如何禁止 USB 移動設備訪問 Windows 電腦？

12-11

公司區域網，一台文件共享伺服器，現在老闆要求禁止各終端從USB口通過優盤、移動硬碟之類的複製數據。請技術大神支招！環境：XP、win7 64bit。20台以下。

最好的招是「物理隔絕」：用膠把usb口糊起來，或者用柜子把PC主機鎖起來。

當然對每個方案來說你的鍵盤跟滑鼠最好用ps2的以避免還要暴露一個usb口。

注1：以上的方案是真事。
注2：軟體上的方法，據我所知都可以破解。最簡單的：USB 可以啟動自己的U盤系統，因而在硬碟系統中安裝任何軟體都沒有意義，而對間諜來說，只要你不講機箱物理隔絕，破解 bios 密碼不是什麼難事，你禁不掉 USB 啟動。

匿了。

封USB的目的是為了防止信息泄露，一般用於對付懂技術的人。

不能上網，不用u口設備，主機鎖在保險柜里都只是頭疼醫頭。

但真正懂技術的還會只從USB方面動腦筋嗎？

是不是還有模擬口？串口？PS2? 音頻？
只要有電氣介面，懂硬體和軟體，就都能搞出來。

完全沒有線？據稱有論文研究過，可以利用聲音，先編碼，播放出來再解碼。還可以通過顯示器輻射等。但還都處於實驗室階段。

因此，部分安全公司專門在開發人員後方裝攝像頭監視屏幕，這當然需要有人不定期來看。
不過一般都是出事之後才追查。

感謝@seak。

算了我還是專業點來回答
樓主這個問題，其實解決辦法，不是這樣的，，，
而是使用企業的虛擬磁碟管理系統
將數據都存放在SERVER，本地無硬碟，
server 虛擬磁碟給客戶機使用，而虛擬軟體禁用掉USB存儲功能就行了

這樣的好處，除非SERVER被入侵，而且還要物理的，否則是拿不到數據的！
第二本地無數據，實際上你插上U盤啟動也沒用，除開能夠啟動系統，你又不能掛在伺服器的虛擬盤磁碟，

不過改造成本高點點，對於現在20台PC的情況，伺服器一個RAID5的儲存池是必要的，網路至少GB的要求，如果GE當然更好

之前裝的是獵隼系統，現在不清楚，沒注意過。
USB傳輸如@馮浩所說，單向傳輸或異形U口。
補幾張圖

這個必須匿

世界上沒有絕對的安全。因此，要搞信息安全，先問問你願意付出多少代價？換句話說，要防止多少破解成本以下的破解技術？評價信息安全的手段，可以用實施成本和破解成本。

極端的方法，給100萬美刀給某個員工，每天抄下來屏幕上的信息，你防不了。用高精密電流感測器，測量電腦的電流波動，理論上可以偵測到所有數據(別懷疑，真可以)。

當然我估計你不需要考慮這麼多，所以從簡單開始的方法有：
1.堵USB口。
2.鐵箱子鎖住主機，綁住網線。
3.物理隔離網路。
4.虛擬機，物理隔離主機。
5.傳入傳出數據用光碟刻錄。
6.傳入傳出數據存檔簽名，防止暗度陳倉。
7.法律手段威懾。

並且要有相應的制度和分級保密方案。畢竟再牛逼的技術，都需要電工和IT的維護。而IT的工資也不高。

要我說你們老闆純粹是外行瞎折騰，無非是防止公司的資料外泄，你作為網管人員完全沒道理迎合他，他不專業：
1.沒有U盤而且在區域網內就沒法把資料傳出去？在把伺服器上的資料共享到本地後斷網接帶網口的3G貓外發……所有的技術上的屏蔽都是次要的，包括物理破壞，那你要非常小心的把主板上的介面都刮掉，要不還是可以起死回生。你們老闆那純粹是外行在想當然，還是那句話「防君子不防小人」。
2.制度上約束才是真正的解決辦法。文件伺服器資料分類，賦予讀取者不同的許可權這才是真正的道理。制度上規範每個人對於自己的許可權負有責任。我就不信你那伺服器上的所有的資料都是NSA級別的東東，NSA還出了個斯諾登呢。資訊是為了提高效率而生的別搞得降低效率了。
後話：好多年前在的公司給windows代工Zune，保密也做的有模有樣什麼進出控制、手機上繳等等，我們部門負責人說「××，整這套，要什麼資料我的電腦里都有。」

買圓口鍵盤滑鼠，把前面板跟主板連接線剪斷，把主板上的usb用熱熔膠堵死。簡單粗暴如我。

以上各位仁兄已經從技術角度，用工程師的思維進行了各種專業的分析，但是我覺得還有點不夠，不夠的地方在於，既然「禁止USB拷貝數據」這件事只有通過肉體消滅（毀壞USB插口）的方式才能徹底實現，那是不是等於告訴用戶「這事兒沒法做了」？

技術只是一個輔助的手段嘛，所以我想再問問LZ，你們老闆希望禁止哪些人使用USB存儲設備？如果這類人是技術小白，那麼修改註冊表的方式基本足夠了。而且也不會影響其他如USB鍵盤、USB滑鼠的正常使用。

如果你們老闆希望禁止的是有簡單技術能力的「裝機小弟」使用，那再加上BIOS密碼，鎖死從優先從硬碟啟動的方式，那基本也就可以了。

如果對方技術水平再高一些，那還有其他對應的措施，但是從LZ提出的這個問題的情況來看，我猜你們老闆需要管理的這些人的技術能力頂多一般般吧。

最後，不要對「通過技術方案解決100%的問題」抱有幻想，老闆想管理的是人，不是機器，所以任何的技術手段都還要加上配套的制度才能比較好的達到效果。

關於馮浩和匿名用戶，希望你們能編輯一下，刪掉所發圖片，該產品是國家保密局規定的涉密產品，從產品外型、包裝、設計圖紙、相關文檔標準等等，都屬於涉密範圍，在互聯網上發該圖片已經違反了保密法。

其實題主沒有描述清楚詳細情況，說句實話，一個信息系統的安全保密建設，往往是差之毫厘謬之千里。

作為一個涉密信息系統的防護主要有幾個要點：

第一個是泄密事件的防護，儘可能的防護住所有的泄密事件發生的可能性，但是大家都清楚，這是不可能做到的。

第二個就是泄密事件的報警，第一點大家都知道了，不可能百分之百達到，那麼就要做到，一旦有泄密事件就要及時的報警。這個「及時」很重要，要是發生泄密事件半個月後才報警，那絕對沒有任何意義了，正常的期望值，不要超過10分鐘，其實現在的技術在數秒內報警是可以達到的，但是有時候會因為網路和系統方面的問題會造成延遲。

第三個就是事後的審計，對於某些緊急度不夠高的事件，不需要很高的實時性，但是必須事後能追查到源頭，可以追究到責任人。

題主所在單位是企業，不知道是什麼樣的企業，所防護的是否屬於國家機密，還是只停留在商業機密的層面，而且也沒說清楚區域網內的終端是否禁止上互聯網。有的朋友可能會說，能上互聯網，禁止優盤還有意義嗎？這就涉及到系統的總體防護的問題，我就見過謀大型企業（數萬人的），計算機都可以上網，但是禁止使用優盤，為什麼？因為該企業對於網路傳輸的審計非常專業和到位，所有通過網路傳輸出去的數據，可以做到百分之一百的審計到位，而對於優盤的操作審計技術還有一定的缺陷，所以該企業允許你通過互聯網發送文件，但是卻不允許你使用優盤拷貝文件。

還有，很多朋友提到無盤終端，所有信息由伺服器集中存儲，你們真的覺得這樣好嗎？如果這個伺服器被攻破，豈不是所有數據統統被人取走？當然，這種雲存儲方面的技術與規則，也正在摸索與推進中，暫時不是很推薦，當相信幾年內就會有可靠成熟的技術。

當然，如果題主所在單位涉及到國家的秘密信息，那麼沒話說，物理隔離，移動存儲介質管控，電磁屏蔽，等等等等，全面的防護就比較複雜了，需要找專業集成單位設計和建設，還需要國家保密局測評審批，這裡就不贅述了。

就沒有華為的么，任老闆怎麼對代你們的，就不出來訴訴苦嗎?

其實吧很簡單，戳一下保密機箱_百度圖片搜索。

這個問題我來回答最合適了，因為工作關係，曾經在世界500強某技術公司北京研究所做駐場工程師，因為大部分員工都是程序員，大概有不到一萬員工，電腦數量是2倍左右，因為信息安全需要，採取的最嚴格方法，主板BIOS刷掉USB埠（這需要電腦廠商提供屏蔽埠的BIOS文件），主板USB跳線，主機箱上箱鎖，以及軟體埠實時監測！

具體用什麼方法，還是要看你公司對信息安全的等級需要，以及公司規模和人員數量。

希望對你有所幫助！

lenovo Port Locker.zip_百度知道
聯想 Lenovo Port Locker 給USB介面加上密碼保護

我們公司使用的是賽門鐵克SEP，伺服器制定禁用策略，監測客戶端設備連接。極難卸載。。
具體可以參見：SEP(Symantec Endpoint Protection)禁止USB設備和特定應用程序

轉自偉大的1024！

接到一個任務，禁止集團內所有電腦的USB介面進行文件拷貝，但不能妨礙印表機、滑鼠鍵盤、掃描儀、加密狗等等一切需要USB介面工作的外部設備。
糾結了，這不擺明了讓我蛋疼嗎？
不過，疼歸疼，辦法總是要想滴，說白了不就是不讓人把公司的機密資料帶出去嗎？現在這些人，暴力管理還找一大堆冠冕堂皇的理由讓你無條件服從，P服！哥們我楞是從中總結出一條真理：世界上沒有辦不到的事，只是你願不願意想辦法。

不羅嗦，開工，首先了解任務的詳細內容：

任務目的：
1、要管制USB存儲設備，一般用戶不能寫不能讀；部分用戶能讀不能寫入USB存儲設備；還有一部分大人們（公司高管）平時不讀不寫，在需要用的時候要能讀能寫！
2、無論使用什麼方式進行管制，不能影響到現在USB印表機、掃描儀、加密狗、滑鼠鍵盤等等外部設備的使用。額滴神，這幫兔崽子真會折磨人。
任務範圍：集團內800+台電腦
任務時間：2周

接下來，就得找實施方案了！
1、方案一：BIOS里全部關閉USB埠
2、方案二：Client端安裝USB管理軟體，用軟體進行管制，安裝一台伺服器，監控所有電腦的USB動態
3、方案三：從操作系統註冊表下手，批處理執行管理

先說說這三個方案：恕本人愚昧，或許還有很多又好又快捷的方法，但偶當時確實只想到這些，
方案一：最操蛋的方法，埠全關了，什麼USB設備都用不了了，就別提這機那機了，PASS掉，
方案二：所有電腦安裝Client，工作量大，時間根本不夠，再說了，我很介意在用戶端安裝軟體，多一個進程多佔用一部分內存，到時候電腦速度慢了又會有人大呼小叫了。仍然PASS，
第三個，其實這也是俺最喜歡用的手段：批處理！哈哈，就它了。

各位觀眾，看清楚看明白啦，實施過程開始！

1、首先，關閉USB存儲設備的盤符自動分配，打開註冊表，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，將"Start"的值改為4（禁止自動啟動），默認為3是自動分配盤符
2、幹掉USB存儲設備的作用文件：進入WINDOWS系統目錄，找到X:Windowsinf，這裡說明一下，USB存儲設備的作用文件有兩個，分別是usbstor.inf和usbstor.pnf，因為後續可能需要重新打開USB功能，所以不要刪除它，建議拷貝到其他位置，當然你要暴力一點，刪除它也沒關係，但記得做好備份。

我用兩條批處理指令實現：
copy %Windir%infusbstor.inf %Windir%usbstor.inf /y &>nul
copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y &>nul
del %Windir%infusbstor.pnf /q/f &>nul
del %Windir%infusbstor.inf /q/f &>nul
哦不，準確的說是4行指令！

3、然後，禁止將電腦里的資料拷貝到USB存儲設備，意思是把USB存儲設備設置只讀的，干成殘廢。
打開註冊表：定位到HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControl，在其下新建一個名為「StorageDevicePolicies」的項，選中它，在右邊的窗格中新建一個名為「WriteProtect」的DWORD值，並將其數值數據設置為1

嘿嘿，有了這一條，你就是能用USB存儲設備，也只能單方面讀取數據了，也算是半個殘廢了。

到此，基本上第一個過程基本完成，實現的功能包括：禁止使用USB存儲設備，不影響其他USB外設，就算要用，也把USB存儲設備干成殘廢（只讀）。

接下來說第二個部分：如何開啟？（部分用戶需要使用USB存儲設備）實際上，逆向操作以上步驟就可以完成開啟，但為了表達的更完整一些，我還是把過程寫下來

1、找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，將"Start"的值改為3
2、恢復USB存儲設備作用文件，還是4行指令：
copy %Windir%usbstor.inf %Windir%infusbstor.inf /y &>nul
copy %Windir%usbstor.pnf %Windir%infusbstor.pnf /y &>nul
del %Windir%usbstor.pnf /q/f &>nul
del %Windir%usbstor.inf /q/f &>nul

完成後，用戶可使用USB存儲設備，但不能往裡面寫入任何內容！你不信？不信就試試嘛，俗話說的好：實踐出真知！
不好意思，扯遠了！

這樣，關閉也寫了，開啟也寫了，接下來的事情，你知道的。
批處理代碼，哈哈！

關閉過程：
@echo off
reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies「 /v WriteProtect /t reg_dword /d 1 /f
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start /t reg_dword /d 4 /f
copy %Windir%infusbstor.inf %Windir%usbstor.inf /y &>nul
copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y &>nul
del %Windir%infusbstor.pnf /q/f &>nul
del %Windir%infusbstor.inf /q/f &>nul
@echo on

開啟過程：
@echo off reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start /t reg_dword /d 3 /f
copy %Windir%usbstor.inf %Windir%infusbstor.inf /y &>nul
copy %Windir%usbstor.pnf %Windir%infusbstor.pnf /y &>nul
del %Windir%usbstor.pnf /q/f &>nul
del %Windir%usbstor.inf /q/f &>nul
@echo on

將以上代碼保存為兩個BAT文檔，然後放進x:Windowssystem32目錄下，比如DisableUSB.bat和EnableUSB.bat
然後直接在運行裡面輸入指令：DisableUSB （關閉）EnableUSB（開啟）

打完收工！

==============================================================================

有朋友問了，你方案是有了，但如何在網內實施？難道需要在每一台電腦上運行這兩個指令嗎，恐怕也不太現實吧？！這個問題問的好，具體實施的過程可以使用以下批處理來完成！

將以下代碼保存為Scan.Bat，將DisableUSB.bat放到與批處理同一文件夾執行即可。
代碼解釋：掃描區域網中的計算機，掃描範圍包括：192.168.1.1~192.168.8.254，掃描數量共計2032個，掃描到存活的主機後將DisableUSB.bat拷貝到對方機器的C$系統共享目錄(這個得保證是開啟狀態)，然後執行。

@echo off
echo 操作成功的電腦IP包括：&>E:Success.txt
for /l %%a in (1,1,8) do (
for /l %%b in (1,1,254) do (
ping -n 1 -w 50 192.168.%%a.%%b net use \192.168.%%a.%%b "password" /user:administrator copy DisableUSB.bat \192.168.%%a.%%bC$ WindowsSystem32DisableUSB.bat Start DisableUSB.bat&>&>E:Success.txt
)
)

其實壓根沒用，我不止一次把派出所有趣的問詢視頻拷回去和老婆當喜劇片看

PS:我不是派出所工作人員

有一種很簡單的辦法，電腦bios里有個禁止使用usb的選項，把它關上，然後把bios設置密碼，讓任何人不能隨意進入bios就解決了
----------------------------------------------------------
另外，各位同僚，不要在評論里秀技術了，秀優越了
什麼不開機箱清bios很簡單，開機箱拆硬碟統統都是在秀優越，這世界根本就不存在100%安全的東西，想要破你，總有方法能破
最簡單粗暴了，那手機對著屏幕照相可以吧，華為禁止帶手機進辦公區的都能這麼干，你耐他何啊？

組策略
計算機配置---管理模板---系統---設備安裝---設備安裝限止項

XP 註冊表HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentCntrolSet＼Services＼USBSTOR
START改成4

如果真要算的話，還有網線啥的接台電腦就又能複製了，直接禁止拿U盤移動硬碟電腦啥的不就得了。

之前涉及過信息安全行業，主要就是做介質管理這方面的。
其實@馮浩說的已經很全面了。
至於題主說的這個事情，對於涉密單位來說，一般是這麼做的：
1.物理隔離
這個是最主要的方法，是直接斷絕電腦和外界的聯繫，無論何種情況下都無法使用介質訪問電腦。可以採用破壞型的，直接使用尖嘴鉗子，將USB口破壞掉，這個操作需謹慎，否則可能會導致主板燒掉。或者採用熱熔膠，將USB口堵住。一般情況下，還要堵住網口等可能會傳遞數據的埠，做到設備獨立。
這樣，除非客戶將硬碟卸下，就沒有別的方式再進行數據交換了。
這一招是最狠的，但是也是交互性最差的。
2.軟體隔離
因為我之前是做介質管理軟體的，所以上面的知友涉及的域管理，組策略什麼的，我就不多說了。我這邊重點說說這種介質管控軟體。
介質管理軟體實際脫胎於主機監控與審計軟體，它是將桌面審計的軟體的介質管理功能單獨拎出來，並且做了細化。
這類軟體，首先是安裝在windows系統下，通過驅動識別的方式進行控制。接入的介質首先會安裝USB驅動，此時，這類軟體會不斷的掃描掃描USB介面，一旦發現有移動介質接入，立刻會轉到一個類似於沙箱環境中，默認阻止。管理員可以統一進行設置，具體可以根據實際情況設計U盤的使用與否。
這類都是陌生U盤，對於內部環境下使用的U盤，可以採用這樣的方式實現：

這類軟體都是採用C/S的結構實現的，需要安裝客戶端，通過伺服器進行遠程控制。
但是這類軟體都是依附於操作系統，也就是說，在系統之上的，如果要是在系統沒有啟動的時候激活，那麼此時就沒有辦法了。所以需要搭配BIOS的啟動項配置，嚴禁使用者通過U盤啟動WINPE之類的系統。
3.加密隔離
這種更絕對一點，可以採用文件加密的方式進行。對於重要的文件或者操作系統進行加密，從而防止了文件泄露導致的信息外泄。這樣也就不用擔心USB口等外接埠的控制了。不過此類軟體使用有風險，一旦加密秘鑰丟失，那麼加密後的的文件就很難再打開了。
先想到這麼多，有再想到的隨時補充。

我知道某軍校是直接拿黑膠溶了USB介面的而且進機房不能拿電子設備並且會檢查。。。方法確實是有點low。。。。

我不知道題主所需的安全級別有多高。
但是如果要做到物理上的防禦，
僅僅封掉USB口是完全不夠的！

就算只有隻一條網線口，攻擊者也能架一個局域網把資料從網路埠傳輸到別的設備上帶走。
這不需要什麼高科技，用一條網線把兩台電腦連起來，配置下iptable就搞定了。

最適合中小企業的政策是實施權限分級管理，
然後履行BYOD管制。

我朋友的科研公司會給每人一台辦公專用的電腦，
任何安裝、執行、拷貝的操作都會受到系統的限制。