保护内部数据安全--禁用USB端口(1)

作为网管，在日常工作中的主要任务就是要维护网络的安全运行。安全不仅是安装防火墙和杀毒软件，更重要的是对网络中的重要数据进行保护。

在几年前的“软盘时代”，为保证局域网内部的资料不泄密，一般要求局域网内的大部分电脑不得安装软驱，需要对外传递资料时则固定在网络管理部门的部分电脑上进行拷盘。如今，各种各样的USB设备层出不穷，操作系统也都升级到了Windows 2000/XP，USB接口也前置了，资料的传递变得轻而易举，网管的压力也随之变大。网络中的各种资料随时都有失窃的可能，网管不可能监控住一、两百台电脑。

为了保证内部数据的安全，必须要从管理和技术两方面同时着手，一方面尽量避免将重要数据存放在公共空间，所有共享目录设置访问密码；另一方面就是采用最直接的手段——禁用USB端口。

直接禁用USB端口

禁用USB端口的常用方法一般是在BIOS中屏蔽掉USB端口，可以在BIOS里设置Advance Chip Setting，关闭USB ON Board。但是这种方法的安全性不高，稍微有点电脑知识的人都知道诸如放电、Debug等方法可以破解BIOS密码，何况还有许多查看BIOS密码的软件。

经过查询微软的知识库得知，在Windows XP下禁用USB端口有两种方案：

1.如果计算机上尚未安装 USB 存储设备，向用户或组分配对%SystemRoot%InfUsbstor.pnf 和%SystemRoot%InfUsbstor.inf两个文件的“拒绝”权限，这样，用户将无法在计算机上安装 USB 存储设备（如图1）。

 
图1 注册表编辑器窗口
 
图2 权限设置窗口

2.如果计算机上已经安装过 USB 存储设备，请将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor注册表项中的“Start”值设置为 4（如图2）