管控usb介面的方法

身為一名技術人員，接到boss的任務說要管控usb介面，不讓公司資料外流，如果是你，你會怎麼做呢?以下是本站小編精心為大家整理的管控usb介面的方法，希望對大家有所幫助!更多內容請關注應屆畢業生網!

接到一個任務，禁止集團內所有電腦的USB介面進行檔案拷貝，但不能妨礙印表機、滑鼠鍵盤、掃描器、加密狗等等一切需要USB介面工作的外部裝置。不過，辦法總是要想滴，說白了不就是不讓人把公司的機密資料帶出去嗎?現在這些人，暴力管理還找一大堆冠冕堂皇的理由讓你無條件服從，P服!哥們我楞是從中總結出一條真理：世界上沒有辦不到的事，只是你願不願意想辦法。

不羅嗦，開工，首先了解任務的詳細內容：

　　任務目的：

1、要管制USB儲存裝置，一般使用者不能寫不能讀;部分使用者能讀不能寫入USB儲存裝置;還有一部分大人們(公司高管)平時不讀不寫，在需要用的時候要能讀能寫!

2、無論使用什麼方式進行管制，不能影響到現在USB印表機、掃描器、加密狗、滑鼠鍵盤等等外部裝置的使用。 額滴神，這幫兔崽子真會折磨人。

　　任務範圍：集團內800+臺電腦

　　任務時間：2周

　接下來，就得找實施方案了!

1、方案一：BIOS裡全部關閉USB埠

2、方案二：Client端安裝USB管理軟體，用軟體進行管制，安裝一臺伺服器，監控所有電腦的USB動態

3、方案三：從作業系統登錄檔下手，批處理執行管理

先說說這三個方案：恕本人愚昧，或許還有很多又好又快捷的方法，但偶當時確實只想到這些，

　方案一：最操蛋的方法，埠全關了，什麼USB裝置都用不了了，就別提這機那機了，PASS掉，

　方案二：所有電腦安裝Client，工作量大，時間根本不夠，再說了，我很介意在使用者端安裝軟體，多一個程序多佔用一部分記憶體，到時候電腦速度慢了又會有人大呼小叫了。仍然PASS，

　第三個，其實這也是俺最喜歡用的手段：批處理!哈哈，就它了。

各位觀眾，看清楚看明白啦，實施過程開始!

1、首先，關閉USB儲存裝置的`碟符自動分配，開啟登錄檔，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，將"Start"的值改為4(禁止自動啟動)，預設為3是自動分配碟符

2、幹掉USB儲存裝置的作用檔案：進入WINDOWS系統目錄，找到X:Windowsinf，這裡說明一下，USB儲存裝置的作用檔案有兩個，分別是和，因為後續可能需要重新開啟USB功能，所以不要刪除它，建議拷貝到其他位置，當然你要暴力一點，刪除它也沒關係，但記得做好備份。

我用兩條批處理指令實現：

copy %Windir%inf%Windir% /y >nul

copy %Windir%inf%Windir% /y >nul

del %Windir%inf /q/f >nul

del %Windir%inf /q/f >nul

哦不，準確的說是4行指令!

3、然後，禁止將電腦裡的資料拷貝到USB儲存裝置，意思是把USB儲存裝置設定只讀的，幹成殘廢。

開啟登錄檔：定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl，在其下新建一個名為“StorageDevicePolicies”的項，選中它，在右邊的窗格中新建一個名為“WriteProtect”的DWORD值，並將其數值資料設定為1

嘿嘿，有了這一條，你就是能用USB儲存裝置，也只能單方面讀取資料了，也算是半個殘廢了。

到此，基本上第一個過程基本完成，實現的功能包括：禁止使用USB儲存裝置，不影響其他USB外設，就算要用，也把USB儲存裝置幹成殘廢(只讀)。

接下來說第二個部分：如何開啟?(部分使用者需要使用USB儲存裝置) 實際上，逆向操作以上步驟就可以完成開啟，但為了表達的更完整一些，我還是把過程寫下來

1、找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，將"Start"的值改為3

2、恢復USB儲存裝置作用檔案，還是4行指令：

copy %Windir% %Windir%inf >nul

copy %Windir%%Windir%inf /y >nul

del %Windir% /q/f >nul

del %Windir% /q/f >nul

完成後，使用者可使用USB儲存裝置，但不能往裡面寫入任何內容!你不信?不信就試試嘛，俗話說的好：實踐出真知!

　這樣，關閉也寫了，開啟也寫了，接下來的事情，你知道的——批處理程式碼。

　　關閉過程：

@echo off

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /treg_dword /d 1 /f

reg add"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start/t reg_dword /d 4 /f

copy %Windir%inf%Windir% /y >nul

copy %Windir%inf%Windir% /y >nul

del %Windir%inf /q/f >nul

del %Windir%inf /q/f >nul

@echo on

　　開啟過程：

@echo off reg add"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /vStart /t reg_dword /d 3 /f

copy %Windir%%Windir%inf /y >nul

copy %Windir%%Windir%inf /y >nul

del %Windir% /q/f >nul

del %Windir% /q/f >nul

@echo on

將以上程式碼儲存為兩個BAT文件，然後放進x:Windowssystem32目錄下，比如和

然後直接在執行裡面輸入指令：DisableUSB(關閉)EnableUSB(開啟)

打完收工!

==============================================================================

有朋友問了，你方案是有了，但如何在網內實施?難道需要在每一臺電腦上執行這兩個指令嗎，恐怕也不太現實吧?!

具體實施的過程可以使用以下批處理來完成!

將以下程式碼儲存為，將放到與批處理同一資料夾執行即可。

程式碼解釋：掃描區域網中的計算機，掃描範圍包括：~，掃描數量共計2032個，掃描到存活的主機後將拷貝到對方機器的C$系統共享目錄(這個得保證是開啟狀態)，然後執行。

　　程式碼:

@echo off

echo 操作成功的電腦IP包括：>E:

for /l %%a in (1,1,8) do (

for /l %%b in (1,1,254) do (

ping -n 1 -w 50 192.168.%%a.%%b &&net use 192.168.%%a.%%b "password" /user:administrator &© 192.168.%%a.%%bC$ WindowsSystem32&& Start >>E:

)

)