一切为了安全——禁用USB设备

　　前置知识：无

　　脚本小子：信息安全其实一直都包含很广的方面，我们只是一直关注着互联网，事实上它还包含无线数据安全、物理设备安全等，范围很广，整体防范也包括很多东西。而USB设备就是当前的重点防范硬件，因为它可以方便的带走所有

　　适合读者：网络管理员、公司员工

　　前置知识：无

　　脚本小子：信息安全其实一直都包含很广的方面，我们只是一直关注着互联网，事实上它还包含无线数据安全、物理设备安全等，范围很广，整体防范也包括很多东西。而USB设备就是当前的重点防范硬件，因为它可以方便的带走所有数据，让整个企业的商业机密一下暴露在光天化日之下。据说微软未来操作系统Longhorn也将禁用USB设备，而原因就是为了提高安全性，但是在普通的公司、企业中，如何禁用USB设备保障数据安全性呢?

　　一切为了安全——禁用USB设备

　　文/图 yuer

　　以前一提到“安全”二字，大家总会优先想起网络，因为黑客、后门总是数据泄漏的第一渠道。但是随着USB存储设备，尤其是闪存盘的普及，USB设备逐渐成为泄漏资料的“罪魁”，其所带来的危险甚至胜过网络。以目前极为普及的闪存盘为例，它具有免驱动、隐秘性强、容量大、传输速度快等特点，这些特性使之成为一件不折不扣的“间谍”工具。即使一台机器没有联网，不良用心者也可以用闪存盘轻易“带”走保存在本机上的隐秘资料，而且不会留下任何痕迹。因此很多单位都不约而同的用胶带“封杀”了USB接口，但这个“防君子不防小人”的办法并不能真正解决问题。

　　釜底抽薪：屏蔽USB控制器

　　通过修改BIOS设置，可以直接屏蔽主板上的USB控制器，这个方法几乎适用于所有计算机。这里笔者以目前使用最为广泛的Award BIOS为例进行说明。启动计算机时按键盘的Del键进入BIOS设置界面，用方向键定位到“Integrated Peripherals”项，按回车打开，把其中“USB Controller”设置为“Disabled”，如图1所示。

　　图1

　　另外为了防止非法用户更改该设置，请务必加上BIOS密码，然后保存退出，计算机会自动重启，以后计算机上所有的USB接口即告失效。

　　这个方法虽然简单有效，但副作用也非常明显，因为在屏蔽USB接口之后，不但闪存盘之类的移动存储设备不能用，而且连USB接口的外设，例如USB鼠标、键盘、打印机等都将无法使用，很不方便。

　　温柔一刀：修改注册表停用USB驱动

　　在“开始”/“运行”中输入“Regedit”，按回车即可打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主键，双击名为“Start”的DWORD值，将“数值数据”改为4，如图2所示。

　　图2

　　注意右边的“基数”默认为“十六进制”，该设置切勿更改，单击“确定”即可修改完成。

　　现在试试看，插上闪盘，闪盘的工作指示灯不亮，而系统也没有任何反应，这证明我们的修改成功了。为了防止非法用户用同样的方法解锁，最好把Regedit.exe程序改名或者直接删除。

　　小提示：“Start”值是一个控制USB存储设备驱动程序工作状态的开关，可设为以下三种值，设为2时表示自动，设为3时表示手动(这是默认设置)，设为4则为停用。

　　借他山之石：使用第三方工具

　　第三方USB控制工具具有使用简单、安全可靠的特点，强烈推荐大家使用。这里笔者以“攀达计算机USB控制器”(以下简称“攀达”)为例说明。

　　软件名称：攀达计算机USB控制器

　　软件版本：1.1

　　软件性质：共享软件

　　软件体积：2339KB

　　运行平台：Windows 2000/XP

　　下载地址：http://www3.skycn.com/soft/20883.html

　　运行下载得到的可执行文件即可自动完成安装并运行于后台，这时系统托盘里会出现一个熊猫图标，双击会弹出一个对话框，要求你输入管理员密码，“攀达”的初始密码为空，直接按“确定”即可打开其设置窗口，如图3所示。

　　图3

　　首先单击“修改管理员密码”重设管理员密码，至于那三个复选框的作用笔者就不再多费口舌了，大家顾名思义即可。唯一需要说明的是，如果你选择了“程序在后台隐藏运行”，那么就只能按Alt+Shift+P组合键呼出这个设置窗口了。设置完成后，请按右上角的“x”关闭对话框。虽然界面上说需要重启计算机才能使设置生效，但至少在笔者的Windows XP专业版上却是适时生效的。

　　也许笔者提供的这些方法并不完美，但却足以让窃取资料者大费周折，或许他会知难而退，至于最完美的方法，还是期待Longhorn的降临吧!