《管控usb接口的方法》由会员分享,可在线阅读,更多相关《管控usb接口的方法(6页珍藏版)》请在金锄头文库上搜索。
1、管控usb接口的方法身为一名技术人员,接到boss的任务说要管控usb接口,不让 公司资料外流,如果是你,你会怎么做呢?以下是精心为大家的管控 usb接口的方法,希望对大家有所帮助!更多内容请关注!接到一个任务,禁止集团内所有电脑的USB接口进行文件拷贝, 但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接 口工作的外部设备。不过,办法总是要想滴,说白了不就是不让人把 公司的机密资料带出去吗?现在这些人,暴力管理还找一大堆冠冕堂 皇的理由让你无条件服从,P服!哥们我楞是从中总结出一条真理: 世界上没有办不到的事,只是你愿不愿意想办法。不罗嗦,开工,首先了解任务的详细内容:任务目的:
2、1、要管制USB存储设备,一般用户不能写不能读;部分用户能 读不能写入USB存储设备;还有一部分大人们(公司高管)平时不读不 写,在需要用的时候要能读能写!2、无论使用什么方式进行管制,不能影响到现在USB打印机、 扫描仪、加密狗、鼠标键盘等等外部设备的使用。额滴神,这帮兔崽 子真会折磨人。任务范围:集团内800+台电脑任务时间:2周接下来,就得找实施方案了!1、方案一:BIOS里全部关闭USB端口2、方案二:Client端安装USB管理软件,用软件进行管制, 安装一台服务器,监控所有电脑的USB动态3、方案三:从操作系统注册表下手,批处理执行管理先说说这三个方案:恕本人愚昧,或许还有很多又好
3、又快捷的 方法,但偶当时确实只想到这些,方案一:最操蛋的方法,端口全关了,什么USB设备都用不了 了,就别提这机那机了,PASS掉,方案二:所有电脑安装Client,工作量大,时间根本不够,再 说了,我很介意在用户端安装软件,多一个进程多占用一部分内存, 到时候电脑速度慢了又会有人大呼小叫了。仍然PASS,第三个,其实这也是俺最喜欢用的手段:批处理!哈哈,就它了。各位观众,看清楚看明白啦,实施过程开始!1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找 到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTO R,将Start的
4、值改为4(禁止自动启动),默认为3是自动分配盘符2、干掉USB存储设备的作用文件:进入WINDOWS系统目录,找 到X:Windowsinf,这里说明一下,USB存储设备的作用文件有两个, 分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB 功能,所以不要删除它,建议拷贝到其他位置,当然你要暴力一点, 删除它也没关系,但记得做好备份。我用两条批处理指令实现: copy%Windir%infusbstor.inf%Windir%usbstor.inf/ynul copy%Windir%infusbstor.pnf%Windir%usbstor.pnf/ynul
5、del%Windir%infusbstor.pnf/q/fnul del%Windir%infusbstor.inf/q/fnul哦不,准确的说是4行指令!3、然后,禁止将电脑里的资料拷贝到USB存储设备,意思是把 USB存储设备设置只读的,干成残废。打开注册表:定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl,在其下 新建一个名为“StorageDevicePolicies ”的项,选中它,在右边的 窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据 设置为1嘿嘿,有了这一条,你就是能用USB存储设备,也只能单方
6、面 读取数据了,也算是半个残废了。到此,基本上第一个过程基本完成,实现的功能包括:禁止使 用USB存储设备,不影响其他USB外设,就算要用,也把USB存储设 备干成残废(只读)。接下来说第二个部分:如何开启?(部分用户需要使用USB存储设备)实际上,逆向操作以上步骤就可以完成开启,但为了表达的更完整一些,我还是把过程写下来1、找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTO R,将Start的值改为32、恢复USB存储设备作用文件,还是4行指令:copy%Windir%usbstor.inf%Windir%infusbstor.
7、inf/ynulcopy%Windir%usbstor.pnf%Windir%infusbstor.pnf/ynuldel%Windir%usbstor.pnf/q/fnuldel%Windir%usbstor.inf/q/fnul完成后,用户可使用USB存储设备,但不能往里面写入任何内 容!你不信?不信就试试嘛,俗话说的好:实践出真知!这样,关闭也写了,开启也写了,接下来的事情,你知道的一 一批处理代码。关闭过程:echooffregaddHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStor ageDevicePolicies /vWrit
8、eProtect/treg_dword/d1/fregaddHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices USBSTOR/vStart/treg_dword/d4/fcopy%Windir%infusbstor.inf%Windir%usbstor.inf/ynulcopy%Windir%infusbstor.pnf%Windir%usbstor.pnf/ynuldel%Windir%infusbstor.pnf/q/fnuldel%Windir%infusbstor.inf/q/fnul echoon开启过程:echooffregaddH
9、KEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesUSBSTOR/vStart/treg_dword/d3/fcopy%Windir%usbstor.inf%Windir%infusbstor.inf/ynulcopy%Windir%usbstor.pnf%Windir%infusbstor.pnf/ynuldel%Windir%usbstor.pnf/q/fnuldel%Windir%usbstor.inf/q/fnulechoon将以上代码保存为两个BAT文档,然后放进 x:Windowssystem32 目录下,比如 DisableUSB.
10、bat 和 EnableUSB.bat然后直接在运行里面输入指令:DisableUSB(关 闭)EnableUSB(开启)打完收工!有朋友问了,你方案是有了,但如何在网内实施?难道需要在每一台电脑上运行这两个指令吗,恐怕也不太现实吧?!具体实施的过程可以使用以下批处理来完成!将以下代码保存为Scan.Bat,将DisableUSB.bat放到与批处 理同一文件夹执行即可。代码解释:扫描局域网中的计算机,扫描范围包括: 192.168.1.1192.168.8.254,扫描数量共计2032个,扫描到存活的 主机后将DisableUSB.bat拷贝到对方机器的C$系统共享目录(这个 得保证是开启状态),然后执行。代码:echooffecho操作成功的雷月笛IP包括:E:Suess.txtfor/l%ain(1,1,8)do(for/l%bin(1,1,254)do(ping-n1-w50192.168.%a.%b&use192.168.%a.%bpassword/ user:administrator&?DisableUSB.bat192.168.%a.%bC$Wind owsSystem32DisableUSB.bat&StartDisableUSB.batE:Suess. txt)
