對於已插入過USB隨身碟的Windows電腦,我們可以使用作業系統內建的登錄編輯程式(regedit.exe)來修改機碼,就可以讓電腦在插入USB儲存裝置時,出現限制存取的視窗。

湛揚科技售前工程師呂政穎說,企業常用這方法管控USB埠,因為它幾乎適用於所有的Windows版本,因此,IT人員只要用同一套步驟,就可以封鎖所有電腦的USB埠。

但這方法也相當容易被破解,因為解法也已經在網路上廣為流傳。如果使用者擁有Administrator權限,就很容易照著網路上的教學,來輕易將之破解,且日後稽核不易,也是這個方式的缺點,所以這個以機碼來封鎖USB的手段,IT人員通常會搭配其他較為高階的管控系統來執行USB的封鎖,例如端點安全系統、IT資產管理系統。

修改登錄機碼的使用方法是於開始選單的執行列上,輸入regedit,來開啟Windows的登錄編輯程式。

修改路徑為HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR,找到Start這一列,將數值由原本的3,設定為4,就可以在這臺電腦上,將USB儲存裝置設定成禁用。

如果企業中的電腦安裝了Windows Vista專業版以上的版本,IT人員也可以在執行列上打入mmc,於檔案選單下,新增嵌入式管理單元,選擇群組原則編輯器(或直接在開始選單下執行gpedit.msc),接著在本機群組原則下的系統,找到卸除式儲存裝置存取權,並在其中選取需管控的儲存裝置選項。

這裡面有三個可設定的選項,分別是控制卸除式磁碟的讀取跟寫入,以及所有卸除式裝置的開啟或禁用,管理者就可以從這裡來設定對於本機USB的進階管控。

除此之外,我們在這裡也能設定其他儲存媒介的寫入讀取設定,例如LS120、軟碟機、以及光碟機相關的寫入讀取設定。

設定是否能夠存取USB儲存裝置的機碼設定

操作本機群組原則,設定儲存設備的讀取及寫入。


優:在絕大多數Windows 作業系統上,都可以使用

缺:需逐臺設定,不適合大量部署

建置時間:約2分鐘

所需成本:需手動設定


相關報導請參考「徹底搜查!封鎖USB 2012 最新13招」


熱門新聞

Advertisement