如何禁止公司电脑向U盘复制文件、禁止从电脑向盘拷贝文件呢?
在公司局域网中,特别是一些涉及商业机密、电脑信息安全的单位,常常需要管理员工电脑U盘的使用,防止员工通过U盘复制电脑文件、通过U盘拷贝电脑文件,这就需要有效管理U盘使用,甚至屏蔽U盘,禁止员工电脑使用U盘;但是,由于现在U盘存储空间很大,U盘价格也很便宜,这使得通过U盘复制、存储和传输文件极为便利,是工作中必不可少的工具。这使得我们也不能通过BIOS禁用USB接口或者通过注册表禁用U盘,甚至通过组策略限制U盘使用。那么,如何充分发挥U盘的文件存储和传输的积极作用,又能保护单位商业机密呢?
想必很多人都想到了,可以对U盘进行加密。比如说,只允许从U盘向电脑复制文件而禁止从电脑向U盘复制文件,这样一方面可以很好地防止电脑文件复制到U盘,另一方面也便利了文件传输和存储。那么,在实践中具体怎么做呢?笔者总结了两种比较有效的方法:
方案一、从操作系统注册表下手,批处理执行管理
1、首先,关闭USB存储设备的盘符自动分配,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\USBSTOR,将"Start"的值改为4(禁止自动启动),默认为3是自动分配盘符
2、禁用USB存储设备的作用文件:进入WINDOWS系统目录,找到X:\Windows\inf,(这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf,因为后续可能需要重新打开USB功能,所以不要删除它,建议拷贝到其他位置)
用两条批处理指令实现:
copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
del %Windir%\inf\usbstor.pnf /q/f >nul
del %Windir%\inf\usbstor.inf /q/f >nul
3、禁止将电脑里的资料拷贝到USB存储设备:主要方法就是把USB存储设备设置只读的
打开注册表:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1
到此,基本上较早个过程基本完成,实现的功能包括:禁止使用USB存储设备,不影响其他USB外设,就算要用,也把USB 存储设备干成残废(只读)。
那么当部分用户需要使用USB存储设备,如何开启呢?逆向操作以上步骤就可以了。
评测:命令符号复杂,容易操作失误。还有就是可以随意被用户更改,一旦用户发现禁用,很可能也用逆向操作解决禁用。
方案二:部署专业的电脑USB端口监控软件来实现。
目前国内有很多USB监控软件,大部分也都有U盘写保护的功能,也就是只让从U盘向电脑拷贝文件,而从电脑向U盘拷贝文件的时候就需要输入密码了,从而也可以起到完全保护单位商业机密和电脑文件安全的目的。
例如,当前国内使用较为普遍的电脑USB监控软件——“大势至USB端口控制软件”(下载地址:
http://www.grablan.com/monitorusb.html)可以轻松实现这个功能。“大势至USB端口管理软件”有一项功能:可以从电脑向U盘拷贝资料,但必须输入管理员密码”,你只需要勾选这一功能,则你向U盘复制文件的时候,就必须输入密码才可以,不输入或者输入错误将无法拷贝文件,如下图所示:
图:大势至USB接口控制软件功能截图
图:向U盘复制文件的时候必须输入密码
这样,只有有权限的人才可以输入密码然后向U盘复制文件,而没有权限的人则就无法向U盘复制文件了,从而很好地保护了电脑文件安全,又充分利用了U盘的便利。
此外,你也可以勾选“允许从U盘向电脑拷贝资料,禁止从电脑向U盘拷贝资料”,这样U盘只能向电脑复制文件了,而向U盘复制文件的时候会提示U盘写保护而无法复制,从而彻底保护了电脑文件安全,也可以利用U盘的复制和存储功能。
总之,笔者认为通过专业的U盘管理软件来控制U盘使用是一项比较便捷和安全的选择,特别是软件集成了禁止修改注册表、禁止修改组策略、禁止打开设备管理器、禁止打开计算机管理,甚至禁止从U盘启动电脑、禁止电脑进入安全模式等等多层次防护机制,可以更好地保护电脑安全,也可以有效防止被员工逆向修改而绕过管理的情形发生,可以更好地保护电脑文件安全,保护单位无形资产和商业机密。
