iT邦幫忙

0

如何封鎖USB Port使用儲存媒體?

usb
  • 分享至 

  • xImage

如何在單機(沒網域)的電腦封鎖USB Port使用儲存媒體,滑鼠和鍵盤是可以使用的?
之前使用過從regedit上改設定,不曉得是否有更好的方式
重點是不要讓單機使用的User可以很容易就修改設定,User可能有Admin的權限

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
40
lcjan
iT邦研究生 4 級 ‧ 2009-06-11 14:17:49
最佳解答

我們公司有550電腦,因為管控USB隨身碟已經苦惱2年,所幸今年初已經解決,本人自行撰寫管控USB Storage軟體,進行管制。
USB管控如果用網路上普遍搜尋到的解決方案,都有許多漏洞與盲點:
改註冊檔,我用過,但要針對使用過USB與未使用過兩種情況來搭配使用,曾經插過隨身碟者(指同一廠牌,不同廠牌隨身碟有不同機碼),可改註冊檔(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor),未插過的可以去變更"WindowsPath\INF\usbstor.inf"檔名。
但這兩到程序都擋不住"第一次插入"的隨身碟。
也有建議直接從BIOS關閉USB,或將USB的訊號線直接從主機板拔除,甚至出動矽膠槍"封口",這樣做不適合我們公司,因為有更多USB周邊都不得使用。

最後研究了一段時間,自行寫常駐程式,可以分群組將不得使用USB Storage的電腦阻斷隨身碟,並留下使用記錄。
程式有兩個重要關鍵:1.要去向Windows攔截裝置變更的Message(WM_DEVICECHANGE),然後判斷是USB Storage後,進行隨身碟退出動作,判斷與退出都是Call Windows API來完成。

在自行撰寫軟體過程中,爬了不少網站與文章,有些現成的管理(制)USB工具可利用:
請參閱 http://lcjan.pixnet.net/blog/post/26192315

bizpro iT邦大師 1 級 ‧ 2009-06-12 14:57:23 檢舉

如果用Ubuntu Live CD開機, 要如何管控?

lcjan iT邦研究生 4 級 ‧ 2009-06-12 16:17:56 檢舉

我想,這還真的得來硬的了。
從BIOS或破壞性管控。

36
glennlin
iT邦研究生 4 級 ‧ 2009-06-11 08:48:34

參考以下網址即可
http://www.wretch.cc/blog/fdlintw/5533765
如果user有admin的權限,那他很有可能隨時都再改回來

32
jessewang
iT邦研究生 4 級 ‧ 2009-06-11 09:49:06

單機無網域?還是無網路?把主機板上的 USB 拔掉,改成 PS2 鍵盤滑鼠。

看更多先前的回應...收起先前的回應...
horrorlin iT邦研究生 2 級 ‧ 2009-06-11 16:39:56 檢舉

我知道國軍單位會拿熱熔膠封起來...

dick iT邦新手 5 級 ‧ 2009-06-11 19:09:15 檢舉

果然,這是繼烙鐵拆下之後,用東西堵上,是公認最有效的方法!

fireflybug iT邦研究生 4 級 ‧ 2009-06-12 09:11:40 檢舉

那最好也把機殼都焊死,讓使用者無法打開,再上條鐵鍊會不會更有嚇阻的作用,貼上封條.......

不然主機板上可外接USB接線,一樣可以用USB裝置.............

dick iT邦新手 5 級 ‧ 2009-06-12 19:06:40 檢舉

【如果主機板上的拔不掉,我知道有的 IT 部門會直接拿熱溶膠把 USB 塞起來。】

我拆換過自己的 NOTE BOOK USB Port,錫油多塗一點不難拆啦!
不過現在好像是 熱熔膠 +1

dick iT邦新手 5 級 ‧ 2009-06-12 19:30:42 檢舉

不過封 USB Port 太不人道了,如果公司裏面,剛好有人要拿一溼答答的 USB 驗孕棒,結果拿到電腦前卻不能插,怎麼辦,(USB 驗孕棒上面的液體還一直在滴……)

鐵殼心 iT邦高手 1 級 ‧ 2009-06-12 19:46:55 檢舉

再公司裡面也能夠弄出一隻溼答答的 USB 驗孕棒, 我對這個東西的來源感到疑惑...

echen688 iT邦高手 1 級 ‧ 2009-06-12 19:53:07 檢舉

(掉進馬桶?)

dick iT邦新手 5 級 ‧ 2009-06-12 19:55:18 檢舉

如果USB無法使用,濕答答的棒子又一直滴,而這個時候,妳可問身邊的男同事,要不要量口溫!

魯大 iT邦高手 1 級 ‧ 2009-06-12 21:19:26 檢舉

越講越噁..

dick iT邦新手 5 級 ‧ 2009-06-13 10:38:09 檢舉

NCC來了,殺很大!

32
japues
iT邦高手 2 級 ‧ 2009-06-11 10:51:05

進bios把usb關掉,bios在設定密碼鎖住

24
dick
iT邦新手 5 級 ‧ 2009-06-11 10:54:00

第一 裝機的時候,買無USB的主機版!或拿烙鐵拆了USB Port!

如果沒得選,也不敢拆…請用下一招!

第二 三秒膠或塑鋼土。

24
linyt
iT邦研究生 1 級 ‧ 2009-06-11 13:16:22

看大大要不要使用產品, 之前有survey過, 還不錯
http://www.fineart-tech.com/tw/product/xfort/introduction.php

32
tommy618
iT邦新手 2 級 ‧ 2009-06-11 16:01:41

倘使真的沒有網域的話,可以建議使用windows steadystate這支微軟的小程式
除了針對某一本機帳號,封住USB的讀取,還可以設定不得出現後面的磁碟機代號,外加不得執行regedit.....等途徑
一般USER只要給poweruser的權限即可,同時利用windows steadystate去封鎖一些桌面環境,讓USER的環境單純,公司的電腦自然就少出狀況.....

cooch iT邦研究生 3 級 ‧ 2009-06-12 07:45:51 檢舉

Windows Steadystate 部適合用在組織內作為常態性的控管方式,
因為 Windows Steadystate 根本沒辦法進行任何遠端管理動作,

我們單位去年有幾十台裝了 Windows Steadystate 之後,
的確有達到一些目的,
但爾後的組態管理及程式更新卻是另一個惡夢的開始!!!

20
old7ada
iT邦研究生 2 級 ‧ 2009-06-12 09:45:15

建議使用 精品科技的X-FORT,它是以安全性管理為出發點的資安軟體,對於可攜式裝置有很多功能,甚至對檔案都可有可讀不可轉寄的功能。
旭辰資訊的SmartIT 有用過,感覺是資產管理軟體在額外加上ㄧ些初階的資安套件。

我要發表回答

立即登入回答