1、USB 权限控制心得接到一个任务,禁止集团内所有电脑的 USB 接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要 USB 接口工作的外部设备。纠结了,这不摆明了让我蛋疼吗? 不过,疼归疼,办法总是要想滴,说白了不就是不让人把公司的机密资料带出去吗?现在这些人,暴力管理还找一大堆冠冕堂皇的理由让你无条件服从,P 服!哥们我楞是从中总结出一条真理:世界上没有办不到的事,只是你愿不愿意想办法。 任务目的: 1、要管制 USB 存储设备,一般用户不能写不能读;部分用户能读不能写入 USB 存储设备;还有一部分大人们(公司高管)平时不读不写,在需要用的时候要能读能写! 2、无论使
2、用什么方式进行管制,不能影响到现在 USB 打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。 额滴神,这帮兔崽子真会折磨人。 任务范围:集团内 800+台电脑 任务时间:2 周 接下来,就得找实施方案了! 1、方案一:BIOS 里全部关闭 USB 端口 2、方案二:Client 端安装 USB 管理软件,用软件进行管制,安装一台服务器,监控所有电脑的 USB 动态 3、方案三:从操作系统注册表下手,批处理执行管理 先说说这三个方案:恕本人愚昧,或许还有很多又好又快捷的方法,但偶当时确实只想到这些,方案一:最操蛋的方法,端口全关了,什么 USB 设备都用不了了,就别提这机那机了,PASS 掉
3、,方案二:所有电脑安装 Client,工作量大,时间根本不够,再说了,我很介意在用户端安装软件,多一个进程多占用一部分内存,到时候电脑速度慢了又会有人大呼小叫了。仍然PASS,第三个,其实这也是俺最喜欢用的手段:批处理!哈哈,就它了。 1、首先,关闭 USB 存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR,将“Start“ 的值改为4(禁止自动启动) ,默认为 3 是自动分配盘符 2、干掉 USB 存储设备的作用文件:进入 WINDOWS 系统目录,找到 X:Windowsinf,这里说明
4、一下,USB 存储设备的作用文件有两个,分别是 usbstor.inf 和 usbstor.pnf,因为后续可能需要重新打开 USB 功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点,删除它也没关系,但记得做好备份。我用两条批处理指令实现: copy %Windir%infusbstor.inf %Windir%usbstor.inf /y nul copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y nul del %Windir%infusbstor.pnf /q/f nul del %Windir%infusbstor.inf /
5、q/f nul 哦不,准确的说是 4 行指令! 3、然后,禁止将电脑里的资料拷贝到 USB 存储设备,意思是把 USB 存储设备设置只读的,干成残废。 打开注册表:定位到 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControl,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的 DWORD 值,并将其数值数据设置为 1 嘿嘿,有了这一条,你就是能用 USB 存储设备,也只能单方面读取数据了,也算是半个残废了。 到此,基本上第一个过程基本完成,实现的功能包括:禁止使用
6、USB 存储设备,不影响其他 USB 外设,就算要用,也把 USB 存储设备干成残废(只读) 。 接下来说第二个部分:如何开启?(部分用户需要使用 USB 存储设备) 实际上,逆向操作以上步骤就可以完成开启,但为了表达的更完整一些,我还是把过程写下来 1、找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR,将“Start“的值改为 3 2、恢复 USB 存储设备作用文件,还是 4 行指令: copy %Windir%usbstor.inf %Windir%infusbstor.inf /y nul copy %Windir%u
7、sbstor.pnf %Windir%infusbstor.pnf /y nul del %Windir%usbstor.pnf /q/f nul del %Windir%usbstor.inf /q/f nul 完成后,用户可使用 USB 存储设备,但不能往里面写入任何内容!你不信?不信就试试嘛,俗话说的好:实践出真知! 不好意思,扯远了! 这样,关闭也写了,开启也写了,接下来的事情,你知道的。 批处理代码,哈哈! 关闭过程: echo off reg add “HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePo
8、licies“ /v WriteProtect /t reg_dword /d 1 /f reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR“ /v Start /t reg_dword /d 4 /f copy %Windir%infusbstor.inf %Windir%usbstor.inf /y nul copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y nul del %Windir%infusbstor.pnf /q/f nul del %Windir%
9、infusbstor.inf /q/f nul echo on 开启过程: echo off reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR“ /v Start /t reg_dword /d 3 /f copy %Windir%usbstor.inf %Windir%infusbstor.inf /y nul copy %Windir%usbstor.pnf %Windir%infusbstor.pnf /y nul del %Windir%usbstor.pnf /q/f nul del %Windir%usbstor.inf /q/f nul echo on 将以上代码保存为两个 BAT 文档,然后放进 x:Windowssystem32目录下,比如DisableUSB.bat 和 EnableUSB.bat 然后直接在运行里面输入指令:DisableUSB (关闭)EnableUSB(开启)打完收工!
