禁止所有电脑的USB接口进行文件拷贝

禁止所有电脑的USB接口进行文件拷贝但不能妨碍用USB接口的鼠标、键盘、加密狗等接到一个任务，禁止集团内所有电脑的USB接口进行文件拷贝，但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备。纠结了，这不摆明了让我蛋疼吗？不过，疼归疼，办法总是要想滴，说白了不就是不让人把公司的机密资料带出去吗？现在这些人，暴力管理还找一大堆冠冕堂皇的理由让你无条件服从！哥们我楞是从中总结出一条真理：世界上没有办不到的事，只是你愿不愿意想办法。不罗嗦，开工，首先了解任务的详细内容：任务目的：1、要管制USB存储设备，一般用户不能写不能读；部分用户能读不能写入USB存储设备；还有一部分大人们(公司高管)平时不读不写，在需要用的时候要能读能写！2、无论使用什么方式进行管制，不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。任务范围：集团内800+台电脑任务时间：2周接下来，就得找实施方案了！1、方案一：BIOS里全部关闭USB端口2、方案二：Client端安装USB管理软件，用软件进行管制，安装一台服务器，监控所有电脑的USB动态3、方案三：从操作系统注册表下手，批处理执行管理先说说这三个方案：恕本人愚昧，或许还有很多又好又快捷的方法，但偶当时确实只想到这些。方案一：最操蛋的方法，端口全关了，什么USB设备都用不了了，就别提这机那机了，PASS掉。方案二：所有电脑安装Client，工作量大，时间根本不够，再说了，我很介意在用户端安装软件，多一个进程多占用一部分内存，到时候电脑速度慢了又会有人大呼小叫了。仍然PASS。第三个，其实这也是俺最喜欢用的手段：批处理！哈哈，就它了。各位观众，看清楚看明白啦，实施过程开始！1、首先，关闭USB存储设备的盘符自动分配，打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将Start的值改为4(禁止自动启动)，默认为3是自动分配盘符2、干掉USB存储设备的作用文件：进入WINDOWS系统目录，找到X:\Windows\inf，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。我用两条批处理指令实现：copy%Windir%\inf\usbstor.inf%Windir%\usbstor.inf/ynulcopy%Windir%\inf\usbstor.pnf%Windir%\usbstor.pnf/ynuldel%Windir%\inf\usbstor.pnf/q/fnuldel%Windir%\inf\usbstor.inf/q/fnul准确的说是4行指令！3、然后，禁止将电脑里的资料拷贝到USB存储设备，意思是把USB存储设备设置只读的，干成残废。打开注册表：定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control，在其下新建一个名为“StorageDevicePolicies”的项，选中它，在右边的窗格中新建一个名为“WriteProtect”的DWORD值，并将其数值数据设置为1嘿嘿，有了这一条，你就是能用USB存储设备，也只能单方面读取数据了，也算是半个残废了。到此，基本上第一个过程基本完成，实现的功能包括：禁止使用USB存储设备，不影响其他USB外设，就算要用，也把USB存储设备干成残废(只读)。接下来说第二个部分：如何开启？(部分用户需要使用USB存储设备)实际上，逆向操作以上步骤就可以完成开启，但为了表达的更完整一些，我还是把过程写下来1、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将Start的值改为32、恢复USB存储设备作用文件，还是4行指令：copy%Windir%\usbstor.inf%Windir%\inf\usbstor.inf/ynulcopy%Windir%\usbstor.pnf%Windir%\inf\usbstor.pnf/ynuldel%Windir%\usbstor.pnf/q/fnuldel%Windir%\usbstor.inf/q/fnul完成后，用户可使用USB存储设备，但不能往里面写入任何内容！你不信？不信就试试嘛，俗话说的好：实践出真知！这样，关闭也写了，开启也写了，接下来的事情，你知道的。批处理代码关闭过程：@echooffregaddHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies“/vWriteProtect/treg_dword/d1/fregaddHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR/vStart/treg_dword/d4/fcopy%Windir%\inf\usbstor.inf%Windir%\usbstor.inf/ynulcopy%Windir%\inf\usbstor.pnf%Windir%\usbstor.pnf/ynuldel%Windir%\inf\usbstor.pnf/q/fnuldel%Windir%\inf\usbstor.inf/q/fnul@echoon开启过程：@echooffregaddHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR/vStart/treg_dword/d3/fcopy%Windir%\usbstor.inf%Windir%\inf\usbstor.inf/ynulcopy%Windir%\usbstor.pnf%Windir%\inf\usbstor.pnf/ynuldel%Windir%\usbstor.pnf/q/fnuldel%Windir%\usbstor.inf/q/fnul@echoon将以上代码保存为两个BAT文档，然后放进x:\Windows\system32\目录下，比如DisableUSB.bat和EnableUSB.bat然后直接在运行里面输入指令：DisableUSB(关闭)EnableUSB(开启)       禁用U盘关闭USB 但运行USB 鼠标键盘手写板等  方法一：修改BIOS设置这种方法虽然比较“原始”、简单，但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备(包括USB键盘及鼠标)的用户。具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键(或根据画面上的提示按相应的键盘按键)进入BIOS设置界面，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。方法二：修改系统文件/注册表与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。该方法分两种情况：如果电脑尚未使用过USB设备(比如刚重装好系统)，可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。对于已经使用过USB设备的电脑，要禁用电脑的USB功能，就得通过注册表来实现。如果你对电脑并不熟悉，修改前请先备份注册表。【禁止安装USB驱动程序】在Windows资源管理器中，进入到“系统盘:＼WINDOWS＼inf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。方法三：组策略禁用usb闪存一、常用的方法不可行我首先尝试了以下两个很多人常用的方法，结论是不可行。1．使用USB控制软件。下载了几个USB控制软件，如myusbonly、USB控制大师等，试用效果却不尽如人意。Myusbonly的控制能力不错，但是却有个缺点，那就是当闪存插上后会出现闪存盘符，大约要延迟几秒的时间盘符才会消失。如果有人在这几秒的时间内拷贝文件或是使用了带病毒的闪存，那么后果也会很严重。2．隐藏磁盘分区。若能隐藏并禁止访问磁盘分区，那么也可以达到我想要的效果。单位采用的是域管理，客户机使用权限较低的用户登录到域，大部分的操作都受到限制。客户机电脑硬盘共3个分区，C盘跟D盘禁止访问，只有E盘可供操作人员自由使用，此外还有一个网络驱动器P盘，存放需要访问的公共文件。可是在组策略中隐藏磁盘的七个选项都不符合我的要求，达不到只能访问E盘跟P盘的效果(图1)。二、修改组策略文件隐藏驱动器后来，偶然搜寻到了微软网站的页面“使用组策略对象隐藏指定驱动器”(页面链接：)，文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果，于是立即参照操作。达到目的，方法如下。1.确定数字与盘符的关系因为我需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表：搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME!!ABCDFGHIJKLMNOQRSTUVWXYZOnlyVALUENUMERIC67076079”，如图2。然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly=除E、P外其他驱动器”，如图3。修改后进行保存并覆盖掉原来的文件。3.编辑域用户的组策略重新启动域控制器，打开“ActiveDirectory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。成功地达到了禁用USB储存器而不影响USB设备的使用。最后，为保险起见，在组策略中禁用了自动播放。方法四：使用相关软件这款软件体积太大，为了禁用U盘，有点杀鸡用牛刀的感觉。找到了两款小软件，还不错。(利用隐藏磁盘分区来实现，初始密码：91858)(超级简单的工具,推荐使用)(安装好程序后，会在我的电脑中自动产生两个盘符)用USBManager来管理USB接口，英文版，不过界面很简单，设置很方便，可以设置密码，有密码才能用你的usb下载：1.25汉化版下载：再更新一个USB写保护的小东西：USBW