天天看點

禁用USB

首先了解任務的詳細内容:

任務目的:

1、要管制USB儲存設備,一般使用者不能寫不能讀;部分使用者能讀不能寫入USB儲存設備;還有一部分大人們(公司高管)平時不讀不寫,在需要用的時候要能讀能寫!

2、無論使用什麼方式進行管制,不能影響到現在USB列印機、掃描器、加密狗、滑鼠鍵盤等等外部裝置的使用。 額滴神,這幫兔崽子真會折磨人。

任務範圍:集團内800+台電腦

任務時間:2周

接下來,就得找實施方案了!

1、方案一:BIOS裡全部關閉USB端口

2、方案二:Client端安裝USB管理軟體,用軟體進行管制,安裝一台伺服器,監控所有電腦的USB動态

3、方案三:從作業系統系統資料庫下手,批處理執行管理

先說說這三個方案:恕本人愚昧,或許還有很多又好又快捷的方法,但偶當時确實隻想到這些,

方案一:最操蛋的方法,端口全關了,什麼USB裝置都用不了了,就别提這機那機了,PASS掉,

方案二:所有電腦安裝Client,工作量大,時間根本不夠,再說了,我很介意在使用者端安裝軟體,多一個程序多占用一部分記憶體,到時候電腦速度慢了又會有人大呼小叫了。仍然PASS,

第三個,其實這也是俺最喜歡用的手段:批處理!哈哈,就它了。

各位觀衆,看清楚看明白啦,實施過程開始!

1、首先,關閉USB儲存設備的盤符自動配置設定,打開系統資料庫,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,将"Start"的值改為4(禁止自動啟動),預設為3是自動配置設定盤符

2、幹掉USB儲存設備的作用檔案:進入WINDOWS系統目錄,找到X:\Windows\inf,這裡說明一下,USB儲存設備的作用檔案有兩個,分别是usbstor.inf和usbstor.pnf,因為後續可能需要重新打開USB功能,是以不要删除它,建議拷貝到其他位置,當然你要暴力一點,删除它也沒關系,但記得做好備份。

我用兩條批處理指令實作:

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul

del %Windir%\inf\usbstor.pnf /q/f >nul

del %Windir%\inf\usbstor.inf /q/f >nul

哦不,準确的說是4行指令!

3、然後,禁止将電腦裡的資料拷貝到USB儲存設備,意思是把 USB儲存設備設定隻讀的,幹成殘廢。

打開系統資料庫:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下建立一個名為“StorageDevicePolicies”的項,選中它,在右邊的窗格中建立一個名為“WriteProtect”的DWORD值,并将其數值資料設定為1

嘿嘿,有了這一條,你就是能用USB儲存設備,也隻能單方面讀取資料了,也算是半個殘廢了。

到此,基本上第一個過程基本完成,實作的功能包括:禁止使用USB儲存設備,不影響其他USB外設,就算要用,也把USB儲存設備幹成殘廢(隻讀)。

接下來說第二個部分:如何開啟?(部分使用者需要使用 USB儲存設備) 實際上,逆向操作以上步驟就可以完成開啟,但為了表達的更完整一些,我還是把過程寫下來

1、找到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\USBSTOR,将"Start"的值改為3

2、恢複USB儲存設備作用檔案,還是4行指令:

copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul

copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul

del %Windir%\usbstor.pnf /q/f >nul

del %Windir%\usbstor.inf /q/f >nul

完成後,使用者可使用USB儲存設備,但不能往裡面寫入任何内容!你不信?不信就試試嘛,俗話說的好:實踐出真知!

不好意思,扯遠了!

這樣,關閉也寫了,開啟也寫了,接下來的事情,你知道的。

批處理代碼,哈哈!

關閉過程:

@echo off

reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f

del %Windir%\inf\usbstor.inf /q/f >nul

@echo on

開啟過程:

@echo off reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f

del %Windir%\usbstor.inf /q/f >nul

将以上代碼儲存為兩個BAT文檔,然後放進 x:\Windows\system32\目錄下,比如DisableUSB.bat和EnableUSB.bat

然後直接在運作裡面輸入指令:DisableUSB (關閉)EnableUSB(開啟)

打完收工!

繼續閱讀