計算機安全隱患的最主要原因有兩個，一個是操作系統自身的漏洞以及使用者下載非法程序造成的，而另一種則是因為使用者使用帶有病毒的移動介質（諸如U盤，移動硬盤，MP3，數碼相機等）造成的，當用戶把移動介質插在計算機上後病毒會迅速從移動設備上傳播到本地計算機硬盤中。

第一種情況我們可以通過啟用系統更新來避免，而第二種情況一直沒有好的處理方法，畢竟日常工作中需要頻繁的交換文件，這時不可避免的需要使用移動介質。不過對於一些企業的內部機房來說，可能平時只需要進行一些培訓或者上網浏覽操作，並不需要使用移動介質來傳輸數據，這時我們就可以通過禁用USB接口來實現對移動介質上病毒的防治目的。

一，什麼樣的設備才起作用？

本文將為各位讀者介紹通過權限設置的方法防止USB設備被隨意使用的方法，但是通過此方法後我們仍然可以使用一些USB外設，諸如USB打印機和掃描儀。被禁用的僅僅是移動存儲介質——U盤、移動盤、MP3、數碼相機等。所以說該方法一點也不會影響到日常工作。

二，文件權限法：

文件權限法說白了就是對管理USB存儲設備的系統文件權限加以限制，把%SystemRoot%\Inf\Usbstor.pnf和%SystemRoot%\Inf\Usbstor.inf兩個文件的“完全控制”權限去掉。該方法適用於電腦新安裝後從來沒有接過USB存儲設備（即一次都沒接過U盤之類的介質，當然打印機掃描儀等等不帶存儲功能的產品不算）。

第一步：啟動Windows資源管理器，然後找到%SystemRoot%\Inf文件夾。（如圖1）

圖1（點擊看大圖）

第二步：右鍵單擊“Usbstor.pnf”文件，然後單擊“屬性”。 （如圖2）

圖2（點擊看大圖）

第三步：如果你沒有看到“安全”標簽，說明你的計算機C盤的文件格式不是NTFS，一般來說是FAT32。只有我們將該磁盤分區改為NTFS格式後才可以對某個文件或文件夾設置權限。我們可以在相應的C分區上點鼠標右鍵選擇“屬性”來查看是FAT32文件系統還是NTFS文件系統。（如圖3）

圖3（點擊看大圖）

第四步：如果我們的C盤分區文件系統是FAT32那麼可以執行convert命令將其進行轉換。具體方法是通過“開始->運行->輸入CMD”進入命令行模式，然後鍵入convert c: /fs:ntfs。這樣系統將自動把該分區的文件系統進行修改。不過由於是對C盤系統盤進行操作，所以轉換過程需要在“下一次重新啟動系統時才會運行”。（如圖4）

圖4（點擊看大圖）

第五步：但是有的時候即使你的系統轉換成NTFS格式也沒有出現安全標簽，特別是對XP系統來說，當我們在想設置共享權限的文件夾上點鼠標右鍵選擇“共享和安全”後出現的設置窗口中卻沒有“安全”標簽。（如圖5），要想共享只能把該文件夾或文件復制到“共享文檔”中。實際上這是因為我們使用了簡單共享方式，要想取消這種簡單共享方式需要打開“我的電腦”，在上方菜單中選擇“工具->文件夾選項”。在“查看”標簽中找到“使用簡單文件共享”，將其前頭的對勾去掉即可。（如圖6）

圖6（點擊看大圖）

第六步：確定完畢後我們還需要設置一下“網絡安裝向導”。在文件夾屬性中的共享標簽點“網絡安裝向導”。（如圖7）然後在網絡安裝向導中按照提示一步步進行即可。（如圖8）

圖7（點擊看大圖）

圖8（點擊看大圖）

第七步：設置好網絡安裝向導後我們就可以和WINDOWS2000一樣通過文件夾屬性中的“共享”標簽和“安全”標簽來分配訪問該目錄的用戶及其權限了。（如圖9）

圖9（點擊看大圖）

小提示：

默認情況下如果你是用administrator管理員帳戶登錄的系統，那麼他是不能夠被修改成沒有權限訪問系統文件夾中的數據的。要想禁用USB存儲設備必須單獨建立一個另外的帳戶，哪怕他是管理員組的帳號也可以通過上面介紹的方法將其對於“Usbstor.pnf”文件的完全控制權限剝奪。

第八步：繼續上面的設置工作，右鍵單擊找到的“Usbstor.pnf”文件，然後單擊“屬性”。在安全標簽中的“組或用戶名稱”列表中，單擊要為其設置“拒絕”權限的用戶或組，當然你也可以通過“添加”按鈕對單獨用戶進行設置。

第九步：在“組或用戶權限”列表中，單擊已選中“完全控制”旁邊的“拒絕”復選框，然後單擊“確定”。（如圖10）

圖10（點擊看大圖）

小提示：

在進行此步操作時還需要注意一點的是要將系統帳戶也添加到“拒絕”列表中。

第十步：像尋找“Usbstor.pnf”文件及設置權限一樣，我們還需要對“Usbstor.inf”進行同樣的設置，右鍵單擊“Usbstor.inf”文件，該文件也是存在於系統文件夾中的INF目錄中，然後單擊“屬性”。（如圖11）

圖11（點擊看大圖）

第十一步：在彈出的設置窗口中單擊“安全”選項卡。 在“組或用戶名稱”列表中，單擊要為其設置“拒絕”權限的用戶或組，同樣也可以利用“添加”按鈕對單獨用戶進行設置。 。然後在“組或用戶權限”列表中，單擊已選中“完全控制”旁邊的“拒絕”復選框，最後單擊“確定”。（如圖12）

圖12（點擊看大圖）

當我們順利的完成了對這兩個文件的權限分配操作後，使用該被設置了對此兩個文件拒絕訪問權限的用戶就無法再使用USB存儲設備了，當把U盤或移動硬盤插到計算機的USB接口時只會收到“權限訪問拒絕”的提示。當然正如上文所說連接USB接口的打印機或掃描儀都是沒有問題的，一切正常，一點也不影響使用。

三，注冊表限制法：

如果電腦已經用過USB存儲設備，那麼禁止起來就更加方便了，直接使用注冊表文件進行導入操作即可。

禁止使用USB存儲設備的注冊表內容如下： Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存儲設備"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

我們將上面的代碼保存成一個以REG為後綴的文本文件，，然後雙擊該文件導入注冊表就完成了禁止該計算機使用USB存儲設備的操作。所有用戶都無法用USB存儲設備了，這點和上面僅僅是根據用戶或用戶組來限制的方法是不同的，效果更好應用范圍更廣。

開啟USB存儲設備使用權限的注冊表內容如下： Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"Type"=dword:00000001"Start"=dword:00000003"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存儲設備"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

我們將上面的代碼保存成一個以REG為後綴的文本文件，然後雙擊該文件導入注冊表就完成了開啟該計算機使用USB存儲設備的操作。所有用戶都可以使用USB存儲設備。

四，總結：

本文提供了兩種方法來解決病毒或木馬通過USB存儲設備進行傳播的問題，通過兩種方法對本地計算機的USB存儲設備訪問權限進行了限制，使得某個用戶或所有用戶都無法使用USB存儲設備，兩種方法各有利弊。第一種是針對某個用戶或用戶組進行限制的，而第二種則是對該計算機所有用戶限制使用USB存儲設備的方法，當然對於想在整個網絡中多台計算機一起進行限制的話，筆者還是建議從應用出發，使用注冊表導入的方法來完成，畢竟只需要一個文件然後運行即可，通過組策略或者某些廣播軟件可以輕松實現，省去了要往返於所有計算機分配文件夾訪問權限的操作。