保护内部数据安全--禁用USB端口

　　作为网管，在日常工作中的主要任务就是要维护网络的安全运行。安全不仅是安装防火墙和杀毒软件，更重要的是对网络中的重要数据进行保护。

　　在几年前的“软盘时代”，为保证局域网内部的资料不泄密，一般要求局域网内的大部分电脑不得安装软驱，需要对外传递资料时则固定在网络管理部门的部分电脑上进行拷盘。如今，各种各样的USB设备层出不穷，操作系统也都升级到了Windows 2000/XP，USB接口也前置了，资料的传递变得轻而易举，网管的压力也随之变大。网络中的各种资料随时都有失窃的可能，网管不可能监控住一、两百台电脑。

　　为了保证内部数据的安全，必须要从管理和技术两方面同时着手，一方面尽量避免将重要数据存放在公共空间，所有共享目录设置访问密码；另一方面就是采用最直接的手段——禁用USB端口。

　　直接禁用USB端口

　　禁用USB端口的常用方法一般是在BIOS中屏蔽掉USB端口，可以在BIOS里设置Advance Chip Setting，关闭USB ON Board。但是这种方法的安全性不高，稍微有点电脑知识的人都知道诸如放电、Debug等方法可以破解BIOS密码，何况还有许多查看BIOS密码的软件。

　　经过查询微软的知识库得知，在Windows XP下禁用USB端口有两种方案：

　　1.如果计算机上尚未安装 USB 存储设备，向用户或组分配对%SystemRoot%\Inf\Usbstor.pnf 和%SystemRoot%\Inf\Usbstor.inf两个文件的“拒绝”权限，这样，用户将无法在计算机上安装 USB 存储设备（如图1）。

图1 注册表编辑器窗口

图2 权限设置窗口

　　2.如果计算机上已经安装过 USB 存储设备，请将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor注册表项中的“Start”值设置为 4（如图2）

　　这样，当用户将 USB 存储设备连接到计算机时，该设备将无法运行（如图3）。

图3 用户无法使用USB设备

　　禁止修改注册表

　　既然修改注册表可以禁用USB端口，那么为防止用户自行将注册表重新改回，可以考虑通过组策略来限制用户使用注册表编辑器。点击“开始→运行”，输入gpedit.msc 并确定，即可运行程序。在组策略控制台中，选择“本地计算机”策略→用户配置→系统，启用“禁用注册表编辑工具”项，该策略是禁止用户使用 Windows 注册表编辑器 Regedt32.exe 及 Regedit.exe，管理员用户也不例外（如图4）。

图4 禁用注册表编辑工具

图5 注册表被禁用提示

　　启用该策略后，运行regedit命令时，将出现“注册表被禁用”的提示（如图5）。

　　但是禁用注册表并不能高枕无忧，因为用注册表导入的方法仍然可以直接修改注册表。

　　新建一个名为usb.reg的文本文件，输入以下内容：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR]

　　"Start"=dword:00000003

　　双击该文件，将信息添加至注册表中，即可恢复使用USB设备。

　　要想连这种方法都禁掉，只有通过用户权限来实现了。新建一个用户User，隶属于USER组，User用户是没有权利修改注册表的，这样，以User用户登录后，即便有以上的usb.reg文件，添加至注册表时也将被拒绝。

　　组策略详解

　　组策略就是修改注册表中的配置，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，比手工修改注册表方便、灵活，功能也更加强大。组策略中的设置都将在注册表中反映，每个设置都对应注册表中的某一项。

　　由此我们可以得到一种启示，组策略既然设置了注册表，那么如果我们直接更改或删除组策略所产生的注册表项，会不会使组策略失效呢？答案是肯定的。那么怎样知道组策略是修改了注册表中的哪一项？

　　秘密就在于%SystemRoot%\system32\ GroupPolicy\User\Registry.pol文件，Registry.pol文件记载了组策略设置的注册表项，该文件可以用类似UltraEdit32之类的文本编辑器进行查看，在Hex（十六进制）模式下查看，可以看见文件。文件看起来有点乱，中间间隔了很多空格。不过还是可以看出来[Software\Microsoft\Windows\CurrentVersion\Policies\System]分支下DisableRegistryTools项就是禁止编辑注册表的，[Software\Policies\Microsoft\Windows\System]分支下DisableCMD项就是用来禁用命令行的。而在注册表中一般数值为“0”的项意指“否”，这样就很清楚了。

　　组策略被禁用的解决办法

　　组策略中有两个比较有用的选项：只运行许可的Windows应用程序和不要运行指定的Windows应用程序。比如说可以用来让公司的电脑只能运行Photoshop、Word等软件，而不能运行QQ、CS等。

　　在我的工作中遇到的一个有趣的问题，本想禁止用户运行各种游戏和聊天工具的，在“只运行许可的Windows应用程序”策略中设置了工作中所需要用到的各种软件，没想到启用策略后，居然不能再运行“GPEDDIT.MSC”来运行组策略了（我用的是Administrator用户登录），每次运行就如图6所示的提示。

图6 组策略提示窗口

　　经过一番试验，找到了解决注册表被禁用的解决办法：重新启动计算机，按下F8键，在Windows高级选项菜单里选择“带命令行提示的安全模式”，进入安全模式后，出现提示“命令行被禁用”，按下“Ctrl+Alt+Del”组合键，选择“任务管理器”，键入MMC。

　　打开控制台窗口，单击“文件→添加／删除管理单元”，在“独立”选项卡中单击“添加”按钮。

　　选择“组策略”管理单元，单击“添加”按钮，组策略对象的缺省选择为“本地计算机”。单击“完成”，随即出现了熟悉的组策略编辑窗口。这样，接下来要做的就是将启用的策略改为“未被配置”即可。

　　使用上面的方法打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体操作是：

　　1.启动故障计算机至登录状态。

　　2.登录到网络中的另外一台Windows 2000或Windows XP的计算机上，在命令行模式下运行net use \\computername/user:administrator password（请使用正确的参变量值替代其中的computername、password），例如net use \\192.168.0.30/user:administrator 12345。

　　3.键入mmc，基本操作参照上文，在“选择组策略对象”时通过单击“浏览”查找所需的组策略对象。选择计算机时可键入计算机名或直接输入IP地址。

　　小结

　　灵活运用组策略的各种设置，可以为网管工作提供很多便利，例如禁用USB端口，禁止运行和工作无关的软件，禁止修改注册表等。而且在域环境下，可以直接在服务器上针对不同的OU设置各自的组策略，这样用户登录到服务器时，相应的设置就可以生效，避免了网管要在每台电脑上设置的麻烦。建议对于每台电脑Administrator用户密码要由网管统一掌握，必要时可通过网管电脑使用net use命令查看和更改用户电脑上的策略配置情况。