科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道一切为了安全——禁用USB设备

一切为了安全——禁用USB设备

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

脚本小子:信息安全其实一直都包含很广的方面,我们只是一直关注着互联网,事实上它还包含无线数据安全、物理设备安全等,范围很广,整体防范也包括很多东西。而USB设备就是当前的重点防范硬件,因为它可以方便的带走所有

来源:比特网 2009年6月14日

关键字: USB端口 安全设备 移动设备

  • 评论
  • 分享微博
  • 分享邮件

  

适合读者:网络管理员、公司员工

  前置知识:无

  脚本小子:信息安全其实一直都包含很广的方面,我们只是一直关注着互联网,事实上它还包含无线数据安全、物理设备安全等,范围很广,整体防范也包括很多东西。而USB设备就是当前的重点防范硬件,因为它可以方便的带走所有

  适合读者:网络管理员、公司员工

  前置知识:无

  脚本小子:信息安全其实一直都包含很广的方面,我们只是一直关注着互联网,事实上它还包含无线数据安全、物理设备安全等,范围很广,整体防范也包括很多东西。而USB设备就是当前的重点防范硬件,因为它可以方便的带走所有数据,让整个企业的商业机密一下暴露在光天化日之下。据说微软未来操作系统Longhorn也将禁用USB设备,而原因就是为了提高安全性,但是在普通的公司、企业中,如何禁用USB设备保障数据安全性呢?

  一切为了安全——禁用USB设备

  文/图 yuer

  以前一提到“安全”二字,大家总会优先想起网络,因为黑客、后门总是数据泄漏的第一渠道。但是随着USB存储设备,尤其是闪存盘的普及,USB设备逐渐成为泄漏资料的“罪魁”,其所带来的危险甚至胜过网络。以目前极为普及的闪存盘为例,它具有免驱动、隐秘性强、容量大、传输速度快等特点,这些特性使之成为一件不折不扣的“间谍”工具。即使一台机器没有联网,不良用心者也可以用闪存盘轻易“带”走保存在本机上的隐秘资料,而且不会留下任何痕迹。因此很多单位都不约而同的用胶带“封杀”了USB接口,但这个“防君子不防小人”的办法并不能真正解决问题。

  釜底抽薪:屏蔽USB控制器

  通过修改BIOS设置,可以直接屏蔽主板上的USB控制器,这个方法几乎适用于所有计算机。这里笔者以目前使用最为广泛的Award BIOS为例进行说明。启动计算机时按键盘的Del键进入BIOS设置界面,用方向键定位到“Integrated Peripherals”项,按回车打开,把其中“USB Controller”设置为“Disabled”,如图1所示。

  

  图1

  另外为了防止非法用户更改该设置,请务必加上BIOS密码,然后保存退出,计算机会自动重启,以后计算机上所有的USB接口即告失效。

  这个方法虽然简单有效,但副作用也非常明显,因为在屏蔽USB接口之后,不但闪存盘之类的移动存储设备不能用,而且连USB接口的外设,例如USB鼠标、键盘、打印机等都将无法使用,很不方便。

  温柔一刀:修改注册表停用USB驱动

  在“开始”/“运行”中输入“Regedit”,按回车即可打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主键,双击名为“Start”的DWORD值,将“数值数据”改为4,如图2所示。

  

  图2

  注意右边的“基数”默认为“十六进制”,该设置切勿更改,单击“确定”即可修改完成。

  现在试试看,插上闪盘,闪盘的工作指示灯不亮,而系统也没有任何反应,这证明我们的修改成功了。为了防止非法用户用同样的方法解锁,最好把Regedit.exe程序改名或者直接删除。

  小提示:“Start”值是一个控制USB存储设备驱动程序工作状态的开关,可设为以下三种值,设为2时表示自动,设为3时表示手动(这是默认设置),设为4则为停用。

  借他山之石:使用第三方工具

  第三方USB控制工具具有使用简单、安全可靠的特点,强烈推荐大家使用。这里笔者以“攀达计算机USB控制器”(以下简称“攀达”)为例说明。

  软件名称:攀达计算机USB控制器

  软件版本:1.1

  软件性质:共享软件

  软件体积:2339KB

  运行平台:Windows 2000/XP

  下载地址:http://www3.skycn.com/soft/20883.html

  运行下载得到的可执行文件即可自动完成安装并运行于后台,这时系统托盘里会出现一个熊猫图标,双击会弹出一个对话框,要求你输入管理员密码,“攀达”的初始密码为空,直接按“确定”即可打开其设置窗口,如图3所示。

  

  图3

  首先单击“修改管理员密码”重设管理员密码,至于那三个复选框的作用笔者就不再多费口舌了,大家顾名思义即可。唯一需要说明的是,如果你选择了“程序在后台隐藏运行”,那么就只能按Alt+Shift+P组合键呼出这个设置窗口了。设置完成后,请按右上角的“x”关闭对话框。虽然界面上说需要重启计算机才能使设置生效,但至少在笔者的Windows XP专业版上却是适时生效的。

  也许笔者提供的这些方法并不完美,但却足以让窃取资料者大费周折,或许他会知难而退,至于最完美的方法,还是期待Longhorn的降临吧!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章