电脑屏蔽移动u盘

‘壹’ 电脑如何屏蔽使用USB设备

电脑如何屏蔽使用USB设备?

USB采用四线电缆，其中两根是用来传送数据的串行通道，另两根为下游(Downstream)设备提供电源，对于高速且需要高带宽的李燃外设，USB以全速12Mbps的传输数据。

下面，我们就来看看电脑如何拒绝移动存储。

1、将u盘插入电脑usb插口，随后打开“控制面板”，双击“设备管理器”，在里面展开“便携设备”，便可以看见u盘。

2、右键点击u盘选择“属性”，在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件ID”，下面的“值”中会出现字符串，这个就是u盘的硬件ID，将其复制出来即可。

3、在“设备管理器”中展开“通用串行总线控制器”，找到哪悉虚“USB大容量存储设备”，在它的.“属性”窗口中点击“详细陆戚信息”标签，复制出它的硬件ID也保存一下。

4、点击“开始”，在上方的方框中输入“gpedit.msc”按回车键确认即可打开组策略窗口，随后依次展开“计算机配置→管理模板→系统→ 设备安装→设备安装限制”，双击右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击 “确定”按钮，设置它可以来禁止策略没描述的USB设备。

‘贰’ 怎样让电脑不能识别U盘和移动硬盘

方法1，
改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004

方法2，

如何利用AD 组策略来屏蔽U 盘等可移动磁盘
如何利用AD 组策略来屏蔽U 盘
最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组
策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：
1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位
（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建
一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否
则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定
位“用户配置－管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理
器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，
双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提
供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满
足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三
四个分区）。
2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上
单击右键选择查看属性，找到"屏蔽U 盘"的组策略的唯一的名称，此名称为一长串数字和字
母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。
3、 打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，
此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盘
符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个
路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名
取为为HC，所以这里就是HCSAD.HC），打开
{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM 目录下的
system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记
事本打开，找到下面这两段代码：
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动
器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符
或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二
个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅
用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可
以达到比较理想的效果。
仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC
按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位
的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，
举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，
以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，
您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所
有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要
注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可
以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈…）。那么我们计算出
VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，
在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后，利用查找命令，找到以下字段：在 ABConly="仅限制驱动器 A、B 和 C" ，
这一段文字，下面插入一行数据， ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、
I"，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保
存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问
驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项
这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设
置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并
正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中
输入盘符。
最后，附上从A 到Z 对应的每一个数字，方便大家理解：
A B C D E F
1 2 4 8 16 32
G H I J K L
64 128 256 512 1024 2048
M N O P Q R
4096 8192 16384 32768 65536 131072
S T U V W X
262144 524288 1048576 2097152 4194304 8388608
Y Z
16777216 33554432
根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用
所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其
中就有一项禁用所有盘符，后面的数字也正好是这个。
举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中
对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。
然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止
CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !!ABCFGHIOnly VALUE
NUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！！后面写成
这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……，后面的NUMERIC 487 则根据你
想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段
代码里面。
至此，全部设置完毕，让您的客户段使用此OU 下的用户登录看看吧！
程栋良
2007-11-25

‘叁’ win10系统禁止U盘方法，

一.BIOS禁用USB端口
重新启动计算机,在启动过程中按键盘上的Delete键，进入BOIS设置界面，选择“Integrated Peripherals”(集成设备)选项，展开后将“USB 1.1 Controller”(USB1.1控制器)和“USB 2.0 Controller”（USB2.0控制器）选项的属性设置为“Disabled”(禁用)。再给BOIS设置上一个密码，这样他人就不能轻易修改BIOS设置了。
二.注册表禁用U盘的方法
禁用U盘：
1、运行REGEDIT,
2、展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR,
3、右击Start，将其值改为4，则可将U盘禁用，若要取消禁用，只需将4改回3.
三、USB监控软件屏蔽U盘
通过一些屏蔽USB端口的软件来禁用U盘、限制USB存储设备的使用。目前市场上有很多USB管理软件，我们以“大势至USB管理软件”，通过在电脑上安装后，系统就以后台隐藏的方式运行，可以完全禁用U盘、禁止移动硬盘、禁用手机存储卡等所有带有USB存储功能的设备。同时，大势至USB监控软件还可以对计算机一些关键的功能进行禁用，比如禁用注册表、禁用设备管理器以及禁用计算机管理等。此外，还能禁止电脑运行某些程序，也保护了电脑安全。
via 网络经验
lanqos1

‘肆’ 如何管控电脑USB接口，屏蔽U盘等移动存储设备的方法

合力天下U盘保密系统(U盘管理软件)

USB存储设备：如U盘、移动硬盘，手机存储卡等，因其体积小、容量大、携带方便、安全快捷等优点，已得到广泛应用。作为数据交换的主要手段之一，U盘正成为数据和信息的重要载体，但是我们也应该看到，U盘在给我们带来极大方便的同时，也给我们带来了很多的泄密事故：

U盘的泄密途径如下：

1.涉密计算机接入普通U盘；

2.非涉密计算机使用涉密U盘；

3.U盘的数据交互审计；

4.外来U盘随意接入问题；

5.U盘丢失导致信息泄漏；

6.U盘的使用信息无法追踪审计；

7.U盘接入区域控制问题；

8.病毒、恶意代码通过U盘感染计算机。

产品简介

合力天下U盘保密系统(U盘管理软件)：采用领先的智能透明加密技术和强大的权限控制技术从USB存储设备（移动硬盘、U盘、手机存储卡等）的注册、认证授权、存储交换，直到数据消除和挂失注销，贯穿USB存储设备的完整使用流程；实现了“非认证U盘进不来，涉密 文件拿不走，敏感数据读不懂，U盘操作有记录”，实现了360度全方位USB口的实时管控。

保密U盘使用说明：客户机（即装有客户端的计算机）只能识别保密U盘,客户机上的文档拷贝到保密U盘就就是密文，要想解密，需要插入解密终端（既同时安装客户端和控制台的计算机），经领导审核后写入普通U盘就是明文；解密终端同时支持保密U盘和普通U盘，解密终端上的同一文档写入保密U盘就是密文，写入普通U盘就是明文；同时有操作记录可查。

产品功能

U盘注册授权：所有注册U盘在使用前均要经过授权中心统一授权，授权内容包括密级（普通、秘密、机密、绝密）、主管部门、所属部门、责任人、使用人（可指定多人）、使用部门、使用周期、是否采用口令保护等等。授权后的移动存储器才能发放到个人使用，未经授权的注册U盘将无法使用。

U盘绑定指定计算机：用户在使用注册U盘的时候，首先需要管理员登录到控制台对U盘注册和授权，并绑定可以访问保密U盘的计算机。注册U盘内文档在非绑定的计算机打开乱码。

U盘权限控制：管理员可以对注册的每个保密U盘设置员工的使用权限，控制注册U盘的只读、可写、修改、重命名、内容删除、另存权限。

密文外发控制：公司内部文档需要带出时需要用注册U盘复制到交换终端机（控制台），经管理员审核后，然后用普通U盘复制，就可以带出公司使用，反之亦然。

U盘数据加密及防病毒感染: 所有写入注册U盘的数据都会被自动加密，防止公司内部机密信息被带出公司非法外泄，不过注册u盘里的文档在公司内部绑定的计算机可以正常访问，无需解密。
保密U盘一经注册使用，就具备了防木马，病毒的能力，避免了通过USB输入数据带来的病毒在公司内部计算机感染和爆发的严重后果。

U盘销毁: 为了防止注册U盘丢失或注册U盘交到非授权人员非法使用，管理员可以随时对已经注册的U盘进行注销；作废的注册U盘可以恢复为普通U盘使用，内部的机密文档打开乱码，只能格式化清除。

U盘日志审计: 注册U盘接入拔出审计：U盘保密系统会对U盘拔插事件及U盘数据文件操作事件进行实时记录，同时记录接入的时间、人员、和U盘编号、计算机名称等。

U盘操作审计：U盘保密系统会自动记录保密U盘对硬盘文件的新建、删除、粘贴、修改、重命名进行记录审计，不管是在公司办公还是在外地出差。

U盘自动报警： 非授权普通U盘插入公司内部计算机USB口时，会自动弹出“无法识别”窗口，并在管理员控制台显示“有外来U盘非法插入报警”提示信息。

管控绑定计算机其他设备：U盘保密系统还具备对计算机的PCMCIA卡、SD控制器、SCSI和RAID控制器、DVD/CD-ROM驱动器、磁盘驱动器、软盘控制器、1394控制器、Modem、网卡、红外控制器、蓝牙设备、打印机、通用串行总线控制器、端口（COM和LPT）、声音、视频和游戏控制器、、智能卡读卡器、指纹设备、图像设备、磁带设备、智能USB设备进行管控的能力；同时可以禁止绑定计算机和其他计算机进行计算机访问，禁止文档共享；禁止打印、禁止私自安装程序、禁止修改注册表、禁止绑定计算机上网等功能。

U盘管理软件设计规范

标准化设计:本系统严格按照涉密制度对U盘的管理要求进行设计，符合国家的相关规定与标准。

支持广泛:全面支持各种类型的USB存储设备，包括U盘、移动硬盘、数码相机和手机存储卡等。

注册U盘策略灵活:管理员能够对注册U盘所能使用的计算机进行灵活绑定和注销管理。

防止U盘泄密:未经交换终端审核，内部文档无法带出公司，外部文档和风险无法通过U盘进入公司计算机。

安全有保障：出差员工把公司重要文档写入注册U盘随身携带，即使U盘被盗或丢失，也无需担心数据泄露。

支持U盘离线策略控制:内部人员在公司外部使用U盘时，也会受到离线策略的控制，注册U盘不受时间，地点限制。

强大的U盘跟踪审计:U盘插入计算机，服务器自动实时报警并记录注册U盘全部操作，外来U盘插入计算机USB口无法识别；同时管理员可以随时查询公司文档进出审核和文档操作记录。

‘伍’ 如何禁止电脑使用可移动设备如u盘等

可以通过修改注册表来禁止：一、打开“运行”对话框，输入命令“regedit”来打开注册表
编辑程序
。二、依次展开“
HKEY_LOCAL_MACHINE
\
SYSTEM\CurrentControlSet\
Services\USBSTOR”项，找到“Start”项。三、双击“Start”项，将其值修改为“4”，点击“确定”即可禁止U盘插入到电脑中来使用。

‘陆’ 怎么设置禁用U盘和移动硬盘

公司禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。

方法一，BIOS设置法（快刀斩乱麻法）

进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。由于此法过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的'启动（适用于Windows XP/2000/2003）

打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

方法三，隐藏盘符和禁止查看（适用于Windows系统）

打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04 00 00 00；要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00(C是十六进制，转成十进制就是12)。

理解了原理后，下面以我的电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱，盘符分布是这样的：A:（3.5软盘）、C:、D:、E:、F:、G:、H:（光盘），所以我的“NoDrives”值为“02 ff ff ff”，隐藏了B、I到Z盘。

重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:（我的电脑电后一个盘符是H）还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02 ff ff ff”，也就是说其值与“NoDrives”相同。 这样一来，既看不到U盘符也访问不到U盘了。

方法四，禁止安装USB驱动程序

在Windows资源管理器中，进入到“系统盘:WINDOWSinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。

再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。

注意：要想使用访问控制列表(ACL)，要采用NTFS文件系统。