電腦屏蔽移動u盤

『壹』 電腦如何屏蔽使用USB設備

電腦如何屏蔽使用USB設備?

USB採用四線電纜，其中兩根是用來傳送數據的串列通道，另兩根為下游(Downstream)設備提供電源，對於高速且需要高帶寬的李燃外設，USB以全速12Mbps的傳輸數據。

下面，我們就來看看電腦如何拒絕移動存儲。

1、將u盤插入電腦usb插口，隨後打開“控制面板”，雙擊“設備管理器”，在裡面展開“便攜設備”，便可以看見u盤。

2、右鍵點擊u盤選擇“屬性”，在彈出的“屬性”窗口中點擊“詳細信息”標簽，然後在設備“屬性”下拉框中選擇“硬體ID”，下面的“值”中會出現字元串，這個就是u盤的硬體ID，將其復制出來即可。

3、在“設備管理器”中展開“通用串列匯流排控制器”，找到哪悉虛“USB大容量存儲設備”，在它的.“屬性”窗口中點擊“詳細陸戚信息”標簽，復制出它的硬體ID也保存一下。

4、點擊“開始”，在上方的方框中輸入“gpedit.msc”按回車鍵確認即可打開組策略窗口，隨後依次展開“計算機配置→管理模板→系統→ 設備安裝→設備安裝限制”，雙擊右側的“禁止安裝未由其他策略設置描述的設備”，在彈出的窗口中選擇“已啟用”，再點擊 “確定”按鈕，設置它可以來禁止策略沒描述的USB設備。

『貳』 怎樣讓電腦不能識別U盤和移動硬碟

方法1，
改注冊表
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004

方法2，

如何利用AD 組策略來屏蔽U 盤等可移動磁碟
如何利用AD 組策略來屏蔽U 盤
最近在外面做點小方案，撈點外塊，根據客戶的要求，研究了一個新東西:如何利用組
策略來屏蔽U 盤等可移動磁碟。一部份來自於互聯網，通過分析和整理，總結如下：
1、 在域控制器上打開Active Directory 用戶和計算機，找到您要屏蔽U 盤的組織單位
（Organizational Unit 簡稱OU），右鍵查看此組織單位的屬性，點擊組策略頁面，新建
一個組策略，命名並保存為「屏蔽U 盤」，建好後，雙擊「屏蔽U 盤」（必需先打開一次，否
則系統不會拷貝那幾個模板文件），在打開的標題為「組策略」的窗口的左邊，按以下順序定
位「用戶配置－管理模板-Windows 組件-Windows 資源管理器」，選中Windows 資源管理
器，我們可以看到有「隱藏我的電腦中的這些指定的驅動器」和「防止從我的電腦訪問驅動器」，
雙擊打開其中一項策略，選擇「啟用」，下面的下拉框會變亮，單擊下拉框，您會發現系統提
供了7 種限制訪問驅動器號的組合，其中也包括了「不限制驅動器」，顯然，這些組合不能滿
足我們的要求（因為U 盤的盤符通常是排在最後的，而且現在的硬碟比較大，少則也有三
四個分區）。
2、 在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的「屏蔽U 盤」策略上
單擊右鍵選擇查看屬性，找到"屏蔽U 盤"的組策略的唯一的名稱，此名稱為一長串數字和字
母組成，本例中為{82F86A8E-B345-4DDC-A304-E448F6E900A9}，記下此字元串。
3、 打開系統盤，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夾，
此文件夾位於C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盤
符依賴於您安裝的操作系統所在的分區，如果安裝AD 時在C 盤，默認則就是這個
路徑，其中hcsad.hc 則是你給這個AD 取得名字，我這里給這個域的頂級域名
取為為HC，所以這里就是HCSAD.HC），打開
{82F86A8E-B345-4DDC-A304-E448F6E900A9}目錄，找到ADM 目錄下的
system.adm 文件，此文件是我們在實施組策略的模板文件，是一個純文本文件，可用記
事本打開，找到下面這兩段代碼：
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
如何利用AD 組策略來屏蔽U 盤等可移動磁碟
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
說明：這是兩個策略，第一個!!NoDrive，它的作用是在我的電腦中不顯示指定的驅動
器名，驅動器號代表的所有驅動器不出現在標準的打開對話框上，但是在地址欄中輸入盤符
或新建一個指向硬碟盤符的快捷方式，用戶仍然可以訪問該驅動器；第二
個!!NoViewOnDrive 的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現，但是僅僅
用第二個的話，用戶可以看見該驅動器的盤符，但不能訪問，一般情況，兩個同時使用，可
以達到比較理想的效果。
仔細觀察上述代碼，不難發現，其中一共有7 個NAME 項，後面的VALUE NUMERIC
按照low 26 bits on (1 bit per drive)的規則取值，low 26 bits on 的意思說值為26 位
的二進制，最多可指定26 個驅動器盤符，而1 bit per drive 則代表1 位代表1 個驅動器，
舉例說A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，
以此類推。我們可根據我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，
您可以根據您的需要而定，推薦隱藏的盤符數量應該大於您的現有的盤符數加上您客戶端所
有的USB 介面數（防止有人同時插入幾個U 盤，呵呵,但是我建議，在做系統規劃時就要
注意這個問題：就是固定給所有的電腦分配幾個盤，如4 個，即：CDEF，這樣我們就可
以利用禁掉除CDEF 所有的盤，這樣就可以保證萬無一失啦，哈哈…）。那麼我們計算出
VALUE NUMERIC 的數值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，
在兩個策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
隨後，利用查找命令，找到以下欄位：在 ABConly="僅限制驅動器 A、B 和 C" ，
這一段文字，下面插入一行數據， ABCFGHIOnly="僅限制驅動器A、B、C、F、G、H、
I"，等於號後引號內的說明您可以根據自己的喜好定義，它將會顯示在策略的下拉框中。保
存後，打開「屏蔽U 盤」策略，定位「用戶配置-管理模板-Windows 組件-Windows 資源管
如何利用AD 組策略來屏蔽U 盤等可移動磁碟
理器」，在右邊的窗口中雙擊「隱藏我的電腦中的這些指定的驅動器」或「防止從我的電腦訪問
驅動器」其中的一個，點擊「啟用」，再點擊下拉框，哈哈，您會發現您多了一個選項
這時候，您只要在您想屏蔽的用戶的組織單位上應用此策略（別忘了這兩個策略都需要設
置），保存後，包含於該組織單位下的用戶登錄時，便會發現他的U 盤插上後，系統雖能識別並
正確安裝驅動，但在「我的電腦」中卻無法看見，並且通過其他方法也無法訪問，包括在地址欄中
輸入盤符。
最後，附上從A 到Z 對應的每一個數字，方便大家理解：
A B C D E F
1 2 4 8 16 32
G H I J K L
64 128 256 512 1024 2048
M N O P Q R
4096 8192 16384 32768 65536 131072
S T U V W X
262144 524288 1048576 2097152 4194304 8388608
Y Z
16777216 33554432
根據上表中的數字，大家可以根據實際想禁用的盤符然後對應表上的數字得出的總數，如想禁用
所有的盤符，即從A 到Z，則以上的數字相加等於67108863，以上面找到的那兩段代碼，其
中就有一項禁用所有盤符，後面的數字也正好是這個。
舉例：比如你如果想禁止除CDEF 這四個盤以外的所有盤，則是按上表中的數字去掉CDEF 中
對應的數字，四個盤對應的數字正好是60，因此，將這個總數：67108863 減去60=67108803。
然後在上面插入的那段字元里做相應的調整，你也可以根據喜好，創建多個組合，如禁止
CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代碼：NAME !!ABCFGHIOnly VALUE
NUMERIC 487（比如你想禁用從除CDEF 之外的所有盤符，是要在這段代碼的！！後面寫成
這樣：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……，後面的NUMERIC 487 則根據你
想要禁用的盤符的數值（見上表）加起來的和，總而言之一句話，你想要禁用的盤符都要在這段
代碼裡面。
至此，全部設置完畢，讓您的客戶段使用此OU 下的用戶登錄看看吧！
程棟良
2007-11-25

『叄』 win10系統禁止U盤方法，

一.BIOS禁用USB埠
重新啟動計算機,在啟動過程中按鍵盤上的Delete鍵，進入BOIS設置界面，選擇「Integrated Peripherals」(集成設備)選項，展開後將「USB 1.1 Controller」(USB1.1控制器)和「USB 2.0 Controller」（USB2.0控制器）選項的屬性設置為「Disabled」(禁用)。再給BOIS設置上一個密碼，這樣他人就不能輕易修改BIOS設置了。
二.注冊表禁用U盤的方法
禁用U盤：
1、運行REGEDIT,
2、展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,
3、右擊Start，將其值改為4，則可將U盤禁用，若要取消禁用，只需將4改回3.
三、USB監控軟體屏蔽U盤
通過一些屏蔽USB埠的軟體來禁用U盤、限制USB存儲設備的使用。目前市場上有很多USB管理軟體，我們以「大勢至USB管理軟體」，通過在電腦上安裝後，系統就以後台隱藏的方式運行，可以完全禁用U盤、禁止移動硬碟、禁用手機存儲卡等所有帶有USB存儲功能的設備。同時，大勢至USB監控軟體還可以對計算機一些關鍵的功能進行禁用，比如禁用注冊表、禁用設備管理器以及禁用計算機管理等。此外，還能禁止電腦運行某些程序，也保護了電腦安全。
via 網路經驗
lanqos1

『肆』 如何管控電腦USB介面，屏蔽U盤等移動存儲設備的方法

合力天下U盤保密系統(U盤管理軟體)

USB存儲設備：如U盤、移動硬碟，手機存儲卡等，因其體積小、容量大、攜帶方便、安全快捷等優點，已得到廣泛應用。作為數據交換的主要手段之一，U盤正成為數據和信息的重要載體，但是我們也應該看到，U盤在給我們帶來極大方便的同時，也給我們帶來了很多的泄密事故：

U盤的泄密途徑如下：

1.涉密計算機接入普通U盤；

2.非涉密計算機使用涉密U盤；

3.U盤的數據交互審計；

4.外來U盤隨意接入問題；

5.U盤丟失導致信息泄漏；

6.U盤的使用信息無法追蹤審計；

7.U盤接入區域控制問題；

8.病毒、惡意代碼通過U盤感染計算機。

產品簡介

合力天下U盤保密系統(U盤管理軟體)：採用領先的智能透明加密技術和強大的許可權控制技術從USB存儲設備（移動硬碟、U盤、手機存儲卡等）的注冊、認證授權、存儲交換，直到數據消除和掛失注銷，貫穿USB存儲設備的完整使用流程；實現了「非認證U盤進不來，涉密 文件拿不走，敏感數據讀不懂，U盤操作有記錄」，實現了360度全方位USB口的實時管控。

保密U盤使用說明：客戶機（即裝有客戶端的計算機）只能識別保密U盤,客戶機上的文檔拷貝到保密U盤就就是密文，要想解密，需要插入解密終端（既同時安裝客戶端和控制台的計算機），經領導審核後寫入普通U盤就是明文；解密終端同時支持保密U盤和普通U盤，解密終端上的同一文檔寫入保密U盤就是密文，寫入普通U盤就是明文；同時有操作記錄可查。

產品功能

U盤注冊授權：所有注冊U盤在使用前均要經過授權中心統一授權，授權內容包括密級（普通、秘密、機密、絕密）、主管部門、所屬部門、責任人、使用人（可指定多人）、使用部門、使用周期、是否採用口令保護等等。授權後的移動存儲器才能發放到個人使用，未經授權的注冊U盤將無法使用。

U盤綁定指定計算機：用戶在使用注冊U盤的時候，首先需要管理員登錄到控制台對U盤注冊和授權，並綁定可以訪問保密U盤的計算機。注冊U盤內文檔在非綁定的計算機打開亂碼。

U盤許可權控制：管理員可以對注冊的每個保密U盤設置員工的使用許可權，控制注冊U盤的只讀、可寫、修改、重命名、內容刪除、另存許可權。

密文外發控制：公司內部文檔需要帶出時需要用注冊U盤復制到交換終端機（控制台），經管理員審核後，然後用普通U盤復制，就可以帶出公司使用，反之亦然。

U盤數據加密及防病毒感染: 所有寫入注冊U盤的數據都會被自動加密，防止公司內部機密信息被帶出公司非法外泄，不過注冊u盤里的文檔在公司內部綁定的計算機可以正常訪問，無需解密。
保密U盤一經注冊使用，就具備了防木馬，病毒的能力，避免了通過USB輸入數據帶來的病毒在公司內部計算機感染和爆發的嚴重後果。

U盤銷毀: 為了防止注冊U盤丟失或注冊U盤交到非授權人員非法使用，管理員可以隨時對已經注冊的U盤進行注銷；作廢的注冊U盤可以恢復為普通U盤使用，內部的機密文檔打開亂碼，只能格式化清除。

U盤日誌審計: 注冊U盤接入拔出審計：U盤保密系統會對U盤拔插事件及U盤數據文件操作事件進行實時記錄，同時記錄接入的時間、人員、和U盤編號、計算機名稱等。

U盤操作審計：U盤保密系統會自動記錄保密U盤對硬碟文件的新建、刪除、粘貼、修改、重命名進行記錄審計，不管是在公司辦公還是在外地出差。

U盤自動報警： 非授權普通U盤插入公司內部計算機USB口時，會自動彈出「無法識別」窗口，並在管理員控制台顯示「有外來U盤非法插入報警」提示信息。

管控綁定計算機其他設備：U盤保密系統還具備對計算機的PCMCIA卡、SD控制器、SCSI和RAID控制器、DVD/CD-ROM驅動器、磁碟驅動器、軟盤控制器、1394控制器、Modem、網卡、紅外控制器、藍牙設備、列印機、通用串列匯流排控制器、埠（COM和LPT）、聲音、視頻和游戲控制器、、智能卡讀卡器、指紋設備、圖像設備、磁帶設備、智能USB設備進行管控的能力；同時可以禁止綁定計算機和其他計算機進行計算機訪問，禁止文檔共享；禁止列印、禁止私自安裝程序、禁止修改注冊表、禁止綁定計算機上網等功能。

U盤管理軟體設計規范

標准化設計:本系統嚴格按照涉密制度對U盤的管理要求進行設計，符合國家的相關規定與標准。

支持廣泛:全面支持各種類型的USB存儲設備，包括U盤、移動硬碟、數碼相機和手機存儲卡等。

注冊U盤策略靈活:管理員能夠對注冊U盤所能使用的計算機進行靈活綁定和注銷管理。

防止U盤泄密:未經交換終端審核，內部文檔無法帶出公司，外部文檔和風險無法通過U盤進入公司計算機。

安全有保障：出差員工把公司重要文檔寫入注冊U盤隨身攜帶，即使U盤被盜或丟失，也無需擔心數據泄露。

支持U盤離線策略控制:內部人員在公司外部使用U盤時，也會受到離線策略的控制，注冊U盤不受時間，地點限制。

強大的U盤跟蹤審計:U盤插入計算機，伺服器自動實時報警並記錄注冊U盤全部操作，外來U盤插入計算機USB口無法識別；同時管理員可以隨時查詢公司文檔進出審核和文檔操作記錄。

『伍』 如何禁止電腦使用可移動設備如u盤等

可以通過修改注冊表來禁止：一、打開「運行」對話框，輸入命令「regedit」來打開注冊表
編輯程序
。二、依次展開「
HKEY_LOCAL_MACHINE
\
SYSTEM\CurrentControlSet\
Services\USBSTOR」項，找到「Start」項。三、雙擊「Start」項，將其值修改為「4」，點擊「確定」即可禁止U盤插入到電腦中來使用。

『陸』 怎麼設置禁用U盤和移動硬碟

公司禁用U盤和移動硬碟的原因多種多樣，最響亮的原因就是防止員工帶走機密資料，在這里我提供一種不用專業軟體的小技巧給大家，因為你的老闆永遠相信「自己能解決的事，別花錢」。

方法一，BIOS設置法（快刀斬亂麻法）

進入BIOS設置，選擇「Integrated Peripherals」選項，展開後將「USB 1.1 Controller」和「USB 2.0 Contr01ler」選項的屬性設置為「Disableed」，即可禁用USB介面。最後別忘記給BIOS設置上一個密碼，這樣他人就無法通過修改注冊表解「鎖」上述設備了。

注意：這個方法是完全禁止了USB介面，也就是說各種USB介面的設備均不能用了，當然也包括了U盤和移動盤。由於此法過於霸道，請慎用。

方法二，禁止閃盤或移動硬碟的'啟動（適用於Windows XP/2000/2003）

打開注冊表編輯器，依次展開如下分支[HKEY_LOCAL_]，在右側的窗格中找到名為「Start」的DWORD值，雙擊，在彈出的編輯對話框中將其數值數據修改為十六位進制數值「4」。點「確定」按鈕並關閉注冊表編輯器，重新啟動計算機，使設置生效。重啟後，當有人將USB存儲設備連接到計算機時，雖然USB設備上的指示燈在正常閃爍，但在資源管理器當中就是無法找到其盤符，因此也就無法使用USB設備了。

方法三，隱藏盤符和禁止查看（適用於Windows系統）

打開注冊表編輯器，依次展開如下分支[HKEY_CURRENT_]，新建二進制值「NoDrives」，其預設值均是00 00 00 00，表示不隱藏任何驅動器。鍵值由四個位元組組成，每個位元組的每一位（bit）對應從A:到Z:的一個盤，當相應位為1時，「我的電腦」中相應的驅動器就被隱藏了。第一個位元組代表從A到H的8個盤，即01為A，02為B，04為C……依次類推，第二個位元組代表I到P，第三個位元組代表Q到X，第四個位元組代表Y和Z。比如要關閉C盤，將鍵值改為04 00 00 00；要關閉D盤，則改為08 00 00 00，若要關閉C盤和D盤，則改為0C 00 00 00(C是十六進制，轉成十進制就是12)。

理解了原理後，下面以我的電腦為例說明如何操作：我的電腦有一個軟碟機、一個硬碟(5個分區)、一個光碟機，盤符分布是這樣的：A:（3.5軟盤）、C:、D:、E:、F:、G:、H:（光碟），所以我的「NoDrives」值為「02 ff ff ff」，隱藏了B、I到Z盤。

重啟計算機後，再插入U盤，在我的電腦里也是看不出來的，但在地址欄里輸入I:（我的電腦電後一個盤符是H）還是可以訪問移動盤的。到這里大家都看得出「NoDrives」只是障眼法，所以我們還要做多一步，就是再新建一個二進制「NoViewOnDrive」，值改為「02 ff ff ff」，也就是說其值與「NoDrives」相同。 這樣一來，既看不到U盤符也訪問不到U盤了。

方法四，禁止安裝USB驅動程序

在Windows資源管理器中，進入到「系統盤:WINDOWSinf」目錄，找到名為「Usbstor.pnf」的文件，右鍵點擊該文件，在彈出菜單中選擇「屬性」，然後切換到「安全」標簽頁，在「組或用戶名稱」框中選中要禁止的用戶組，接著在用戶組的許可權框中，選中「完全控制」後面的「拒絕」復選框，最後點擊「確定」按鈕。

再使用以上方法，找到「usbstor.inf」文件並在安全標簽頁中設置為拒絕該組的用戶訪問，其操作過程同上。完成了以上設置後，該組中的用戶就無法安裝USB設備驅動程序了，這樣就達到禁用的目的。

注意：要想使用訪問控制列表(ACL)，要採用NTFS文件系統。