Heelen Diyond’s Blog

为了防止病毒传播或资料外泄，很多网吧、学校和公司的电脑都采取不安装软驱、光驱的方法来预防。但是USB移动存储的出现使病毒传播或资料外泄更难以防范，一直是管理员头疼的事情。为了禁用或管理USB接口，很多人都是在CMOS中禁止USB接口并设置密码，更有甚者用电烙铁取下主板上的USB接口，这些都不是简便的方法，尤其是针对域中的多台计算机，工作量就更大了。下面笔者将介绍如何在一台或多台电脑上禁用/管理USB接口的方法。

一、在WindowsXP中禁用/管理USB接口

1、计算机未安装USB设备

这种情况可以采取将%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。

step1：右击这两个文件，选择”属性”——”安全”——”高级”，在”权限”页面中取消”从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。

step2：在”安全”页面中，选择要屏蔽的用户或用户组，在”完全控制”中选择”拒绝”复选框，然后单击”确定”。

这种方法通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的”WindowsNT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。

2、计算机已安装了USB设备

这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的”Start”值，改为十六位进制数值”4″。

该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。

二、WindowsNT以上系统通用方法

运行注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键，取消system的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。

小提示：Windows2000中要设置注册表的控制权限，需用regedt32.exe注册表编辑器。

三、禁止/管理域中多台计算机USB设备的使用

方法很简单，就是在域控制器上通过组策略限制用户对”WindowsNT以上系统通用方法”中注册表键的控制权即可。

经典问答：

问：我的USB接口是2.0的，Windows2000下如何驱动？

答：安装相关驱动或者SP4补丁。

问：插上USB接口的移动存储盘，存储盘的指示灯不亮，而存储盘是正常的；插上USB接口的扫描仪，使用正常。

答：问题出在电源供电不足上。移动存储盘的供电是来自系统电源，所以如果电源的功率不足，就不能提供USB设备的正常工作用电，所以需要更换大功率电源或减少用电设备。而像USB接口的扫描仪的外接电源设备，是由外部提供电源的，所以不存在供电不足现象。