在公司局域網中，處于網絡安全的考慮，常常需要封堵電腦USB接口的使用，尤其是禁止U盤、禁用USB存儲設備等，防止有人通過U盤、移動硬盤或手機等復制電腦文件的行為。這就需要對插入電腦USB接口的設備進行有效的管理，需要完全禁用U盤、禁止移動硬盤的使用，同時還不能影響非USB存儲設備的使用，如網銀U盾、USB鼠標鍵盤和加密狗的使用，從而可以實現USB端口的精確管理。

那么，公司局域網如何有效管理U口、屏蔽USB存儲工具的使用呢？筆者以為可以通過以下兩種方法來實現：

一、通過注冊表封U口、注冊表封USB口的使用，或者通過組策略封USB接口、組策略禁用USB端口的使用。

1、注冊表封U口、封USB口的方法

找到鍵值所在的注冊表位置，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhub

（2000系統下）或HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbstor（XPor2K3），在對應的usbhub（或USBSTOR）分支右邊子窗口中，雙擊一下“Start”鍵值，在彈出的數值設置窗口中，檢查一下其中的數字是多少，如果是4，表明該計算機的USB端口使用權限已經被限制起來了;如果是3，表明該計算機的USB端口使用權限已經被啟用起來了，這里確保是4。

如下：

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000004

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,/

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,/

00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB大容量存儲驅動程序"

重啟機器就可以了。

圖：注冊表禁用USB存儲設備

2、通過組策略禁用USB端口、封USB接口使用。

方法：進入組策略編輯器（開始—運行，輸入“gpedit.msc”，回車），依次展開“計算機配置”、“Windows設置”、“安全設置“、”文件系統”；

右鍵點擊“添加文件”，彈出“添加文件和文件夾”，在“文件夾”欄輸入“%systemroot%/inf/usbstor.inf“，確定；

圖：組策略禁用u口的方法

在“數據庫安全設置”中，刪除所有的用戶，并添加“Everyone”，去掉默認的允許“讀取和執行”、“列出文件夾內容”、“讀取”，添加拒絕“完全控制”；應用、確定；

在“添加對象”窗口，默認當前設置，若要重新編輯安全權限，則可點擊“編輯安全設置”進行重新設置；確認，退出設置；

二、通過專門的電腦U口禁用軟件、封U口軟件來禁用USB接口的使用，尤其是禁用USB存儲設備。

如果您覺得組策略封U口、注冊表封U口的設置較為麻煩的話，您也可以借助于專門的電腦USB口禁用軟件、封U口軟件，通?？梢杂行Ы肬口使用。例如有一款“大勢至U口禁用軟件”（下載地址：http://www.grabsun.com/monitorusb.html），通過在電腦上安裝之后就可以完全禁用U盤、禁用移動硬盤和禁用USB存儲設備等，同時還不影響非USB存儲設備的使用，如U盾、USB鼠標鍵盤和加密狗等。同時，還可以只讓特定U盤使用、只讓部分U盤使用；只允許從U盤向電腦復制文件而禁止從電腦向U盤復制文件或者向U盤拷貝電腦文件時必須輸入密碼。如下圖所示：

圖：禁用U口、封堵U口使用

同時，大勢至封U口軟件還可以禁止登陸郵箱發送郵件附件、禁止網盤上傳電腦文件、禁止ftp發送電腦文件、禁止論壇附件上傳以及禁止QQ發送電腦文件的行為，從而更進一步保護了電腦文件的安全。

此外，大勢至封U口軟件還可以禁用注冊表、禁止修改組策略以及禁止修改開機啟動項、禁止通過U盤啟動電腦、禁止光驅啟動電腦以及禁止開機按f8鍵進入操作系統的安全模式，從而極大地保護了電腦自身的安全，也進一步保護了電腦文件的安全。

總之，無論是通過注冊表封U口、組策略封USB口，還是通過專門的封U口軟件、USB禁用軟件都可以起到禁用電腦U盤使用、屏蔽usb存儲設備的功能，具體采用哪種方法，企事業單位可以根據自己的需要進行抉擇。