如何禁用USB存储设备

怎样使USB接口锁住或不可用/270731/viewspace-69641.html方法一：修改BIOS设置这种方法虽然比较“原始”、简单，但却很有效。

因为是在Windows启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备（包括USB键盘及鼠标）的用户。

具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键（或根据画面上的提示按相应的键盘按键）进入BIOS设置界面，选择“Integrated Perip herals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。

最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。

方法二：修改系统文件/注册表与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。

但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。

该方法分两种情况：如果电脑尚未使用过USB设备（比如刚重装好系统），可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。

对于已经使用过USB设备的电脑，要禁用电脑的USB功能，就得通过注册表来实现。

如果你对电脑并不熟悉，修改前请先备份注册表。

【未使用过USB设备的电脑】1、启动资源管理器，依次打开Windows文件夹下面的子目录Inf。

2、在Inf文件夹里，找到“Usbstor.pnf”文件，右键单击该文件，然后选择“属性”。

3、再“属性”对话框里单击“安全”选项卡。

4、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

5、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

如何禁用USB端口控制使用网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

大势至电脑文件防泄密系统是一款电脑防泄密工具，可以防止电脑文件通过所有常用的传输手段外传，可以最大程度的保护企业重要商业信息的安全，防止商业机密外泄方法步骤1、控制USB端口。

禁止电脑连接USB存储设备(U盘、手机、平板、移动硬盘、SD卡、USB光驱等)，但不控制USB非存储设备，例如鼠标、键盘等。

也可以设置特定USB存储设备，即电脑只能识别这个USB存储设备，同时还可以设置这个特定存储设备只能向电脑拷贝文件，但不能从电脑向其拷贝文件。

还可以设置拷贝文件需要输入密码等。

2、控制外网传输文件。

禁止文件通过外网发送，包括：设置特定QQ账号登录或允许QQ聊天，禁止QQ传文件，禁止QQ群传文件，允许微信聊天，禁止微信传文件，禁止使用网盘、禁止使用云盘、禁止使用邮箱、禁止使用FTP、禁止使用任意网络应用传送文件等。

3、控制内网传输文件。

禁止使用任意内网通讯工具，例如飞鸽、飞秋等，还可以禁止局域网通信、禁止使用网络共享、禁止网线传输电脑文件等。

4、其他方式。

禁止使用蓝牙发送文件、禁止使用红外发送文件、禁止电脑安装随身wifi发送文件、禁止电脑安装无线路由发送电脑文件、禁止电脑安装虚拟机发送文件、禁止远程桌面发送电脑文件、禁止使用剪切板、禁止截屏等。

之所以说这款软件很棒，是因为有如下几个特点：1、秒装，极简操作。

安装部署只需5秒钟，常规设置只需要在主控界面直接勾选相应的项目，立即生效。

电脑开机后，软件自动隐藏运行，不需要专业人员维护。

2、百余项功能，精准高效。

系统的管理项目达100项之多，均可分开独立控制，可以封堵几乎全部的文件传输途径，最大程度保护电脑文件安全，严防商业机密外泄。

3、精细灵活控制USB存储设备。

只禁用USB存储设备，不影响USB鼠标、键盘、U盾、打印机等USB非存储设备;可以设置只允许从U盘拷贝到电脑，禁止从电脑拷贝到U盘，或设置拷贝文件时需要输入密码，或添加特定U盘等。

组策略禁用USB存储器但开放其他USB设备方法利用组策略让系统可以使用USB接口但无法使用USB存储器。

笔者是企业的IT，管理80台左右的电脑。

为方便管理，将电脑的软驱、光驱全部拆除，前置USB口的连接在BIOS里禁用了USB端口，设置了密码，使USB端口不能使用，虽说在一定程度上控制了科室工作人员使用闪USB口的禁用，而导致不能使用USB鼠标、手写板等设备。

最近有部门要求使用激光打印机及手写板，激光打印机勉强找到了能连接的COM口，而手写板设备只能使用以想在禁止使用USB存储器的情况下又不影响USB设备（打印机、键盘、鼠标）的使用，怎么办呢？在多次实验一个方法了。

步骤如下1、确定数字与盘符的关系我需要隐藏及禁用的是除了C、D、E盘之外的磁盘分区，据微软相关资料所述，需要隐藏的驱动器的值设驱动器的值为0，那么数字与盘符的对应关系如下表：接下来将11111111111111111111100011字符串转换为十进制数字，这个用Windows自带的计算器就可以办十进制数字为：671088352.修改system.adm文件搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67108835”，如下图。

接着继续查找“Strings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除C、D、E外其他驱动器"”，修改后进行保存并覆盖掉原来的文件。

3. 编辑域用户的组策略重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”→“板”→“Windows组件”→“Windows资源管理器”的隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑的选项中果然就出现了“除C、D、E外的驱动器”选项，如下图。

如何关闭电脑的USB接口.有的时候, 我们的电脑不想让别人随便就插入U盘, 因为这样会容易感染U盘病毒. 那就要关闭USB接口, 那如何关闭电脑的USB接口呢? 下面就介绍5种关闭USB接口的方法:一 . 通过BIOS设置关闭USB接口进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了打印机、U盘和移动盘。

二 . 禁止闪盘或移动硬盘的启动相比修改BIOS, 这个方法温和一点, 只是禁止从U盘启动. 先打开注册表编辑器，找到以下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTO R]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

(“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

) “确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

这个方法只对一部分USB存储设备有效, 对有些U盘也无能为力。

三 . 隐藏盘符和禁止查看为了保护U盘内容, 可以隐藏和禁止查看内容. 找到注册的:[HKEY_CURRENT_USERsoftwareMicrosoftwindowsCurrentVer sionPloicIE***plorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。

USB禁用移动存储介质(保证USB键盘鼠标正常)为了对USB更彻底的控制，可以对系统的usbstor.inf和usbstor.pnf的文件权限进行控制。

这两个文件位于windows\inf目录下（这两个文件是USB存储设备的驱动文件，本策略的原理是利用NTFS 权限阻止普通用户加载驱动）可保证USB鼠标键盘正常运行的情况下禁用移动存储介质，注意事项：(1)使用前请确认你的系统盘使用的是NTFS权限，否则此策略将无效。

(2)此策略只能对计算机，不针对用户1、打开组策略编辑器gpmc，选择计算机配置--安全设置--文件系统；2、在右边单击鼠标右键选择－－添加文件；3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；4、出现权限设置对话框，注意这一步很重要一定要删除所有的组；5、出现如下对话框，继续单确定；6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如下图；7、找一台客户端计算机验证策略，强制刷新策略,重新启动计算机；8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安全组已被删除。

策略应用成功，普通用户无法再使用USB存储设备。

详细操作如下:１，在DC里的OU里新建一条GPO组策略２、添加至组策略----计算机配置----管理模板中，３、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾４、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.为了方便大家阅读重新更新了一下图片.正确的使用方法是在要设置的驱动器里选择”Ｄisabled”或”Enabled”例1：禁用软驱;“Disabled Floppy”->选择disabled Floppy Drive为“Enabled”。

12种方法禁用USB端口想要控制USB端口的数据传输，我们收集了目前可行的所有做法，总共归纳为3大类、12种方式。

第1大类是物理封锁，又可细分成完全禁用、弹性禁用，以及贴标签检查；第2类是修改操作系统设定，从Windows环境着手修改；第3类手段更全面，如果企业想获得最高的控制弹性，以专用的外设控制解决方案，或搭配其它安全方案的管理手段联合控制，即可达到要求。

而这里要特别注意的是，企业是否真正需要大量个人端电脑控制与监视能力，如果确有需求，那么企业多半须要花钱采购、配置特定的设备。

1. bios 中禁用，在Advance Chip Setting 里，关闭USB ON Board 选项，可以通过debug，放电，或者软件等方法破解bios 密码2. 文件权限，如果计算机上尚未安装USB 存储设备，向用户或组分配对%SystemRoot%\Inf\Usbstor.pnf 和%SystemRoot%\Inf\Usbstor.inf 两个文件的'拒绝'权限。

3. 如果计算机上已经安装过USB存储设备，请将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR注册表项中的'Start '值设为 4第一种、禁用BIOS的相关设定·优点：设定容易，做法简单·缺点：BIOS的管理密码可能被破解在主板的BIOS设定里，我们可以将USB端口的功能，设定为禁用。

由于设定十分容易，做法简单，因此成为企业经常用来管理USB设备的手段。

为了防止员工自行进入BIOS 重新启用USB端口的功能，一般在完成设定之后，IT人员会同时设定BIOS的管理密码，只有相关获得授权的人员才能访问、更改BIOS设定。

需要特别注意的是：BIOS与USB端口相关设定的名称与位置，往往随品牌的不同，而有所差异，甚至没有这方面的设定。