企业USB权限控制心得.doc.doc

USB 权限控制接到一个任务, 禁止集团内所有电脑的 USB 接口进行文件拷贝, 但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要 USB 接口工作的外部设备。纠结了,这不摆明了让我蛋疼吗? 不过, 疼归疼, 办法总是要想滴, 说白了不就是不让人把公司的机密资料带出去吗?现在这些人, 暴力管理还找一大堆冠冕堂皇的理由让你无条件服从, P 服!哥们我楞是从中总结出一条真理: 世界上没有办不到的事,只是你愿不愿意想办法。不罗嗦,开工,首先了解任务的详细内容: 任务目的: 1 、要管制 USB 存储设备,一般用户不能写不能读;部分用户能读不能写入 USB 存储设备;还有一部分大人们(公司高管)平时不读不写,在需要用的时候要能读能写! 2、无论使用什么方式进行管制, 不能影响到现在 USB 打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。额滴神,这帮兔崽子真会折磨人。任务范围:集团内 800+ 台电脑任务时间: 2周接下来,就得找实施方案了! 1 、方案一: BIOS 里全部关闭 USB 端口 2、方案二: Client 端安装 USB 管理软件, 用软件进行管制, 安装一台服务器, 监控所有电脑的 USB 动态 3 、方案三:从操作系统注册表下手,批处理执行管理先说说这三个方案:恕本人愚昧,或许还有很多又好又快捷的方法,但偶当时确实只想到这些, 方案一:最操蛋的方法,端口全关了,什么 USB 设备都用不了了,就别提这机那机了, PAS S 掉, 方案二: 所有电脑安装 Client , 工作量大, 时间根本不够, 再说了, 我很介意在用户端安装软件, 多一个进程多占用一部分内存,到时候电脑速度慢了又会有人大呼小叫了。仍然 PASS , 第三个,其实这也是俺最喜欢用的手段:批处理!哈哈,就它了。各位观众,看清楚看明白啦,实施过程开始! 1 、首先, 关闭 USB 存储设备的盘符自动分配, 打开注册表, 找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR ,将"Start" 的值改为 4 (禁止自动启动), 默认为 3 是自动分配盘符 2 、干掉 USB 存储设备的作用文件:进入 WINDOWS 系统目录,找到 X:\Windows\inf ,这里说明一下, USB 存储设备的作用文件有两个, 分别是 和 , 因为后续可能需要重新打开 USB 功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。我用两条批处理指令实现: copy %Windir%\inf\ %Windir%\ /y >nul copy %Windir%\inf\ %Windir%\ /y >nul del %Windir%\inf\ /q/f >nul del %Windir%\inf\ /q/f >nul 哦不,准确的说是 4 行指令! 3 、然后,禁止将电脑里的资料拷贝到 USB 存储设备,意思是把 USB 存储设备设置只读的,干成残废。打开注册表: 定位到 HKEY_LOCAL_MACH