我們公司有550電腦,因為管控USB隨身碟已經苦惱2年,所幸今年初已經解決,本人自行撰寫管控USB Storage軟體,進行管制。
USB管控如果用網路上普遍搜尋到的解決方案,都有許多漏洞與盲點:
改註冊檔,我用過,但要針對使用過USB與未使用過兩種情況來搭配使用,曾經插過隨身碟者(指同一廠牌,不同廠牌隨身碟有不同機碼),可改註冊檔(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor),未插過的可以去變更"WindowsPath\INF\usbstor.inf"檔名。
但這兩到程序都擋不住"第一次插入"的隨身碟。
也有建議直接從BIOS關閉USB,或將USB的訊號線直接從主機板拔除,甚至出動矽膠槍"封口",這樣做不適合我們公司,因為有更多USB周邊都不得使用。
最後研究了一段時間,自行寫常駐程式,可以分群組將不得使用USB Storage的電腦阻斷隨身碟,並留下使用記錄。
程式有兩個重要關鍵:1.要去向Windows攔截裝置變更的Message(WM_DEVICECHANGE),然後判斷是USB Storage後,進行隨身碟退出動作,判斷與退出都是Call Windows API來完成。
在自行撰寫軟體過程中,爬了不少網站與文章,有些現成的管理(制)USB工具可利用:
請參閱 http://lcjan.pixnet.net/blog/post/26192315
參考以下網址即可
http://www.wretch.cc/blog/fdlintw/5533765
如果user有admin的權限,那他很有可能隨時都再改回來
單機無網域?還是無網路?把主機板上的 USB 拔掉,改成 PS2 鍵盤滑鼠。
我知道國軍單位會拿熱熔膠封起來...
果然,這是繼烙鐵拆下之後,用東西堵上,是公認最有效的方法!
那最好也把機殼都焊死,讓使用者無法打開,再上條鐵鍊會不會更有嚇阻的作用,貼上封條.......
不然主機板上可外接USB接線,一樣可以用USB裝置.............
【如果主機板上的拔不掉,我知道有的 IT 部門會直接拿熱溶膠把 USB 塞起來。】
我拆換過自己的 NOTE BOOK USB Port,錫油多塗一點不難拆啦!
不過現在好像是 熱熔膠 +1
不過封 USB Port 太不人道了,如果公司裏面,剛好有人要拿一溼答答的 USB 驗孕棒,結果拿到電腦前卻不能插,怎麼辦,(USB 驗孕棒上面的液體還一直在滴……)
再公司裡面也能夠弄出一隻溼答答的 USB 驗孕棒, 我對這個東西的來源感到疑惑...
(掉進馬桶?)
第一 裝機的時候,買無USB的主機版!或拿烙鐵拆了USB Port!
如果沒得選,也不敢拆…請用下一招!
第二 三秒膠或塑鋼土。
看大大要不要使用產品, 之前有survey過, 還不錯
http://www.fineart-tech.com/tw/product/xfort/introduction.php
倘使真的沒有網域的話,可以建議使用windows steadystate這支微軟的小程式
除了針對某一本機帳號,封住USB的讀取,還可以設定不得出現後面的磁碟機代號,外加不得執行regedit.....等途徑
一般USER只要給poweruser的權限即可,同時利用windows steadystate去封鎖一些桌面環境,讓USER的環境單純,公司的電腦自然就少出狀況.....
建議使用 精品科技的X-FORT,它是以安全性管理為出發點的資安軟體,對於可攜式裝置有很多功能,甚至對檔案都可有可讀不可轉寄的功能。
旭辰資訊的SmartIT 有用過,感覺是資產管理軟體在額外加上ㄧ些初階的資安套件。