怎樣停用USB接口但打印機能用

參考禁用USB的12法：第一種、禁用BIOS的相關設定?優(yōu)點：設定容易，做法簡易?缺點：BIOS的管理密碼可能被破解在主板的BIOS設定里，我們可以將USB端口的功能，設定為禁用。由于設定十分容易，做法簡易，因此成為企業(yè)常常用來管理USB設備的手段。為了防止員工自行進入BIOS重新啟用USB端口的功能，一般在完成設定之后，IT人員會同時設定BIOS的管理密碼，只有相關得到授權的人員才能訪問、更改BIOS設定。 需要特別注意的是：BIOS與USB端口相關設定的名稱與位置，往往隨品牌的不同，而有所差異，甚至沒有這方面的設定。 此外BIOS的管理密碼并非設定之后，就沒法破解。只要進行主板放電操作，也就是將主板上的扣子電池取出后、再重新放回，BIOS密碼就會恢復成默認值，而員工就能趁機進入BIOS更改設定。不過，對企業(yè)來說，一般都不允許員工私自拆裝公司所配發(fā)的電腦，而只要非IT部門的人員，在進行類似的動作時，就很容易引起其它人的注意。而在機密數(shù)據(jù)外泄事件發(fā)生后，此人自然會成為公司重點排查的可疑對象。 在主板的BIOS設定里，我們可以將USB端口的功能設定為禁用。 第二種、貼上易碎貼紙?優(yōu)點：用肉眼就可以分辨電腦的USB端口有無使用過的跡象?缺點：貼紙不小心破碎時，容易引發(fā)不必要的誤會這種做法常常見于高科技園區(qū)的許多IT企業(yè)，適用對象多半針對企業(yè)的來訪者，較少使用在內部的員工電腦。 來訪者將筆記本電腦攜入辦公區(qū)之前，門口的接待人員會在該臺電腦的USB端口與網(wǎng)絡端口上，粘貼一張易碎貼紙，以確定來訪者在進入企業(yè)內部的這段時間里，是否曾經(jīng)通過這些通用接口聯(lián)接外設設備，或者存取數(shù)據(jù)。 用易碎貼紙控制USB，益處在于只要通過肉眼，就可以分辨電腦的連接端口是否曾經(jīng)使用過，可是，一旦貼紙因為各種原因而產生破裂，就很容易造成誤會。這時，IT人員有權檢查來訪者的電腦，看硬盤里是否存放了本企業(yè)的機密數(shù)據(jù)，在確定無異狀之后，才會放行，讓來訪者把筆記本電腦帶走。 第三種、移除主板上的USB跳線的連接線?優(yōu)點：使USB端口功能達到真正的完全失效。?缺點：管理上欠缺彈性，日后重新啟用USB端口功能的時候，需要打開電腦機箱，插回跳線的連接線。移除主板上跳線（Jumper）的連接線，同樣能夠實現(xiàn)禁用主板上的USB端口的功能。不同于在BIOS將USB端口功能設定禁用，跳線的連接線之后，USB端口的功能達到真正的完全失效，不但沒法讀取USB設備，同時不能通過USB給連接在電腦上的USB外設供電。 當企業(yè)因為業(yè)務上的需求，而要啟用USB端口功能的時候，就必須先將電腦機箱打開、將跳線的連接線插回去，做法上較為麻煩。 第四種、用熱熔膠堵住端口?優(yōu)點：可徹底封鎖USB?缺點：USB端口硬件隨之失效，沒法使用也有許多企業(yè)，尤其是政府機關、安全機構，常常是以熱熔膠等填充物堵住電腦的USB端口，不讓員工使用，一旦封鎖之后，即沒法再連接任何的USB外設設備。 這是一種破壞性的封鎖方式，當填充物注入USB孔時，USB接口也會隨之損壞，而永久沒法使用。 第五種、插上專用適配卡或硬件鎖?優(yōu)點：重新啟用時，不需要拆掉硬件，或者重新開機，原有的電腦操作不會因此中斷或改變?缺點：管理彈性較差有一些現(xiàn)成的硬件設備，能夠幫助企業(yè)管理USB的使用。市面上有一種適配卡式的產品，插在主板上的PCI插槽之后，USB等外設連接端口的功能就會隨之失效。產品本身附有一個遙控器，如果日后還有使用USB的需求，只要按下遙控器上的按鈕，連接端口的功能就會開放，同時不影響電腦目前正在執(zhí)行中的電腦操作。 還一種是硬件鎖，可以鎖住電腦上的連接接口，但根據(jù)使用需求而取下，恢復USB端口的功能，不像使用熱熔膠灌入USB插口時，會造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產品設計，讓習慣采購同品牌電腦的企業(yè)作為選購配件；另外，在一些電腦賣場也能找到具有類似功能的產品。 第六種、利用員工群組原則，集中控制?優(yōu)點：適用于大量電腦環(huán)境，可批量強制實施，統(tǒng)一設定?缺點：人性化不足，管理彈性較差員工人數(shù)稍有規(guī)模的企業(yè)，一般都會在內部架設Windows Active Directory（AD）服務器，并將所有電腦加入網(wǎng)域，以便實施統(tǒng)一控制。有了這樣的集中管理環(huán)境，IT人員就可以在一臺電腦中處理完所有員工電腦的控制措施，不用像前面幾種方式一樣，需要到每一臺電腦手動設定。 企業(yè)可以通過設定群組對象原則（GPO）的方式，在AD服務器的管理界面執(zhí)行相關的設置，接著將規(guī)則發(fā)送到所有員工的電腦中，就可以關掉外設設備的使用權限。不只是USB貯存設備，企業(yè)也可以使用相同方式控制光驅、LS-120，以及軟驅的使用。 第七種、更改電腦Windows系統(tǒng)的特定注冊表項?優(yōu)點：設置簡易?缺點：對于了解電腦操作的人來說，效果有限對于連接過USB貯存設備的電腦，可以利用更改注冊表設置的方式，禁止員工在電腦上使用USB貯存設備。開啟Windows的登錄編輯程序，在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的項目下找到Start數(shù)值，點選開啟之后，將數(shù)值由預設的3，更改為4，就能將USB貯存設備設置為禁用。此種做法，對于知道如何更改注冊表的員工來說，隨時可以將注冊表項設置恢復成默認值，繼續(xù)在電腦上使用USB貯存設備。 如果企業(yè)有使用Windows Vista，則可以群組設置中，將移除式磁盤驅動器的項目設置為拒絕授予讀寫權限。 直接更改電腦內的特定注冊表項，也可以達到USB禁用的效果，合適少量電腦的封鎖。 第八種、刪掉USB貯存設備的驅動程序?優(yōu)點：可針對不同USB設備個別控制?缺點：僅能針對先前未曾連接USB貯存設備的電腦適用于未曾連接過任何USB貯存設備的電腦。在“C:WINDOWSinf”路徑下，可以找到usbstor.inf、usbstor.PNF兩個安裝信息文檔，這是Windows系統(tǒng)用來辨識USB貯存設備的驅動程序。 我們可以針對這兩個文檔設置存取權限，更改文件名稱，或者直接刪掉文檔，就可以讓讓員工沒法在自己電腦上使用USB貯存設備。相同的做法，也能用于打印機、網(wǎng)絡攝像頭等USB設備的管理。 第九種、采用外部設備控制產品的解決方案?優(yōu)點：可根據(jù)需求開放一部分的功能，具備良好的管理彈性?缺點：沒法防止員工以編輯更改的方式將機密數(shù)據(jù)外流企業(yè)對于USB的管理需求往往不只是單純的開與關而己，而是希望根據(jù)實際需求來決定要開放什么樣的功能，在此種情況下，就需要導入外部設備的控制產品來達成這項目的。 這類產品通常會通過安裝在用戶電腦上的代理程序實施管理，而且能夠整合Windows AD、LDAP等目錄服務，讓同一部門、相同群組的電腦套用相同的規(guī)則做管理，省去個別調整設置的麻煩。 除了設置開關之外，這類產品對于外設的插口，可以提供相當精細的管理功能，對于USB貯存設備，可以設置成只讀屬性，只能閱覽移動U盤里的數(shù)據(jù)，但不可以執(zhí)行寫入的動作，對于智能型手機，這類員工工作上常常使用到的設備，通過某些這類型的產品，可以只允許電腦與手機之間交換通訊簿，與行事歷，但不能將電腦里的數(shù)據(jù)復制到手機上的記憶卡里。 企業(yè)可以在員工將數(shù)據(jù)寫入USB貯存設備的時候，可以備份到指定的貯存空間，供企業(yè)日后稽查檢查之用，不過也有企業(yè)為了避免數(shù)據(jù)貯存上的麻煩，只是記錄文檔的傳輸動作，將此臺電腦何時傳送了什么樣的文檔記錄起來，不過這樣一來，對于員工以編輯更改的方式將機密數(shù)據(jù)外流的做法，產品就沒法有效地加以管理。 除了市面上的產品之外，網(wǎng)絡上也有許多免費版本的USB控制軟件，比如USB Blocker，不過，也要注意某些工具有可能是廣告軟件或間諜軟件。 和付費產品相比，這一類控制產品的功能比較少見，采用與否，需視企業(yè)實際需求與部署規(guī)模而定。 第十種、將重要文檔予以加密?優(yōu)點：可讓員工正常使用USB端口，并能防止設備遺失?缺點：一旦密鑰遺失，就沒法開啟移動U盤里的文檔控制的對象以文檔為主，而非USB端口本身，當數(shù)據(jù)寫入USB貯存設備的時候，可以通過應用程序進行加密，限制擁有解密密鑰的人才能開啟該文檔，防止USB貯存設備遺失之后，里頭存放的機密數(shù)據(jù)遭到盜取。 第十一種、借助SSL VPN或終端服務?優(yōu)點：可防止機密數(shù)據(jù)通過網(wǎng)絡復制到遠程電腦的磁盤驅動器?缺點：防護范圍有限安全廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務，當員工從外部網(wǎng)絡連接內部網(wǎng)絡之后，電腦上的屏幕畫面就會自動切換成虛擬桌面，任何存取或更改數(shù)據(jù)的動作都必須在此區(qū)域進行。 而Windows Server的終端服務，是一種可供多人同時執(zhí)行遠程服務器上應用的程序環(huán)境，這類型解決方案有一項功能是允許聯(lián)機階段，將員工端本機電腦上的磁盤驅動器、打印機等設備自動聯(lián)機，成為遠程電腦上的網(wǎng)絡磁盤驅動器，有可能會因此形成機密外泄通道。該怎么防護？我們可以在本地端電腦設置相關的本機群組原則DD關掉磁盤重新導向的功能，禁止員工將遠程電腦上的機密數(shù)據(jù)下載。 第十二種、實施DLP數(shù)據(jù)遺失防范解決方案?優(yōu)點：可以有效防止機密資料通過各種途徑外流，同時無需封鎖USB端口功能?缺點：對于非Windows平臺的控制效果較差DLP數(shù)據(jù)遺失防范是更進一步的機密數(shù)據(jù)安全保護方案，功能上不但包括外部設備控制的功能，更結合數(shù)據(jù)過濾的方式，從文檔內容著手，在不影響USB端口功能的情況下，將含有機密內容的數(shù)據(jù)攔阻下來，不允許復制到USB貯存設備，或者通過網(wǎng)絡傳送出去。