A. 我的電腦插入移動硬碟或者u盤之後會總是自動瀏覽,每個盤符都瀏覽,然後問我用什麼方式打開,怎樣關閉啊
一、策略組關閉
具體如:單擊「開始-運行」,在「打開」框中,鍵入「gpedit.msc」,單擊「確定」按鈕,打開「組策略」窗口。在左窗格的「本地計算機策略」下,展開「計算機配置-管理模板-系統」,然後在右窗格的「設置」標題下,雙擊「關閉自動播放」。單擊「設置」選項卡,選中「已啟用」復選鈕,然後在「關閉自動播放」框中單擊「所有驅動器」,單擊「確定」按鈕,最後關閉組策略窗口。
二、關閉服務
在「我的電腦」點擊滑鼠右鍵,選擇「管理」,在打開的「計算機管理」中找到「服務和應用程序-服務」,然後在右窗格找到「Shell Hardware Detection」服務,這個服務的功能就是為自動播放硬體事件提供通知,雙擊它,在「狀態」中點擊「停止」按鈕,然後將「啟動類型」修改為「已禁用」或者「手動」就可以了。
三、磁碟操作
這個方法對Windows XP有效,也比較好用。打開「我的電腦」,在「硬碟」裡面或者在「有可移動的存儲設備」下面會看到你的盤符,一般移動硬碟的盤符會在「硬碟」中,U盤或者數碼相機什麼的在「有可移動的存儲設備」中。滑鼠右鍵點擊需要關閉自動播放功能的盤符,選擇「屬性」,在彈出的窗體中選擇「自動播放」選項卡,在這里用戶可以針對「音樂文件」、「圖片」、「視頻文件」、「混合內容」和「音樂CD」五類內容設置不同的操作方式,都選用「不執行操作」即可禁用自動運行功能,「確定」後設置立即生效。這種方法同樣使用於針對DVD/CD驅動器。
B. U盤受限制無法打開,如何取消限制
U盤受限制無法打開
症狀:所有的U盤不行,還了一個還是老樣子!顯示「本次操作由於計算機限制被取消,請與管理員聯系?」 在其它機子上U盤可以打開。
解決方法:
筆者在「資源管理器」窗口中的地址欄里輸入U盤盤符,當回車後,卻彈出了「本次操作由於這台計算機的限制而被取消,請與您的管理員聯系」的對話框。是不是該盤符被限制了呢?
解決辦法:右擊「我的電腦」,在彈出的快捷菜單中選擇「管理」命令,進入到「計算機管理」窗口,依次展開「存儲/可移動存儲」,單擊「磁碟管理」一項,在窗口右側,看到U盤運行狀態為「良好」,這說明U盤沒問題。右擊該窗口中的U盤盤符,選擇其快捷菜單的「更改驅動器名和路徑」命令,在出現的對話框中,點擊〔更改〕按鈕,為其選擇一個未被使用的盤符。確定之後退出。重新打開「我的電腦」,久違的U盤盤符出現了。至此問題得到解決。
---------------------------------------
U盤不能用,雙擊後提示本次操作由於計算機的限制而被取消
單擊「開始→運行」,在彈出的「運行」對話框中輸入「gpedit.msc」即可打開「組策略」。在窗口的左邊依次打開「用戶配置→管理模板→Windows組件→Windows資源管理器」,在右邊的窗口中會出現「防止從『我的電腦』訪問驅動器」的設置項。在該設置項上雙擊滑鼠,在彈出的「防止從『我的電腦』訪問驅動器屬性」對話框中選「已禁用」或「未配置」或從下拉列表中選擇 「不限制驅動器」 選項。
C. 怎樣停用USB介面,但列印機能用
參考禁用USB的12法:
第一種、禁用BIOS的相關設定
·優點:設定容易,做法簡單
·缺點:BIOS的管理密碼可能被破解
在主板的BIOS設定里,我們可以將USB埠的功能,設定為禁用。由於設定十分容易,做法簡單,因此成為企業經常用來管理USB設備的手段。為了防止員工自行進入BIOS重新啟用USB埠的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,只有相關獲得授權的人員才能訪問、更改BIOS設定。
需要特別注意的是:BIOS與USB埠相關設定的名稱與位置,往往隨品牌的不同,而有所差異,甚至沒有這方面的設定。
此外BIOS的管理密碼並非設定之後,就無法破解。只要進行主板放電操作,也就是將主板上的紐扣電池取出後、再重新放回,BIOS密碼就會恢復成默認值,而員工就能趁機進入BIOS更改設定。不過,對企業來說,一般都不允許員工私自拆裝公司所配發的電腦,而只要非IT部門的人員,在進行類似的動作時,就很容易引起其他人的注意。而在機密數據外泄事件發生後,此人自然會成為公司重點排查的可疑對象。
在主板的BIOS設定里,我們可以將USB埠的功能設定為禁用。
第二種、貼上易碎貼紙
·優點:用肉眼就可以分辨電腦的USB埠有無使用過的跡象
·缺點:貼紙不小心破碎時,容易引發不必要的誤會
這種做法經常見於高科技園區的許多IT企業,適用對象多半針對企業的來訪者,較少使用在內部的員工電腦。
來訪者將筆記本電腦攜入辦公區之前,門口的接待人員會在該台電腦的USB埠與網路埠上,粘貼一張易碎貼紙,以確認來訪者在進入企業內部的這段時間里,是否曾經通過這些通用介面聯接外設設備,或者存取數據。
用易碎貼紙控制USB,好處在於只要通過肉眼,就可以分辨電腦的連接埠是否曾經使用過,可是,一旦貼紙因為各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權檢查來訪者的電腦,看硬碟里是否存放了本企業的機密數據,在確認無異狀之後,才會放行,讓來訪者把筆記本電腦帶走。
第三種、移除主板上的USB跳線的連接線
·優點:使USB埠功能達到真正的完全失效。
·缺點:管理上欠缺彈性,日後重新啟用USB埠功能的時候,需要打開電腦機箱,插回跳線的連接線。
移除主板上跳線(Jumper)的連接線,同樣能夠實現禁用主板上的USB埠的功能。不同於在BIOS將USB埠功能設定禁用,跳線的連接線之後,USB埠的功能達到真正的完全失效,不但無法讀取USB設備,同時不能通過USB給連接在電腦上的USB外設供電。
當企業因為業務上的需求,而要啟用USB埠功能的時候,就必須先將電腦機箱打開、將跳線的連接線插回去,做法上較為麻煩。
第四種、用熱熔膠堵住埠
·優點:可徹底封鎖USB
·缺點:USB埠硬體隨之失效,無法使用
也有許多企業,尤其是政府機關、安全機構,經常是以熱熔膠等填充物堵住電腦的USB埠,不讓員工使用,一旦封鎖之後,即無法再連接任何的USB外設設備。
這是一種破壞性的封鎖方式,當填充物注入USB孔時,USB介面也會隨之損壞,而永久無法使用。
第五種、插上專用適配卡或硬體鎖
·優點:重新啟用時,不需要拆掉硬體,或者重新開機,原有的電腦操作不會因此中斷或改變
·缺點:管理彈性較差
有一些現成的硬體設備,能夠幫助企業管理USB的使用。市面上有一種適配卡式的產品,插在主板上的PCI插槽之後,USB等外設連接埠的功能就會隨之失效。產品本身附有一個遙控器,如果日後還有使用USB的需求,只要按下遙控器上的按鈕,連接埠的功能就會開放,同時不影響電腦目前正在執行中的電腦操作。
還一種是硬體鎖,可以鎖住電腦上的連接介面,但根據使用需求而取下,恢復USB埠的功能,不像使用熱熔膠灌入USB插口時,會造成硬體界面的損壞。某些品牌電腦的廠商就推出了這樣的產品設計,讓習慣采購同品牌電腦的企業作為選購配件;另外,在一些電腦賣場也能找到具有類似功能的產品。
第六種、利用員工群組原則,集中控制
·優點:適用於大量電腦環境,可批量強制實施,統一設定
·缺點:人性化不足,管理彈性較差
員工人數稍有規模的企業,一般都會在內部架設Windows Active Directory(AD)伺服器,並將所有電腦加入網域,以便實施統一控制。有了這樣的集中管理環境,IT人員就可以在一台電腦中處理完所有員工電腦的控制措施,不用像前面幾種方式一樣,需要到每一台電腦手動設定。
企業可以通過設定群組對象原則(GPO)的方式,在AD伺服器的管理界面執行相關的設置,接著將規則發送到所有員工的電腦中,就可以關閉外設設備的使用許可權。不只是USB儲存設備,企業也可以使用相同方式控制光碟機、LS-120,以及軟碟機的使用。
第七種、修改電腦Windows系統的特定注冊表項
·優點:設置簡單
·缺點:對於了解電腦操作的人來說,效果有限
對於連接過USB儲存設備的電腦,可以利用修改注冊表設置的方式,禁止員工在電腦上使用USB儲存設備。開啟Windows的登錄編輯程序,在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start數值,點選開啟之後,將數值由預設的3,修改為4,就能將USB儲存設備設置為禁用。此種做法,對於知道如何修改注冊表的員工來說,隨時可以將注冊表項設置恢復成默認值,繼續在電腦上使用USB儲存設備。 如果企業有使用Windows Vista,則可以群組設置中,將移除式磁碟驅動器的項目設置為拒絕授予讀寫許可權。
直接修改電腦內的特定注冊表項,也可以達到USB禁用的效果,合適少量電腦的封鎖。
第八種、刪除USB儲存設備的驅動程序
·優點:可針對不同USB設備個別控制
·缺點:僅能針對先前未曾連接USB儲存設備的電腦
適用於未曾連接過任何USB儲存設備的電腦。在「C:\WINDOWS\inf」路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝信息文檔,這是Windows系統用來辨識USB儲存設備的驅動程序。
我們可以針對這兩個文檔設置存取許可權,修改文件名稱,或者直接刪除文檔,就可以讓讓員工無法在自己電腦上使用USB儲存設備。相同的做法,也能用於列印機、網路攝像頭等USB設備的管理。
第九種、採用外部設備控制產品的解決方案
·優點:可根據需求開放一部分的功能,具備良好的管理彈性
·缺點:無法防止員工以編輯修改的方式將機密數據外流
企業對於USB的管理需求往往不只是單純的開與關而己,而是希望根據實際需求來決定要開放什麼樣的功能,在此種情況下,就需要導入外部設備的控制產品來達成這項目的。
這類產品通常會通過安裝在用戶電腦上的代理程序實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同群組的電腦套用相同的規則做管理,省去個別調整設置的麻煩。
除了設置開關之外,這類產品對於外設的插口,可以提供相當精細的管理功能,對於USB儲存設備,可以設置成只讀屬性,只能閱覽移動U盤里的數據,但不可以執行寫入的動作,對於智能型手機,這類員工工作上經常使用到的設備,通過某些這類型的產品,可以只允許電腦與手機之間交換通訊簿,與行事歷,但不能將電腦里的數據復制到手機上的記憶卡里。
企業可以在員工將數據寫入USB儲存設備的時候,可以備份到指定的儲存空間,供企業日後稽查檢查之用,不過也有企業為了避免數據儲存上的麻煩,只是記錄文檔的傳輸動作,將此台電腦何時傳送了什麼樣的文檔記錄起來,不過這樣一來,對於員工以編輯修改的方式將機密數據外流的做法,產品就無法有效地加以管理。
除了市面上的產品之外,網路上也有許多免費版本的USB控制軟體,比如USB Blocker,不過,也要注意某些工具有可能是廣告軟體或間諜軟體。
和付費產品相比,這一類控制產品的功能比較少見,採用與否,需視企業實際需求與部署規模而定。
第十種、將重要文檔予以加密
·優點:可讓員工正常使用USB埠,並能防止設備遺失
·缺點:一旦密鑰遺失,就無法開啟移動U盤里的文檔
控制的對象以文檔為主,而非USB埠本身,當數據寫入USB儲存設備的時候,可以通過應用程序進行加密,限制擁有解密密鑰的人才能開啟該文檔,防止USB儲存設備遺失之後,里頭存放的機密數據遭到盜取。
第十一種、藉助SSL VPN或終端服務
·優點:可防止機密數據通過網路復制到遠程電腦的磁碟驅動器
·缺點:防護范圍有限
安全廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務,當員工從外部網路連接內部網路之後,電腦上的屏幕畫面就會自動切換成虛擬桌面,任何存取或修改數據的動作都必須在此區域進行。
而Windows Server的終端服務,是一種可供多人同時執行遠程伺服器上應用的程序環境,這類型解決方案有一項功能是允許聯機階段,將員工端本機電腦上的磁碟驅動器、列印機等設備自動聯機,成為遠程電腦上的網路磁碟驅動器,有可能會因此形成機密外泄通道。該怎麼防護?我們可以在本地端電腦設置相關的本機群組原則——關閉磁碟重新導向的功能,禁止員工將遠程電腦上的機密數據下載。
第十二種、實施DLP數據丟失防範解決方案
·優點:可以有效防止機密資料通過各種途徑外流,同時無需封鎖USB埠功能
·缺點:對於非Windows平台的控制效果較差
DLP數據丟失防範是更進一步的機密數據安全保護方案,功能上不但包含外部設備控制的功能,更結合數據過濾的方式,從文檔內容著手,在不影響USB埠功能的情況下,將含有機密內容的數據攔阻下來,不允許復制到USB儲存設備,或者通過網路傳送出去。
D. 如何設置U盤使用許可權
為了使U盤更安全,我們需要對電腦做一些設置,教你一招,可將U盤打造的六親不認: 在安全選項卡窗口中,將所有用戶都刪除,這樣U盤插到任何一台電腦上都無法使用。而因為許可權設置是保存在U盤和系統的帳戶中的,所以如果自己要訪問如此設置的U盤時,在不同電腦上就還需要進行不同的設置操作。 1.在本機上使用。雖然沒有任何用戶可以訪問,但是本機系統管理員可有更改許可權,因此可以系統管理員的身份登錄,即可打開安全選項,並將自己的帳戶添加到用戶列表中(許可權為完全控制),從而達到對U盤進行操作的目的。 2.在其它電腦上使用。訪問U盤必須先取得所有權,以系統管理員的身份登錄其它電腦後,這時插入U盤系統會提示你無法訪問U盤,但可以更改U盤所有權。同上,打開安全選項卡後,單擊高級,在彈出窗口單擊所有者選項卡,將所有者更改為當前用戶LCR,然後將許可權設置為完全控制即可。 如果你的U盤使用的是FAT分區,那麼也有方法實現在本機禁止使用U盤。方法是展開注冊表的HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\USBSTOR子鍵,然後將右側窗口中的Start值,更改為4。這樣當U盤插入電腦時,系統就不會提示發現新硬體,自然也就無法使用U盤了。在自己使用時,將鍵值更改回去即可,如此便能防止它人在我們的電腦上使用U盤。
E. 如何禁用U盤,禁止USB存儲設備的使用以及禁
禁止U盤使用的具體步驟:
第一步、把u盤插到電腦usb介面,打開「控制面板」,雙擊「設備管理器」,展開「便攜設備」,就可以看見U盤顯示。
第二步、在u盤右鍵點擊選擇「屬性」,在「屬性」窗口中選中「詳細信息」標簽,並在設備「屬性」下拉框中選擇「硬體ID」,就會出現這個u盤的硬體ID,用滑鼠右鍵選中復制,建議粘貼在記事本里。
第三步、滑鼠右鍵「U盤」選擇「設備管理器」,在選擇內容中展開「通用串列匯流排控制器」找到「USB大容量存儲設備」,在彈出的「USB大容量存儲設備
屬性」窗口中,選中「詳細信息」標簽,同樣用滑鼠復制出它的硬體ID,粘貼在記事本中。
第四步、點擊「開始」菜單,搜索框中輸入「gpedit.msc」並回車鍵確認,便會彈出需要的「本地組策略編輯器」。
第五步、在「本地組策略編輯器」窗口中,依次展開「計算機配置」-「管理模板」-「系統」-「設備安裝」-「設備安裝限制」,然後滑鼠雙擊右側我們在「允許安裝與下列設備ID相匹配的設備」選擇「已啟動」,可以看到線面有「顯示」,點擊它,添加之前復制的兩個硬體ID,這樣電腦就可以識別了。以後,如果有新的USB硬體加入採用的方法一樣。
第六步、在第五步的同樣一個頁面,滑鼠雙擊「禁止安裝未由其他策略設置描述的設備」,在彈出的窗口中選擇「已啟用」,再點擊
「確定」按鈕。這樣就可以讓電腦禁止安裝策略沒描述的USB設備,就可以保證了你電腦無法使用未經添加ID的USB的設備。