科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>保护内部数据安全--禁用USB端口(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为网管,在日常工作中的主要任务就是要维护网络的安全运行。安全不仅是安装防火墙和杀毒软件,更重要的是对网络中的重要数据进行保护。

来源:51cto.com 2007年12月27日

关键字:数据安全 数据恢复

作为网管,在日常工作中的主要任务就是要维护网络的安全运行。安全不仅是安装防火墙和杀毒软件,更重要的是对网络中的重要数据进行保护。

在几年前的“软盘时代”,为保证局域网内部的资料不泄密,一般要求局域网内的大部分电脑不得安装软驱,需要对外传递资料时则固定在网络管理部门的部分电脑上进行拷盘。如今,各种各样的USB设备层出不穷,操作系统也都升级到了Windows 2000/XP,USB接口也前置了,资料的传递变得轻而易举,网管的压力也随之变大。网络中的各种资料随时都有失窃的可能,网管不可能监控住一、两百台电脑。

为了保证内部数据的安全,必须要从管理和技术两方面同时着手,一方面尽量避免将重要数据存放在公共空间,所有共享目录设置访问密码;另一方面就是采用最直接的手段——禁用USB端口。

直接禁用USB端口

禁用USB端口的常用方法一般是在BIOS中屏蔽掉USB端口,可以在BIOS里设置Advance Chip Setting,关闭USB ON Board。但是这种方法的安全性不高,稍微有点电脑知识的人都知道诸如放电、Debug等方法可以破解BIOS密码,何况还有许多查看BIOS密码的软件。

经过查询微软的知识库得知,在Windows XP下禁用USB端口有两种方案:

1.如果计算机上尚未安装 USB 存储设备,向用户或组分配对%SystemRoot%\Inf\Usbstor.pnf 和%SystemRoot%\Inf\Usbstor.inf两个文件的“拒绝”权限,这样,用户将无法在计算机上安装 USB 存储设备(如图1)。

 
图1 注册表编辑器窗口
 
图2 权限设置窗口

2.如果计算机上已经安装过 USB 存储设备,请将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor注册表项中的“Start”值设置为 4(如图2)

这样,当用户将 USB 存储设备连接到计算机时,该设备将无法运行(如图3)。

 
图3 用户无法使用USB设备


禁止修改注册表

既然修改注册表可以禁用USB端口,那么为防止用户自行将注册表重新改回,可以考虑通过组策略来限制用户使用注册表编辑器。点击“开始→运行”,输入gpedit.msc 并确定,即可运行程序。在组策略控制台中,选择“本地计算机”策略→用户配置→系统,启用“禁用注册表编辑工具”项,该策略是禁止用户使用 Windows 注册表编辑器 Regedt32.exe 及 Regedit.exe,管理员用户也不例外(如图4)。

 

图4 禁用注册表编辑工具

 

图5 注册表被禁用提示

启用该策略后,运行regedit命令时,将出现“注册表被禁用”的提示(如图5)。

但是禁用注册表并不能高枕无忧,因为用注册表导入的方法仍然可以直接修改注册表。

新建一个名为usb.reg的文本文件,输入以下内容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000003

双击该文件,将信息添加至注册表中,即可恢复使用USB设备。

要想连这种方法都禁掉,只有通过用户权限来实现了。新建一个用户User,隶属于USER组,User用户是没有权利修改注册表的,这样,以User用户登录后,即便有以上的usb.reg文件,添加至注册表时也将被拒绝。

组策略详解

组策略就是修改注册表中的配置,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,比手工修改注册表方便、灵活,功能也更加强大。组策略中的设置都将在注册表中反映,每个设置都对应注册表中的某一项。

由此我们可以得到一种启示,组策略既然设置了注册表,那么如果我们直接更改或删除组策略所产生的注册表项,会不会使组策略失效呢?答案是肯定的。那么怎样知道组策略是修改了注册表中的哪一项?

秘密就在于%SystemRoot%\system32\ GroupPolicy\User\Registry.pol文件,Registry.pol文件记载了组策略设置的注册表项,该文件可以用类似UltraEdit32之类的文本编辑器进行查看,在Hex(十六进制)模式下查看,可以看见文件。文件看起来有点乱,中间间隔了很多空格。不过还是可以看出来[Software\Microsoft\Windows\CurrentVersion\Policies\System]分支下DisableRegistryTools项就是禁止编辑注册表的,[Software\Policies\Microsoft\Windows\System]分支下DisableCMD项就是用来禁用命令行的。而在注册表中一般数值为“0”的项意指“否”,这样就很清楚了。

组策略被禁用的解决办法

组策略中有两个比较有用的选项:只运行许可的Windows应用程序和不要运行指定的Windows应用程序。比如说可以用来让公司的电脑只能运行Photoshop、Word等软件,而不能运行QQ、CS等。

在我的工作中遇到的一个有趣的问题,本想禁止用户运行各种游戏和聊天工具的,在“只运行许可的Windows应用程序”策略中设置了工作中所需要用到的各种软件,没想到启用策略后,居然不能再运行“GPEDDIT.MSC”来运行组策略了(我用的是Administrator用户登录),每次运行就如图6所示的提示。

 
图6 组策略提示窗口

经过一番试验,找到了解决注册表被禁用的解决办法:重新启动计算机,按下F8键,在Windows高级选项菜单里选择“带命令行提示的安全模式”,进入安全模式后,出现提示“命令行被禁用”,按下“Ctrl+Alt+Del”组合键,选择“任务管理器”,键入MMC。

打开控制台窗口,单击“文件→添加/删除管理单元”,在“独立”选项卡中单击“添加”按钮。

选择“组策略”管理单元,单击“添加”按钮,组策略对象的缺省选择为“本地计算机”。单击“完成”,随即出现了熟悉的组策略编辑窗口。这样,接下来要做的就是将启用的策略改为“未被配置”即可。

使用上面的方法打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体操作是:

1.启动故障计算机至登录状态。

2.登录到网络中的另外一台Windows 2000或Windows XP的计算机上,在命令行模式下运行net use \\computername /user:administrator password(请使用正确的参变量值替代其中的computername、password),例如net use \\192.168.0.30 /user:administrator 12345。

3.键入mmc,基本操作参照上文,在“选择组策略对象”时通过单击“浏览”查找所需的组策略对象。选择计算机时可键入计算机名或直接输入IP地址。


小结

灵活运用组策略的各种设置,可以为网管工作提供很多便利,例如禁用USB端口,禁止运行和工作无关的软件,禁止修改注册表等。而且在域环境下,可以直接在服务器上针对不同的OU设置各自的组策略,这样用户登录到服务器时,相应的设置就可以生效,避免了网管要在每台电脑上设置的麻烦。建议对于每台电脑Administrator用户密码要由网管统一掌握,必要时可通过网管电脑使用net use命令查看和更改用户电脑上的策略配置情况。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题