WIN7要如何鎖住USB不執行
不讓員工可以存取資料
也可以預防電腦中毒
但鍵盤.滑鼠等POS周邊也可以正常使用

Windows 7下禁用USB儲存裝置
http://social.technet.microsoft.com/Forums/zh-TW/windows7cht/thread/8bc1d1b6-c2dc-435d-b97a-0b6087638f80

有 ad 的話用 grop policy ,..沒 ad 的話..利用 regedit ...

進入 BIOS , 將所有支援 USB 的功能全部 Disable掉之後,
只留下 USB Mouse, USB Keyboard. 然後按下儲存. 再按下 F10 即可.

想要控管USB埠這個管道，我們收集了目前可行的所有做法，總共歸納出3大類、12種方式。

第1大類是實體封鎖，又可細分成完全禁用、彈性禁用，以及貼標籤稽核；第2是修改系統設定，從Windows環境著手修改；第3種手段更全面，如果企業想獲得最高的控管彈性，利用專屬的周邊控管解決方案，或搭配其他資安方案的管制措施聯合控管，即可達到要求。要特別注意，是否需要大量個人端電腦控管與事件檢視能力，答案如果是肯定的，企業多半須花錢購買、建置。

1.停用BIOS的相關設定
●優點：設定容易，做法簡單
●缺點：BIOS的管理密碼可能被破解
在主機板BIOS設定裡，我們可以將USB埠的功能，設定為停用。由於設定上十分容易，做法簡單，因此成為企業經常用來管理USB埠使用的方式。為了防止員工自行進入BIOS重新啟用USB埠的功能，一般在完成設定之後，IT人員會同時設定BIOS的管理密碼，往後只有IT人員才能進入、更改設定。

要注意的是，BIOS與USB埠相關的項目名稱與位置，往往隨不同品牌的電腦／主機板，而有些許差異，甚至沒有這方面的選項。

BIOS的管理密碼並非設定之後，就無法解開。只要執行主機板放電的程序，也就是將主機板電池取出之後、再重新放回，BIOS密碼就會回復成出廠預設值，而員工就可以趁機進入BIOS更改設定。不過，在企業內部，一般來說，都不允許使用者拆裝公司所配發的硬體設備，因此只要非IT部門的人員，在執行類似的動作，就十分容易引起附近員工的注意，在機密資料外洩事件發生時，這個人就會成為公司重點清查的可疑對象。

2.黏上易碎貼紙
●優點：從肉眼就可以分辨電腦的USB埠有無使用過的跡象
●缺點：貼紙不小心破裂時，容易引起誤會
經常見於園區的許多高科技產業，適用對象對半是外來訪客，較少使用在內部的員工電腦。

訪客將筆記型電腦攜入之前，大門口的管理人員會在該臺電腦的USB埠與網路埠，黏貼一張易碎貼紙，確認訪客在進入企業內部的這段時間，是否曾經透過這些連接埠連接周邊裝置，或者存取資料。

用易碎貼紙控管USB埠，好處在於只要透過肉眼，就可以分辨電腦的連接埠是否曾經使用過，可是，一旦貼紙因為各種原因而產生破裂，就很容易造成誤會。這時，IT人員有權開啟訪客的電腦，檢查硬碟裡是否存放機密資料，確認無異狀之後，才會放行讓訪客攜出企業內部。

3.移除主機板上的跳接器
●優點：使USB埠功能達到真正的完全失效。
●缺點：管理上欠缺彈性，日後重新啟用USB埠功能的時候，需要打開電腦機殼，插回跳接器。
移除主機板上的跳接器（Jumper），同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用，移除跳接器之後，USB埠的功能達到真正的完全失效，不但無法讀取USB裝置，同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。

當企業因為使用上的需求，而必須啟用USB埠功能的時候，就必須先將電腦機殼打開、將跳接器插回，做法上較為麻煩。

4.用熱熔膠堵住
●優點：可確實封鎖USB埠
●缺點：USB埠硬體隨之損壞，無法使用
也有許多企業，尤其是政府、軍方單位，經常是以熱熔膠等填充物堵住電腦的USB埠，不讓員工使用，一旦封鎖之後，即無法再連接任何的USB周邊裝置。

這是一種破壞性的封鎖方式，當填充物灌入USB埠接孔時，USB埠介面也會隨之損壞，而永久無法使用。

5.插上專用介面卡或硬體鎖
●優點：重新啟用時，不需要拆掉細部硬體，或者重新開機，原本的操作方式不會因此中斷或改變
●缺點：管理彈性較差
有一些現成的硬體產品，能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品，裝在主機板上的PCI插槽之後，USB等周邊連接埠的功能就會失效。產品本身附有一個搖控器，如果日後還有使用USB埠的需求，只要按下搖控器上的按鈕，連接埠的功能就會開放，同時不影響電腦目前正在執行中的工作。

另外一種是硬體鎖，可堵住電腦面板上的連接埠接孔，但可視使用需求而取下，恢復USB埠的功能，不像使用熱熔膠灌入USB埠接孔時，會造成硬體介面的損壞。某些品牌電腦的廠商就推出這樣子設計的產品，讓習於採購同廠牌電腦的企業作為配件選購；另外，在一些電子賣場也能找到具有類似功能的產品。

6.利用群組原則集中控管
●優點：適用於大量電腦環境，可批次強制實施，統一設定
●缺點：管理彈性較差
員工人數稍有規模的企業，一般都會在內部架設Windows Active Directory（AD）伺服器，並將所有電腦加入網域，以便實施統一控管。有了這樣的集中管理環境，IT人員就可以在一臺電腦中處理完所有員工電腦的控管措施，不用像前面幾種方式一樣，需要到每一臺電腦手動設定。

企業可以透過設定群組原則物件原則（GPO）的方式，在AD伺服器的管理介面執行相關的設定，接著將政策派送到內部的所有員工電腦，就可以關閉周邊裝置的使用權限。不只是USB儲存裝置，企業也可以使用相同方式控管光碟機、LS-120，以及軟碟機的使用。

7.修改電腦內的特定登錄機碼
●優點：設定簡單
●缺點：對於了解電腦操作的人來說，效果有限
對於連接過USB儲存裝置的電腦，可以利用修改登錄機碼設定的方式，禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式，在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start數值，點選開啟之後，將數值由預設的3，修改為4，就能將USB儲存裝置設定為禁用。此種做法，對於知道如何修改登錄機碼的員工來說，隨時可以將機碼設定回復成預設值，繼續在電腦上使用USB儲存裝置。 如果企業有使用Windows Vista，則可以群組原則設定中，將卸除式磁碟機的項目設定為拒絕授予存取權。

8.刪除USB儲存裝置的驅動程式
●優點：可針對不同USB裝置個別控管
●缺點：僅能針對先前未曾連接USB儲存裝置的電腦
適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下，可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案，這是Windows系統用來辨識USB儲存裝置的驅動程式。

我們可以針對這兩個檔案設定存取權限，修改檔案名稱，或者直接刪除檔案，就可以讓讓員工無法在自己電腦上使用USB儲存裝置。相同的做法，也能用於印表機、網路攝影機等USB裝置的管理。

9.採用周邊裝置控管產品的解決方案
●優點：可視需求開放一部分的功能，具備良好的管理彈性
●缺點：無法防止員工以變造修改的方式將機密資料外流
企業對於USB埠的管理需求往往不只是單純的開與關而己，而是希望根據實際需求來決定要開放什麼樣的功能，在此種情況下，就需要導入周邊裝置的控管產品來達成這項目的。

這類產品通常會透過安裝在使用者電腦上的代理程式實施管理，而且能夠整合Windows AD、LDAP等目錄服務，讓同一部門、相同群組的電腦套用相同的政策做管理，省去個別調整設定的麻煩。

除了設定開關之外，這類產品對於周邊的連接埠，可以提供相當精細的管理功能，對於USB儲存裝置，可以設定成唯讀屬性，只能閱覽隨身碟裡的資料，但不可以執行寫入的動作，對於智慧型手機，這類員工工作上經常使用到的裝置，透過某些這類型的產品，可以只允許電腦與手機之間交換通訊錄，與行事曆，但不能將電腦裡的資料複製到手機上頭的記憶卡。

企業可以在員工將資料寫入USB儲存裝置的時候，可以備份到指定的儲存空間，供企業日後稽查檢查之用，不過也有企業為了避免資料儲存上的麻煩，只是記錄檔案的傳輸動作，將此臺電腦何時傳送了什麼樣的檔案記錄起來，不過這樣一來，對於員工以變造修改的方式將機密資料外流的做法，產品就無法有效地加以管理。

除了市面上的產品之外，網路上也有許多免費版本的USB控管軟體，舉例來說，像是USB Blocker，不過，也要注意某些工具有可能是廣告軟體或間諜軟體。

和付費產品相比，這一類控管產品的功能比較陽春，採用與否，需視企業實際需求與部署規模而定。

10.將重要檔案予以加密
●優點：可讓員工正常使用USB埠，並能防止裝置遺失
●缺點：一旦金鑰遺失，就無法開啟隨身碟裡的檔案
控管的對象以檔案為主，而非USB埠本身，當資料寫入USB儲存裝置的時候，可以透過應用程式執行加密，限制擁有解密金鑰的人才能開啟該檔案，防止USB儲存裝置遺失之後，裡頭存放的機密資料遭到盜取。

11.藉助SSL VPN或終端服務
●優點：可防止機密資料透過網路複製到遠端電腦的磁碟機
●缺點：防護範圍有限
幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務，當員工從外部網路連接上線之後，電腦上的螢幕畫面就會自動切換成虛擬桌面，任何存取或修改資料的動作都必須在此區域進行。

而Windows Server的終端機服務，是一種可供多人同時執行遠端伺服器上的應用程式環境，這類型解決方案有一項功能是允許連線階段，將員工端本機電腦上的磁碟機、印表機等裝置自動連線，成為遠端電腦上的網路磁碟機，有可能會因此形成機密外洩管道。該怎麼防護？我們可以在本地端電腦設定相關的本機群組原則──關閉磁碟重新導向的功能，禁止員工將遠端電腦上的機密資料下載。

12.建置DLP解決方案
●優點：可以有效防止機密資料透過各種途徑外流，同時無需封鎖USB埠功能
●缺點：對於非Windows平臺的控管效果較差
DLP是更進一步的機密資料安全保護方案，功能上不但包含周邊裝置控管的功能，更結合資料過濾的方式，從檔案內容著手，在不影響USB埠功能的情況下，將含有機密內容的資料攔阻下來，不允許複製到USB儲存裝置，或者透過網路傳送出去。