怎样禁用USB设备

以前一提到“安全”二字，大家总会优先想起网络，因为黑客、后门总是数据泄漏的第一渠道。但是随着USB存储设备，尤其是闪存盘的普及，USB设备逐渐成为泄漏资料的“罪魁”，其所带来的危险甚至胜过网络。以目前极为普及的闪存盘为例，它具有免驱动、隐秘性强、容量大、传输速度快等特点，这些特性使之成为一件不折不扣的“间谍”工具。即使一台机器没有联网，不良用心者也可以用闪存盘轻易“带”走保存在本机上的隐秘资料，而且不会留下任何痕迹。因此很多单位都不约而同的用胶带“封杀”了USB接口，但这个“防君子不防小人”的办法并不能真正解决问题。
一、釜底抽薪：屏蔽USB控制器
    通过修改BIOS设置，可以直接屏蔽主板上的USB控制器，这个方法几乎适用于所有计算机。这里笔者以目前使用最为广泛的Award BIOS为例进行说明。启动计算机时按键盘的Del键进入BIOS设置界面，用方向键定位到“Integrated Peripherals”项，按回车打开，把其中“USB Controller”设置为“Disabled”，另外为了防止非法用户更改该设置，请务必加上BIOS密码，然后保存退出，计算机会自动重启，以后计算机上所有的USB接口即告失效。
    这个方法虽然简单有效，但副作用也非常明显，因为在屏蔽USB接口之后，不但闪存盘之类的移动存储设备不能用，而且连USB接口的外设，例如USB鼠标、键盘、打印机等都将无法使用，很不方便。

二、温柔一刀：修改注册表停用USB驱动
    在“开始”/“运行”中输入“Regedit”，按回车即可打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主键，双击名为“Start”的DWORD值，将“数值数据”改为4，注意右边的“基数”默认为“十六进制”，该设置切勿更改，单击“确定”即可修改完成。
    现在试试看，插上闪盘，闪盘的工作指示灯不亮，而系统也没有任何反应，这证明我们的修改成功了。为了防止非法用户用同样的方法解锁，最好把Regedit.exe程序改名或者直接删除。
    小提示：“Start”值是一个控制USB存储设备驱动程序工作状态的开关，可设为以下三种值，设为2时表示自动，设为3时表示手动(这是默认设置)，设为4则为停用。
    
    如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限： ? %SystemRoot%\Inf\Usbstor.pnf
? %SystemRoot%\Inf\Usbstor.inf
这样，用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作： 1. 启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。
2. 右键单击“Usbstor.pnf”文件，然后单击“属性”。
3. 单击“安全”选项卡。
4. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。
5. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。
注意：此外，还需将系统帐户添加到“拒绝”列表中。
6. 右键单击“Usbstor.inf”文件，然后单击“属性”。
7. 单击“安全”选项卡。
8. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。
9. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

如果计算机上已经安装了 USB 存储设备
警告：注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
这样，当用户将 USB 存储设备连接到计算机时，该设备将无法运行。要设置“Start”的值，请按照下列步骤操作： 1. 单击“开始”，然后单击“运行”。
2. 在“打开”框中，键入 regedit，然后单击“确定”。
3. 找到并单击下面的注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
4. 在右窗格中，双击“Start”。
5. 在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选中），然后单击“确定”。
6. 退出注册表编辑器。