组策略禁用USB存储设备和禁用U盘软件在禁用USB存储工具孰胜孰劣
很多公司处于电脑文件安全和商业机密保护的需要,常常需要禁止员工电脑随意插入u盘的行为,防止通过u盘复制电脑文件。同时,现在的u盘、移动硬盘,甚至是手机等usb设备的存储空间越来越大,可以轻松复制电脑大量的文件,而员工上班时间形成的劳动成果、商业机密等信息常常是存储在自己的电脑上,这使得企业的重要文件和无形资产安全面临着巨大的风险。为此,很多单位都需要禁用usb存储设备的使用。但是,由于现在普遍使用usb鼠标键盘、网银u盾、加密狗等非usb存储设备,因此还不能通过bios禁止u口使用、完全禁用usb端口。为此,我们就需要对usb设备进行区别对待,禁用usb接口而不禁用非usb存储设备的使用。具体如何实现呢?可以通过以下两种方法:
方法一、通过组策略禁用u盘、组策略禁用usb存储设备,防止通过usb存储设备复制电脑文件的行为。
详细操作如下:
1,在dc里的ou里新建一条gpo组策略
2、添加至组策略----计算机配置----管理模板中,
3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.
为了方便大家阅读重新更新了一下图片.
正确的使用方法是在要设置的驱动器里选择”disabled”或”enabled”
例1:禁用软驱;
“disabled floppy”->选择disabled floppy drive为“enabled”。
例2:启用软驱
“disabled floppy”->选择disabled floppy drive为“disabled
至此,我们就通过组策略禁用了usb存储设备的使用。但是,由于是通过操作系统的相关设置实现的。因此,一些懂技术的员工也可以轻松通过反向修改的方式而重新启用u盘的目的,这使得通过组策略禁用u盘面临着较大的漏洞,容易被一些懂技术的员工绕过而重新启用。这种情况下,我们可以考虑通过第二种方法来实现。
方法二、通过专门的usb端口禁用软件、屏蔽u盘软件来实现禁用usb存储设备。
目前,国内有专门的禁用usb存储设备的软件,而不影响非usb存储设备的使用。例如有一款“大势至usb控制系统”(下载地址:),只需要在电脑安装之后,就可以自动、实时禁用usb存储设备的使用,而不影响非usb存储设备的使用。同时,还可以只让使用特定usb存储设备,这样公司许可的u盘就可以使用;可以只让从u盘向电脑拷贝文件而禁止从电脑向u盘复制文件,或者必须输入密码才可以拷贝,从而进一步精确控制usb存储设备的使用。如下图所示:
图:禁用u盘、移动硬盘等usb存储设备
同时,通过“大势至禁用usb接口软件”,还可以禁止电脑发送邮件附件、禁止网盘上传电脑文件、禁止论坛附件上传以及禁止qq发送文件等,全面保护电脑文件安全,防止通过网络途径泄密的行为。
此外,通过大势至usb接口禁用软件还可以禁止电脑打开注册表、禁止打开设备管理器、禁止修改开机启动项、禁止打开计算机管理以及禁止u盘启动电脑、禁止光盘启动电脑、禁止开机按f8键进入操作系统安全模式等,从而防止了一些懂技术的员工试图修改电脑配置而重新启用u盘的行为,全面、彻底保护了电脑文件安全,也保护了操作系统的安全。
总之,无论是通过操作系统的组策略禁止u盘使用,还是通过第三方软件来禁止u盘、屏蔽usb存储设备使用,都可以起到一定的作用,只不过通过软件来禁止u口使用相对更为简单,同时还可以实现防止通过网络途径泄露电脑机密文件的行为,并且通过对操作系统关键位置的限制,也保护了电脑自身安全,从而实现了更为严密的保护电脑文件安全的目的。