管控usb介面的方法
身為一名技術人員,接到boss的任務說要管控usb介面,不讓公司資料外流,如果是你,你會怎麼做呢?以下是本站小編精心為大家整理的管控usb介面的方法,希望對大家有所幫助!更多內容請關注應屆畢業生網!
接到一個任務,禁止集團內所有電腦的USB介面進行檔案拷貝,但不能妨礙印表機、滑鼠鍵盤、掃描器、加密狗等等一切需要USB介面工作的外部裝置。不過,辦法總是要想滴,說白了不就是不讓人把公司的機密資料帶出去嗎?現在這些人,暴力管理還找一大堆冠冕堂皇的理由讓你無條件服從,P服!哥們我楞是從中總結出一條真理:世界上沒有辦不到的事,只是你願不願意想辦法。
不羅嗦,開工,首先了解任務的詳細內容:
任務目的:
1、要管制USB儲存裝置,一般使用者不能寫不能讀;部分使用者能讀不能寫入USB儲存裝置;還有一部分大人們(公司高管)平時不讀不寫,在需要用的時候要能讀能寫!
2、無論使用什麼方式進行管制,不能影響到現在USB印表機、掃描器、加密狗、滑鼠鍵盤等等外部裝置的使用。 額滴神,這幫兔崽子真會折磨人。
任務範圍:集團內800+臺電腦
任務時間:2周
接下來,就得找實施方案了!
1、方案一:BIOS裡全部關閉USB埠
2、方案二:Client端安裝USB管理軟體,用軟體進行管制,安裝一臺伺服器,監控所有電腦的USB動態
3、方案三:從作業系統登錄檔下手,批處理執行管理
先說說這三個方案:恕本人愚昧,或許還有很多又好又快捷的方法,但偶當時確實只想到這些,
方案一:最操蛋的方法,埠全關了,什麼USB裝置都用不了了,就別提這機那機了,PASS掉,
方案二:所有電腦安裝Client,工作量大,時間根本不夠,再說了,我很介意在使用者端安裝軟體,多一個程序多佔用一部分記憶體,到時候電腦速度慢了又會有人大呼小叫了。仍然PASS,
第三個,其實這也是俺最喜歡用的手段:批處理!哈哈,就它了。
各位觀眾,看清楚看明白啦,實施過程開始!
1、首先,關閉USB儲存裝置的`碟符自動分配,開啟登錄檔,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR,將"Start"的值改為4(禁止自動啟動),預設為3是自動分配碟符
2、幹掉USB儲存裝置的作用檔案:進入WINDOWS系統目錄,找到X:Windowsinf,這裡說明一下,USB儲存裝置的作用檔案有兩個,分別是和,因為後續可能需要重新開啟USB功能,所以不要刪除它,建議拷貝到其他位置,當然你要暴力一點,刪除它也沒關係,但記得做好備份。
我用兩條批處理指令實現:
copy %Windir%inf%Windir% /y >nul
copy %Windir%inf%Windir% /y >nul
del %Windir%inf /q/f >nul
del %Windir%inf /q/f >nul
哦不,準確的說是4行指令!
3、然後,禁止將電腦裡的資料拷貝到USB儲存裝置,意思是把USB儲存裝置設定只讀的,幹成殘廢。
開啟登錄檔:定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl,在其下新建一個名為“StorageDevicePolicies”的項,選中它,在右邊的窗格中新建一個名為“WriteProtect”的DWORD值,並將其數值資料設定為1
嘿嘿,有了這一條,你就是能用USB儲存裝置,也只能單方面讀取資料了,也算是半個殘廢了。
到此,基本上第一個過程基本完成,實現的功能包括:禁止使用USB儲存裝置,不影響其他USB外設,就算要用,也把USB儲存裝置幹成殘廢(只讀)。
接下來說第二個部分:如何開啟?(部分使用者需要使用USB儲存裝置) 實際上,逆向操作以上步驟就可以完成開啟,但為了表達的更完整一些,我還是把過程寫下來
1、找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR,將"Start"的值改為3
2、恢復USB儲存裝置作用檔案,還是4行指令:
copy %Windir% %Windir%inf >nul
copy %Windir%%Windir%inf /y >nul
del %Windir% /q/f >nul
del %Windir% /q/f >nul
完成後,使用者可使用USB儲存裝置,但不能往裡面寫入任何內容!你不信?不信就試試嘛,俗話說的好:實踐出真知!
這樣,關閉也寫了,開啟也寫了,接下來的事情,你知道的——批處理程式碼。
關閉過程:
@echo off
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /treg_dword /d 1 /f
reg add"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start/t reg_dword /d 4 /f
copy %Windir%inf%Windir% /y >nul
copy %Windir%inf%Windir% /y >nul
del %Windir%inf /q/f >nul
del %Windir%inf /q/f >nul
@echo on
開啟過程:
@echo off reg add"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /vStart /t reg_dword /d 3 /f
copy %Windir%%Windir%inf /y >nul
copy %Windir%%Windir%inf /y >nul
del %Windir% /q/f >nul
del %Windir% /q/f >nul
@echo on
將以上程式碼儲存為兩個BAT文件,然後放進x:Windowssystem32目錄下,比如和
然後直接在執行裡面輸入指令:DisableUSB(關閉)EnableUSB(開啟)
打完收工!
==============================================================================
有朋友問了,你方案是有了,但如何在網內實施?難道需要在每一臺電腦上執行這兩個指令嗎,恐怕也不太現實吧?!
具體實施的過程可以使用以下批處理來完成!
將以下程式碼儲存為,將放到與批處理同一資料夾執行即可。
程式碼解釋:掃描區域網中的計算機,掃描範圍包括:~,掃描數量共計2032個,掃描到存活的主機後將拷貝到對方機器的C$系統共享目錄(這個得保證是開啟狀態),然後執行。
程式碼:
@echo off
echo 操作成功的電腦IP包括:>E:
for /l %%a in (1,1,8) do (
for /l %%b in (1,1,254) do (
ping -n 1 -w 50 192.168.%%a.%%b &&net use 192.168.%%a.%%b "password" /user:administrator &© 192.168.%%a.%%bC$ WindowsSystem32&& Start >>E:
)
)