一,适用于工作组模式的计算机网络 方法一:修改BIOS设置 这种方法虽然比较“原始”、简单,但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能,所以比较适合长期不使用USB设备(包括USB键盘及鼠标)的用户。 具体操作如下:在电脑开机或重新启动出现主板开机画面的时候,迅速按键盘上的“Delete”键(或根据画面上的提示按相应的键盘按键)进入BIOS设置界面,选择“Integrated Peripherals”选项,展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”,即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码,这样其他人就无法随意进入BIOS更改设置了。 方法二:修改系统文件/注册表 http://support.microsoft.com/kb/823732/zh-cn :微软提供解决方法6 C- f8 r" Z) U2 [ 与第一种方法所不同的是,这种方法仅能禁用USB储存设备,如移动硬盘或优盘,对于其他USB设备,如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。 该方法分两种情况:如果电脑尚未使用过USB设备(比如刚重装好系统),可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。 对于已经使用过USB设备的电脑,要禁用电脑的USB功能,就得通过注册表来实现。如果你对电脑并不熟悉,修改前请先备份注册表。, d3 T; m+ B u5 s. ^1 j9 t 【未使用过USB设备的电脑】 、启动资源管理器,依次打开Windows文件夹下面的子目录Inf。9 x6 l$ c% k4 f) Q( D2 Y 2、在Inf文件夹里,找到“Usbstor.pnf”文件,右键单击该文件,然后选择“属性”。 、再“属性”对话框里单击“安全”选项卡。* y+ q: |& p4 Y 4、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 注意:此外,还需将系统账户添加到“拒绝”列表中。8 W7 `5 ^& c9 p7 c0 r& O- N! z3 K 6、右键单击“Usbstor.inf”文件,然后单击“属性”。4 Y% I$ o1 k, e& h7 s8 }8 ` 7、单击“安全”选项卡。 8、在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。9 t* D( R& ~6 Z1 H 【使用过USB设备的电脑】 、单击“开始”,然后单击“运行”。 、在“打开”框中,键入“regedit”,然后单击“确定”。. r2 [% t0 Q; x6 a; w/ I2 s" I 3、找到并单击下面的注册表项:3 D- S4 q6 K( `' L$ G( k- { HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor/ {" k8 [0 O; @# K9 u1 ` 4、在右边窗格中,双击“Start”。 5、在“数值数据”框中,将原始数值“3”改成“4”。(如果想恢复对USB设备的支持,只需将该值改回“3”即可。) 6、退出注册表编辑器。9 M- {6 b( l9 D+ H; _ C & y( c, [6 K4 e1 y1 c . W/ n. B" k" _1 o: E5 g8 U# M( H ! N: E: F5 s! h8 F 9 C- R3 K5 m/ k4 N* b# p 二、局域网用户禁止USB设备 以上介绍的是工作组环境中禁用USB存储设备,但对于某些规模较大的企业网来说,它采用的是域管理模式,并且客户机数量众多,逐一手工设置起来非常麻烦。这时您可以利用“GFI LANguard Portable Storage Control(简称GLPSC)”工具来解决这个问题,它不但可以控制域环境中的中USB存储设备,还能严格控制软驱或刻录机等设备。/ S+ l9 F4 m6 k! X6 e3 F0 r 1.安装GLPSC/ {6 X l) L7 G/ O + L. {. Q3 N$ B7 ^& w8 m+ j 以域管理员账号登录域控制器后,从http://www.pc173.com/soft/3375.htm下载GLPSC工具。运行GLPSC安装程序,弹出安装配置对话框,同意用户许可协议后,一路点击“Next”按钮,进入到“Protected devices setup(受保护设备配置)”对话框,接下来指定企业网内受到保护和限制的存储设置,如USB设备、软驱或光驱设备,这里一定要在“Devices Type”框中选中“Removable Storage Media e.g.USB…”选项,当然要想限制软驱和光驱等存储设备,也可以选中“Floppy Disk”和“CD-ROM/DVD-ROM”这两个选项。" R/ s. ~' h3 l
7 ^* n% {3 P$ d% k' L! o S& u 然后进入到“Access control agents(访问控制代理)”对话框,在这里一定要选择“Active Directory global security groups”选项,这样GLPSC工具才能和AD活动目录完美结合,网管才能通过域账号来限制和管理用户对USB存储设备的使用。 [5 ?% t3 P U8 q, }1 a# _
7 k7 d& _: Z& W, u8 _3 N6 y 最后进入到“Access control groups setup”对话框,选中“Create the control groups”选项,为GLPSC工具创建一个初始化控制组,这样就完成整个安装过程。2 P0 G+ J4 Y Y6 q; Z7 i 2.设置访问权限. @- A q/ \; r7 z 默认情况下,所有员工是被禁止使用USB存储设备的。对于某些特殊的员工,要想使用USB存储设备,网管只要将该员工域账号加入到“GFI_LPSC_REMOVABLE”控制组中即可,,当然也可以采用手工逐个添加域用户的方法。 这里笔者使用手工添加法,如只允许名为“rtj.net\yanpi”域用户使用USB存储设备。在GLPSC管理控制台窗口中依次点击“Access Permissions? Removable Media”选项后,在“Authorized users(授权用户)”框中选中“Allow only the users and members of the groups below to Access the devices”单选项,然后点击“Add? Active Directory user”按钮,将“rtj.net\yanpi”域用户添加到列表框中。6 w+ }& B6 x( i8 D. H' N* s, u
这样以来,企业网中只有“rtj.net\yanpi”域用户可以使用USB存储设备,而其它用户都被禁用,如果想要别的用户可以使用USB存储设备,按照以上步骤操作即可。! M4 `$ N0 N* Y$ k 3.安装客户代理 下面还需要为域中的客户机安装“客户代理”程序。在GLPSC管理控制台窗口中,依次点击“Tools?Deploy”项目,在右侧的框体中切换到 “Deployment targets”标签页,点击“Add?list of computers from domain”后,弹出“选择计算机”对话框,选中域中所有的客户机,点击“OK”按钮,最后点击底部的“Start”按钮,就开始为域中所有的客户机远程安装和配置客户代理程序了。( v( D6 U* J! x5 S
- K/ t: r: |8 V. ~& k 小提示:默认情况下,客户代理程序安装完成后,域用户机器需要重新启动,为避免影响员工工作,可以取消“Options”框体中的“Reboot computers after Deployment”选项钩选,这样安装完成后,客户机只会弹出警告对话框,不会重新启动。 完成以上步骤后,网管就能严格控制员工对USB存储设备使用了,只有经过网管授权的员工,才能正常访问USB存储设备,而其它员工都是被禁止的。
