吴川   2018-11-27
 华南区技术负责人

概要
在企业中,基于电脑安全、商业机密保护的考量,常常会有禁用电脑USB端口的需求,更准确地说是希望禁用如U盘、外接硬盘等带有存储功能的USB设备,在本文中,我们将为你介绍几种限制USB端口使用的方法。


在企业中,基于电脑安全、商业机密保护的考量,常常会有禁用电脑USB端口的需求,更准确地说是希望禁用如U盘、外接硬盘等带有存储功能的USB设备。但是,如今电脑上使用USB的设备越来越多,在这种情况下如何限制USB存储设备的使用同时不影响其他USB设备的使用成为管理时的最大目标。在本文中,我们将为你介绍几种禁止USB端口的方法。

方法一:物理隔绝

物理隔绝是一种方法原始但却意外有效的禁用方式,在这里提供两种物理方法的思路,一是使用热熔胶暴力封堵所有USB接口,这样一来可以使所有的USB设备无法与电脑进行连接,达到禁用USB的目的。另一种是使用带锁具的铁制外壳,将电脑的机箱 放置其中的话,除非暴力拆除外壳,否则就无法将USB设备与主机连接。
带锁具的铁制外壳

图:带锁具的铁制外壳

使用热熔胶暴力封堵所有USB接口

图:使用热熔胶暴力封堵所有USB接口

优点:

高效的纯物理禁止方式,没有繁琐的软件设置。

缺点:

  • 需要用户具有一定的动手能力。
  • 严重影响美观。
  • 粗暴的改造方式往往难以复原。

推荐:

使用Renee USB Block可以轻松•U盘端口锁定 •U盘过滤白名单•上网控制及网站过滤•可执行文件锁定 等等操作。
支持Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系统。 批量订购更有最高60%+的优惠折扣
详情请点击了解

返回目录

方法二:使用组策略或注册表设置将USB储存设备限制为只读

通过系统自带的组策略或是注册表限制的方式,可以把USB存储设备设置成只读模式,也就是禁止将电脑里的资料拷贝到USB存储设备,这样可以起到一定的防止数据拷贝的作用。

通过组策略设置所有USB设备为只读模式:

步骤一:使用Windows键+R的组合键启动命令窗口

Windows键+R的组合键

步骤二:输入gpedit.msc并点击确定

运行-输入gpedit.msc并点击确定

步骤三:打开以下路径:计算机配置-管理模板-系统-可移动存储访问,双击右侧的“可移动磁盘:拒绝写入权限”

本地组策略编辑器

步骤四:在弹出的窗口中,选择“已启用”,并点击“应用”,这样将不再能对USB磁盘进行写入。

可移动磁盘:拒绝写入权限

通过注册表设置所有USB设备为只读模式:

禁用

在开始-运行中输入“regedit”打开注册表:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1 。

或者新建文本文件,将下面的代码复制并粘贴到文本中,将文本文件另存为后缀为“.reg”的文件,双击该文件将其导入注册表后,就能禁止对USB存储设备进行写入操作。(可点击此处立即下载)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

@=””

“WriteProtect”=dword:00000001

重新启用

想要复原时,将刚才新建的DWORD值“WriteProtect”删除/将数据设置为0。

或者新建文本文件,将下面的代码复制并粘贴到文本中,将文本文件另存为后缀为“.reg”的文件,双击该文件将其导入注册表后,就能重新解除USB存储设备的只读模式,重新对其进行写入操作。(可点击此处立即下载)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

@=””

“WriteProtect”=dword:00000000

优点:

系统自带的限制功能,无需借助其他软件。

缺点:

限制手段十分简单,熟悉电脑的人以反向的步骤就能轻松解除。

推荐:

使用Renee USB Block可以轻松•U盘端口锁定 •U盘过滤白名单•上网控制及网站过滤•可执行文件锁定 等等操作
支持Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系统。 批量订购更有最高60%+的优惠折扣
详情请点击了解

返回目录

方法三:修改注册表完全禁用USB储存设备

通过对电脑注册表添加表单,可以实现禁止、限制使用USB储存的效果,其具体方法如下:

禁止使用USB存储设备

新建文本文件,将下面的代码复制并粘贴到文本中,将文本文件另存为后缀为“.reg”的文件,双击该文件将其导入注册表后,就能禁止使用USB存储设备。(可点击此处立即下载)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

“Type”=dword:00000001

“Start”=dword:00000004

“ErrorControl”=dword:00000001

“ImagePath”=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,2e,00,53,00,59,00,53,00,00,00

“DisplayName”=”USB Mass Storage Driver”

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

“Security”=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

这里脚本的原理主要是,通过修改Windows的USB全局端口开关来实现管控,重点语句是:
“Start”=dword:00000004 000000004 代表禁用USB端口,如果改为00000003则代表允许使用USB端口。

使用效果:

禁用前,计算机能正常读取USB磁盘

禁用前效果

禁用后,计算机将无法识别USB磁盘

禁用后效果

重新启用USB存储设备

新建文本文件,将下面的代码复制并粘贴到文本中,将文本文件另存为后缀为“.reg”的文件,双击该文件将其导入注册表后,就能重新开启USB存储设备的权限。(可点击此处立即下载)

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

 

“Type”=dword:00000001

 

“Start”=dword:00000003

 

“ErrorControl”=dword:00000001

 

“ImagePath”=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

 

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

 

00,52,00,2e,00,53,00,59,00,53,00,00,00

 

“DisplayName”=”USB Mass Storage Driver”

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

 

“Security”=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

 

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

优点:

系统自带的限制功能,无需借助其他软件。

缺点:

  • 注册表的操作比较麻烦,对于不熟悉电脑的用户不太友好。尤其是现在网上脚本的质量参差不齐,如果下载了一个错误的脚本,就很容易会导致系统出现运行不正常的情况。
  • 限制手段十分简单,稍微熟悉电脑的人,在网上一搜,就能找到方法随意解除这些限制。

推荐:

使用Renee USB Block可以轻松•U盘端口锁定 •U盘过滤白名单•上网控制及网站过滤•可执行文件锁定 等等操作
支持Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系统。 批量订购更有最高60%+的优惠折扣
详情请点击了解

返回目录

方法四:使用设备管理器或BIOS禁用USB端口

使用禁用硬件的方式,同样可以在一定程度上达到禁用USB端口的作用

1.从BIOS禁用USB端口

通过在主板BIOS上设置USB端口的关闭,可以完全屏蔽计算机上所有USB端口。

步骤一:启动计算机后按相应按键(一般是del键)进入BIOS,选择USB设置

BIOS
什么是BIOS?

BIOS是Basic Input Output System的缩写,可以简单的理解为主板内置的系统的意思,主要负责系统里面各个硬件的参数设置,系统启动和基本的读写处理

如何进入计算机的BIOS?请点击这里查看

步骤二:将USB的相关端口设置更改为DISABLED,就能禁用电脑上所有的USB端口

2. 将USB的相关端口设置更改为DISABLED

2.从设备管理器禁用USB端口

在电脑自带的设备管理器中,同样可以禁用USB端口。

步骤一:1. 右键点击我的电脑-属性,进入设备管理器

设备管理器
如果找不到我的电脑,也可以按键盘上Win键+R这一组合键启动命令窗口,输入devmgmt.msc进入设备管理器

步骤二:在设备管理器中,将“通用串行总线控制器”(Universal Serial Bus controllers)中的USB设备全部禁用即可禁用USB端口。

将“通用串行总线控制器”中的USB设备全部禁用即可禁用USB端口
利用以上两种方式,虽然可以达到屏蔽USB储存设备的目的,但由于所有USB端口都被禁用,因此所有如USB鼠标、键盘、音箱等储存设备以外USB设备都将无法使用,十分不科学。

优点:

全面封锁所有USB端口,他人无法使用USB储存设备拷贝电脑的数据。

缺点:

  • 所有USB端口禁止意味着所有USB设备都无法投入使用,在大多数外接设备都以USB作为供电端口的今天十分不便。
  • 仅仅是简单的屏蔽,只要重新启用端口就能轻松解除限制。

推荐:

使用Renee USB Block可以轻松•U盘端口锁定 •U盘过滤白名单•上网控制及网站过滤•可执行文件锁定 等等操作
支持Windows 10、Windows 8.1 & 8、Windows 7、Window Vista、Windows XP等Windows系统。 批量订购更有最高60%+的优惠折扣
详情请点击了解

返回目录

方法五:使用Renee USB Block锁定端口

上面介绍的两种方法,不仅易于破解,而且在实际使用上会为用户带来诸多的不便,那么是否有一种安全、高效的方法,来防止他人使用USB存储设备恶意拷贝电脑的数据呢?在这里,将Renee USB Block推荐给大家。

Renee USB Block是什么?

Renee USB Block是一款针对计算机USB存储设备权限管理的专业软件,可以禁止除白名单以外的USB存储设备读取、写入,从而实现计算机数据防泄密的目的。
下载
最新消息:

现在购买批量购买Renee USB Block,有最高60%+的折扣优惠,详情请看

Renee USB Block为什么安全?

Renee USB Block是使用底层的驱动程序对USB设备进行禁用,而非简单地使用Windows的功能禁用某项设备。
驱动程序是指沟通用户程序和电脑硬件的特殊程式。譬如需要通过打印机打印文件,通过word发出了打印指令,电脑所安装的打印机驱动程序就会对打印机进行沟通,控制打印机进行打印操作。换而言之,没有驱动程序,硬件就无法正常工作。
安装Renee USB Block的时候,首先会安装一个USB过滤驱动程序(过滤程序只会拦截USB存储设备,不会拦截鼠标、键盘,因此不必担心其他USB受影响的情况。)

安装完成后,连接USB到电脑后,如想要读取USB存储设备,电脑会先发出数据包,该数据包会先到达过滤驱动程序:

情况1:如该USB设备在USB Block的白名单中,则该数据包会继续传送到电脑的USB驱动程序,驱动程序分析数据包后,会反馈读取的数据到电脑系统。

如该USB设备在USB Block的白名单中,则该数据包会继续传送到电脑的USB驱动程序,驱动程序分析数据包后,会反馈读取的数据到电脑系统。
情况2:如该USB设备不在USB Block的白名单中。则数据包就无法通过USB过滤驱动程序,数据包被拦截从而无法传送到电脑的USB驱动程序发出读取指令。
如该USB设备不在USB Block的白名单中。则数据包就无法通过USB过滤驱动程序,数据包被拦截从而无法传送到电脑的USB驱动程序发出读取指令。
可见,使用Renee USB Block时可以智能区分插入计算机中的USB储存设备,只有受信任的USB储存设备才能接入计算机,避免因USB储存设备造成的计算机被病毒感染或是计算机数据被恶意拷贝的情况,同时软件只会有针对性地对USB储存设备起效,其他USB设备则不会受到软件的影响。

如何使用Renee USB Block限制USB磁盘?

在开始介绍USB磁盘的限制功能前,先让我们了解Renee USB Block的白名单功能。

白名单功能:

对于可信任的USB磁盘,每次插入都要输入密码的话显得十分麻烦,利用软件的白名单功能即可轻松地区分可信任U盘以及其他U盘,在保护计算机免受USB磁盘介质侵害的同时,可以让可信任的U盘不再受到软件的限制,免去软件使用者不必要的麻烦。

步骤1. 将可信任的USB磁盘插入计算机,然后打开Renee USB Block,在白名单菜单中点击“添加”。
在白名单菜单中点击“添加”
步骤2.选择要加入白名单的U盘,并为其添加容易识别的标签名称,点击“确定”即可。在加入白名单后,该U盘在计算机上的所有操作将不再受到软件的任何限制。
选择要加入白名单的U盘,并为其添加容易识别的标签名称,点击“确定”即可

USB磁盘读取限制:

步骤1.打开Renee USB Block,勾选“禁止USB磁盘读取“。
勾选“禁止USB磁盘读取“
步骤2.之后插入U盘,软件会自动弹出需要密码认证的对话框。
密码认证的对话框
步骤3.只有输入正确的软件密码后方可对USB磁盘进行正常访问,否则无法将无法读取USB磁盘。
无法读取USB磁盘

USB磁盘读取限制:

步骤1.打开Renee USB Block,勾选“禁止USB磁盘写入”。
勾选“禁止USB磁盘写入”
步骤2.之后插入U盘,软件会自动弹出需要密码认证的对话框,输入正确的密码打开U盘。
密码认证的对话框
步骤3.禁止USB磁盘写入后,虽然读取U盘里面的数据,但无法对U盘写入数据。换句话说,在启用禁止U盘写入功能后,他人将无法使用U盘拷贝电脑的数据,避免数据被恶意拷贝的风险。
目标文件访问被拒绝
除USB磁盘外,软件还提供禁止CD/DVD、SD读卡器、Android/iOS手机等多种设备连接电脑的权限,提供全方位的数据安全保障。

优点:

  • 底层驱动级别的USB过滤保护,安全系数高。
  • 智能的USB存储设备保护,可自动识别USB存储,不影响其他USB设备使用。
  • 功能灵活,可对读取、写入等不同级别的权限进行限制,匹配更多的使用场景。

缺点:

  • 免费版所有功能只能维持10分钟,逾时失效。
返回目录

总结:

基于防止USB储存途径对电脑的恶意攻击、恶意拷贝数据来看,方法1过于粗暴,不仅难以复原,而且对于复数的电脑难以批量操作,十分不推荐使用这种方法。方法2、方法3、方法4虽然有一定的限制作用,但以办公室防泄密的商业级别需求来看,这些使用计算机内置功能设定的所谓“保护”也只是形同虚设,稍微对电脑熟悉的人就能轻松将其破解。

而使用方法5的Renee USB Block,借助强大的底层驱动器级别的防护,可以真正全方位地保护办公环境的电脑,使其免受USB储存设备的感染以及恶意拷贝的影响,这也是目前USB存储权限管理领域最好的软件之一,尤其适合作为办公室防泄密场景的解决方案使用,深受众多企业的好评。