锁定台式机USB端口

如何锁定台式机上的USB端口，以便我们可以防止台式机上使用USB驱动器。

我应该澄清这些是Windows XP桌面。

我们还应该假设，像大多数新台式机一样，许多台式机都将USB用于键盘和/或鼠标。

为此，应该有一个组策略对象，您可以通过Active Directory推送它。参见gpedit.mscWinXP Pro。

如果它们是Windows桌面，则可以使用本地策略（或组策略，如果是Active Directory）。没有默认设置，但是可以在MSKB 555324下找到MS提供的模板。

您应该能够从计算机的BIOS禁用USB端口。您也可以从主板上拔下电缆。

我认为禁用端口并不会真正实现您想要的功能。除非这些计算机使用PS2鼠标和键盘，否则不会。只要您有可用的键盘和鼠标USB端口，有人就可以插入集线器并将其USB驱动器插入其中。您真正想做的是防止计算机识别通过USB插入的USB存储设备（但不能识别其他USB设备）。

如果用户具有其PC的管理权限，则他们可以覆盖您为防止这种情况所做的任何操作。但是，您可以单击下面的链接找到Microsoft推荐的解决方案：

http://support.microsoft.com/kb/823732

如前所述，您还可以防止从BIOS中的USB闪存启动。

如果您担心使用软件解决方案，则可以购买一些硬件锁。

USB端口阻塞

假设您有预算为每台计算机获取这些。如果它们也是USB，则还可能需要阻止人们拔下键盘和鼠标。

我在客户站点看到的两个解决方案：

• （Linux）在相应的/etc/modprobe.conf -type文件中将相关的USB内核模块（usb_storage）列入黑名单
• 热胶枪

在BIOS中，将启动设备设置为仅从硬盘启动，并使用密码保护BIOS。在BIOS中，禁用所有您可以使用的USB设备。为了防止甚至安装USB记忆棒，您需要采取其他措施。您可以将计算机放在仅装有键盘和鼠标电缆的盒子中吗？然后，没有可用的USB端口供他们摆弄。

底线是，只要您不信任对计算机具有物理访问权限的人员，就只能提高安全性，而不能获得绝对的安全性。

我必须在独立计算机以及多个域计算机上执行此操作。GPO将是更好的选择，但我没有这样做的奢望。显然，如果某人对该计算机具有管理员权限，并且掌握了一些知识，他们可以撤消此操作。

在我使用它的时候，我们拥有所有XP机器。没有用户拥有管理员权限。没有用户[应该是]高级用户。为了防止用户使用USB大容量存储设备，其他一些管理员删除了USBSTOR.SYS。因此，如果我需要重新启用USB大容量存储设备，则还需要还原驱动程序文件。（因此，我随手保存了当前副本以及下面的文件）。我的“ Enable.bat”副本中有一行（我在这里注释掉了）以根据需要还原文件。

Disable.bat：

（可能必须在“ CACLS”命令中添加“ BUILTIN \ Administrators”。我在环境中不必这样做）

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

（可能必须为“ BUILTIN \ Administrators”添加另一组CACLS命令。我在环境中不必这样做）

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

类似的事情可能适用于Vista-但我没有尝试过。

我更喜欢对用户进行培训，以了解什么是可以接受的，什么是不可以接受的。如果您不能那么信任用户，请拿走他们的PC，并设置瘦客户机系统，使其连接回运行所有应用程序的Citrix服务器。我能想到的唯一的其他解决方案是将实际的PC放置在带锁的机柜中，仅露出键盘，鼠标和显示器的电缆。在所有情况下，我认为您最终只会为自己创造更多的工作。

如果您希望有效地从计算机中“删除”这些端口（并且完全需要USB），并且如果您愿意修改计算机，那么我是否建议使用两部分环氧树脂？用环氧树脂覆盖连接器，再也没有人将任何东西插入那里。热熔胶的永久性较差，但仍然非常有效。

假设您仍然需要USB端口用于键盘/鼠标，那么您将不得不保留一个或两个端口。

驱动器锁。如果需要，还可以镜像USB记忆棒中的文件，并允许将设备，文件类型和用户列入白名单和黑名单。

您可以通过以下方式禁用USB 存储设备：

http://support.microsoft.com/kb/823732

也可以将USB存储设备设为只读。这通常是一个很好的折衷方案，因为它允许用户从USB设备读取数据（例如来自相机的照片），但阻止用户将公司数据库复制到其记忆棒上。

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

建议不要尝试完全禁用USB，因为如今键盘和鼠标之类的东西通常都需要USB。可以通过注册表项或策略文件来设置以上两项。这些设置的强度将与Windows策略和组设置一样强。