想要控制USB端口的數(shù)據(jù)傳輸，我們收集了目前可行的所有做法，總共歸納為3大類、12種方式。 
第1大類是物理封鎖，又可細(xì)分成完全禁用、彈性禁用，以及貼標(biāo)簽檢查；第2類是修改操作系統(tǒng)設(shè)定，從Windows環(huán)境著手修改；第3類手段更全面，如果企業(yè)想獲得最高的控制彈性，以專用的外設(shè)控制解決方案，或搭配其它安全方案的管理手段聯(lián)合控制，即可達(dá)到要求。而這里要特別注意的是，企業(yè)是否真正需要大量個(gè)人端電腦控制與監(jiān)視能力，如果確有需求，那么企業(yè)多半須要花錢采購、配置特定的設(shè)備。 1. bios 中禁用，在Advance Chip Setting 里，關(guān)閉USB ON Board 選項(xiàng)，可以通過debug ，放電，或者軟件等方法破解bios 密碼
2. 文件權(quán)限，如果計(jì)算機(jī)上尚未安裝USB 存儲(chǔ)設(shè)備，向用戶或組分配對(duì)%SystemRoot%InfUsbstor.pnf 和 %SystemRoot%InfUsbstor.inf 兩個(gè)文件的'拒絕'權(quán)限。
3. 如果計(jì)算機(jī)上已經(jīng)安裝過USB 存儲(chǔ)設(shè)備，請(qǐng)將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR 注冊(cè)表項(xiàng)中的'Start '值設(shè)為4

第一種、禁用BIOS的相關(guān)設(shè)定
·優(yōu)點(diǎn)：設(shè)定容易，做法簡(jiǎn)單
·缺點(diǎn)：BIOS的管理密碼可能被破解
在主板的BIOS設(shè)定里，我們可以將USB端口的功能，設(shè)定為禁用。由于設(shè)定十分容易，做法簡(jiǎn)單，因此成為企業(yè)經(jīng)常用來管理USB設(shè)備的手段。為了防止員工自行進(jìn)入BIOS重新啟用USB端口的功能，一般在完成設(shè)定之后，IT人員會(huì)同時(shí)設(shè)定BIOS的管理密碼，只有相關(guān)獲得授權(quán)的人員才能訪問、更改BIOS設(shè)定。 
需要特別注意的是：BIOS與USB端口相關(guān)設(shè)定的名稱與位置，往往隨品牌的不同，而有所差異，甚至沒有這方面的設(shè)定。 
此外BIOS的管理密碼并非設(shè)定之后，就無法破解。只要進(jìn)行主板放電操作，也就是將主板上的紐扣電池取出后、再重新放回，BIOS密碼就會(huì)恢復(fù)成默認(rèn)值，而員工就能趁機(jī)進(jìn)入BIOS更改設(shè)定。不過，對(duì)企業(yè)來說，一般都不允許員工私自拆裝公司所配發(fā)的電腦，而只要非IT部門的人員，在進(jìn)行類似的動(dòng)作時(shí)，就很容易引起其他人的注意。而在機(jī)密數(shù)據(jù)外泄事件發(fā)生后，此人自然會(huì)成為公司重點(diǎn)排查的可疑對(duì)象。 圖1

 

在主板的BIOS設(shè)定里，我們可以將USB端口的功能設(shè)定為禁用。

第二種、貼上易碎貼紙
·優(yōu)點(diǎn)：用肉眼就可以分辨電腦的USB端口有無使用過的跡象
·缺點(diǎn)：貼紙不小心破碎時(shí)，容易引發(fā)不必要的誤會(huì)
這種做法經(jīng)常見于高科技園區(qū)的許多IT企業(yè)，適用對(duì)象多半針對(duì)企業(yè)的來訪者，較少使用在內(nèi)部的員工電腦。 
來訪者將筆記本電腦攜入辦公區(qū)之前，門口的接待人員會(huì)在該臺(tái)電腦的USB端口與網(wǎng)絡(luò)端口上，粘貼一張易碎貼紙，以確認(rèn)來訪者在進(jìn)入企業(yè)內(nèi)部的這段時(shí)間里，是否曾經(jīng)通過這些通用接口聯(lián)接外設(shè)設(shè)備，或者存取數(shù)據(jù)。 
用易碎貼紙控制USB，好處在于只要通過肉眼，就可以分辨電腦的連接端口是否曾經(jīng)使用過，可是，一旦貼紙因?yàn)楦鞣N原因而產(chǎn)生破裂，就很容易造成誤會(huì)。這時(shí)，IT人員有權(quán)檢查來訪者的電腦，看硬盤里是否存放了本企業(yè)的機(jī)密數(shù)據(jù)，在確認(rèn)無異狀之后，才會(huì)放行，讓來訪者把筆記本電腦帶走。

第三種、移除主板上的USB跳線的連接線
·優(yōu)點(diǎn)：使USB端口功能達(dá)到真正的完全失效。
·缺點(diǎn)：管理上欠缺彈性，日后重新啟用USB端口功能的時(shí)候，需要打開電腦機(jī)箱，插回跳線的連接線。
移除主板上跳線（Jumper）的連接線，同樣能夠?qū)崿F(xiàn)禁用主板上的USB端口的功能。不同于在BIOS將USB端口功能設(shè)定禁用，跳線的連接線之后，USB端口的功能達(dá)到真正的完全失效，不但無法讀取USB設(shè)備，同時(shí)不能通過USB給連接在電腦上的USB外設(shè)供電。 
當(dāng)企業(yè)因?yàn)闃I(yè)務(wù)上的需求，而要啟用USB端口功能的時(shí)候，就必須先將電腦機(jī)箱打開、將跳線的連接線插回去，做法上較為麻煩。

第四種、用熱熔膠堵住端口
·優(yōu)點(diǎn)：可徹底封鎖USB
·缺點(diǎn)：USB端口硬件隨之失效，無法使用
也有許多企業(yè)，尤其是政府機(jī)關(guān)、安全機(jī)構(gòu)，經(jīng)常是以熱熔膠等填充物堵住電腦的USB端口，不讓員工使用，一旦封鎖之后，即無法再連接任何的USB外設(shè)設(shè)備。 
這是一種破壞性的封鎖方式，當(dāng)填充物注入U(xiǎn)SB孔時(shí)，USB接口也會(huì)隨之損壞，而永久無法使用。

第五種、插上專用適配卡或硬件鎖
·優(yōu)點(diǎn)：重新啟用時(shí)，不需要拆掉硬件，或者重新開機(jī)，原有的電腦操作不會(huì)因此中斷或改變
·缺點(diǎn)：管理彈性較差
有一些現(xiàn)成的硬件設(shè)備，能夠幫助企業(yè)管理USB的使用。市面上有一種適配卡式的產(chǎn)品，插在主板上的PCI插槽之后，USB等外設(shè)連接端口的功能就會(huì)隨之失效。產(chǎn)品本身附有一個(gè)遙控器，如果日后還有使用USB的需求，只要按下遙控器上的按鈕，連接端口的功能就會(huì)開放，同時(shí)不影響電腦目前正在執(zhí)行中的電腦操作。 
還一種是硬件鎖，可以鎖住電腦上的連接接口，但根據(jù)使用需求而取下，恢復(fù)USB端口的功能，不像使用熱熔膠灌入U(xiǎn)SB插口時(shí)，會(huì)造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產(chǎn)品設(shè)計(jì)，讓習(xí)慣采購?fù)放齐娔X的企業(yè)作為選購配件；另外，在一些電腦賣場(chǎng)也能找到具有類似功能的產(chǎn)品。

第六種、利用員工群組原則，集中控制
·優(yōu)點(diǎn)：適用于大量電腦環(huán)境，可批量強(qiáng)制實(shí)施，統(tǒng)一設(shè)定
·缺點(diǎn)：人性化不足，管理彈性較差
員工人數(shù)稍有規(guī)模的企業(yè)，一般都會(huì)在內(nèi)部架設(shè)Windows Active Directory（AD）服務(wù)器，并將所有電腦加入網(wǎng)域，以便實(shí)施統(tǒng)一控制。有了這樣的集中管理環(huán)境，IT人員就可以在一臺(tái)電腦中處理完所有員工電腦的控制措施，不用像前面幾種方式一樣，需要到每一臺(tái)電腦手動(dòng)設(shè)定。 
企業(yè)可以通過設(shè)定群組對(duì)象原則（GPO）的方式，在AD服務(wù)器的管理界面執(zhí)行相關(guān)的設(shè)置，接著將規(guī)則發(fā)送到所有員工的電腦中，就可以關(guān)閉外設(shè)設(shè)備的使用權(quán)限。不只是USB儲(chǔ)存設(shè)備，企業(yè)也可以使用相同方式控制光驅(qū)、LS-120，以及軟驅(qū)的使用。

第七種、修改電腦Windows系統(tǒng)的特定注冊(cè)表項(xiàng)
·優(yōu)點(diǎn)：設(shè)置簡(jiǎn)單
·缺點(diǎn)：對(duì)于了解電腦操作的人來說，效果有限
對(duì)于連接過USB儲(chǔ)存設(shè)備的電腦，可以利用修改注冊(cè)表設(shè)置的方式，禁止員工在電腦上使用USB儲(chǔ)存設(shè)備。開啟Windows的登錄編輯程序，在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的項(xiàng)目下找到Start數(shù)值，點(diǎn)選開啟之后，將數(shù)值由預(yù)設(shè)的3，修改為4，就能將USB儲(chǔ)存設(shè)備設(shè)置為禁用。此種做法，對(duì)于知道如何修改注冊(cè)表的員工來說，隨時(shí)可以將注冊(cè)表項(xiàng)設(shè)置恢復(fù)成默認(rèn)值，繼續(xù)在電腦上使用USB儲(chǔ)存設(shè)備。 如果企業(yè)有使用Windows Vista，則可以群組設(shè)置中，將移除式磁盤驅(qū)動(dòng)器的項(xiàng)目設(shè)置為拒絕授予讀寫權(quán)限。

 

直接修改電腦內(nèi)的特定注冊(cè)表項(xiàng)，也可以達(dá)到USB禁用的效果，合適少量電腦的封鎖。

第八種、刪除USB儲(chǔ)存設(shè)備的驅(qū)動(dòng)程序
·優(yōu)點(diǎn)：可針對(duì)不同USB設(shè)備個(gè)別控制
·缺點(diǎn)：僅能針對(duì)先前未曾連接USB儲(chǔ)存設(shè)備的電腦
適用于未曾連接過任何USB儲(chǔ)存設(shè)備的電腦。在“C:WINDOWSinf”路徑下，可以找到usbstor.inf、usbstor.PNF兩個(gè)安裝信息文檔，這是Windows系統(tǒng)用來辨識(shí)USB儲(chǔ)存設(shè)備的驅(qū)動(dòng)程序。 
我們可以針對(duì)這兩個(gè)文檔設(shè)置存取權(quán)限，修改文件名稱，或者直接刪除文檔，就可以讓讓員工無法在自己電腦上使用USB儲(chǔ)存設(shè)備。相同的做法，也能用于打印機(jī)、網(wǎng)絡(luò)攝像頭等USB設(shè)備的管理。 

第九種、采用外部設(shè)備控制產(chǎn)品的解決方案
·優(yōu)點(diǎn)：可根據(jù)需求開放一部分的功能，具備良好的管理彈性
·缺點(diǎn)：無法防止員工以編輯修改的方式將機(jī)密數(shù)據(jù)外流
企業(yè)對(duì)于USB的管理需求往往不只是單純的開與關(guān)而己，而是希望根據(jù)實(shí)際需求來決定要開放什么樣的功能，在此種情況下，就需要導(dǎo)入外部設(shè)備的控制產(chǎn)品來達(dá)成這項(xiàng)目的。 
這類產(chǎn)品通常會(huì)通過安裝在用戶電腦上的代理程序?qū)嵤┕芾恚夷軌蛘蟇indows AD、LDAP等目錄服務(wù)，讓同一部門、相同群組的電腦套用相同的規(guī)則做管理，省去個(gè)別調(diào)整設(shè)置的麻煩。 
除了設(shè)置開關(guān)之外，這類產(chǎn)品對(duì)于外設(shè)的插口，可以提供相當(dāng)精細(xì)的管理功能，對(duì)于USB儲(chǔ)存設(shè)備，可以設(shè)置成只讀屬性，只能閱覽移動(dòng)U盤里的數(shù)據(jù)，但不可以執(zhí)行寫入的動(dòng)作，對(duì)于智能型手機(jī)，這類員工工作上經(jīng)常使用到的設(shè)備，通過某些這類型的產(chǎn)品，可以只允許電腦與手機(jī)之間交換通訊簿，與行事歷，但不能將電腦里的數(shù)據(jù)復(fù)制到手機(jī)上的記憶卡里。 
企業(yè)可以在員工將數(shù)據(jù)寫入U(xiǎn)SB儲(chǔ)存設(shè)備的時(shí)候，可以備份到指定的儲(chǔ)存空間，供企業(yè)日后稽查檢查之用，不過也有企業(yè)為了避免數(shù)據(jù)儲(chǔ)存上的麻煩，只是記錄文檔的傳輸動(dòng)作，將此臺(tái)電腦何時(shí)傳送了什么樣的文檔記錄起來，不過這樣一來，對(duì)于員工以編輯修改的方式將機(jī)密數(shù)據(jù)外流的做法，產(chǎn)品就無法有效地加以管理。 
除了市面上的產(chǎn)品之外，網(wǎng)絡(luò)上也有許多免費(fèi)版本的USB控制軟件，比如USB Blocker，不過，也要注意某些工具有可能是廣告軟件或間諜軟件。 
和付費(fèi)產(chǎn)品相比，這一類控制產(chǎn)品的功能比較少見，采用與否，需視企業(yè)實(shí)際需求與部署規(guī)模而定。 

第十種、將重要文檔予以加密
·優(yōu)點(diǎn)：可讓員工正常使用USB端口，并能防止設(shè)備遺失
·缺點(diǎn)：一旦密鑰遺失，就無法開啟移動(dòng)U盤里的文檔
控制的對(duì)象以文檔為主，而非USB端口本身，當(dāng)數(shù)據(jù)寫入U(xiǎn)SB儲(chǔ)存設(shè)備的時(shí)候，可以通過應(yīng)用程序進(jìn)行加密，限制擁有解密密鑰的人才能開啟該文檔，防止USB儲(chǔ)存設(shè)備遺失之后，里頭存放的機(jī)密數(shù)據(jù)遭到盜取。 

第十一種、借助SSL VPN或終端服務(wù)
·優(yōu)點(diǎn)：可防止機(jī)密數(shù)據(jù)通過網(wǎng)絡(luò)復(fù)制到遠(yuǎn)程電腦的磁盤驅(qū)動(dòng)器
·缺點(diǎn)：防護(hù)范圍有限
安全廠商的SSL VPN設(shè)備提供一種稱為虛擬桌面的應(yīng)用服務(wù)，當(dāng)員工從外部網(wǎng)絡(luò)連接內(nèi)部網(wǎng)絡(luò)之后，電腦上的屏幕畫面就會(huì)自動(dòng)切換成虛擬桌面，任何存取或修改數(shù)據(jù)的動(dòng)作都必須在此區(qū)域進(jìn)行。 
而Windows Server的終端服務(wù)，是一種可供多人同時(shí)執(zhí)行遠(yuǎn)程服務(wù)器上應(yīng)用的程序環(huán)境，這類型解決方案有一項(xiàng)功能是允許聯(lián)機(jī)階段，將員工端本機(jī)電腦上的磁盤驅(qū)動(dòng)器、打印機(jī)等設(shè)備自動(dòng)聯(lián)機(jī)，成為遠(yuǎn)程電腦上的網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器，有可能會(huì)因此形成機(jī)密外泄通道。該怎么防護(hù)？我們可以在本地端電腦設(shè)置相關(guān)的本機(jī)群組原則──關(guān)閉磁盤重新導(dǎo)向的功能，禁止員工將遠(yuǎn)程電腦上的機(jī)密數(shù)據(jù)下載。 

第十二種、實(shí)施DLP數(shù)據(jù)丟失防范解決方案
·優(yōu)點(diǎn)：可以有效防止機(jī)密資料通過各種途徑外流，同時(shí)無需封鎖USB端口功能
·缺點(diǎn)：對(duì)于非Windows平臺(tái)的控制效果較差
DLP數(shù)據(jù)丟失防范是更進(jìn)一步的機(jī)密數(shù)據(jù)安全保護(hù)方案，功能上不但包含外部設(shè)備控制的功能，更結(jié)合數(shù)據(jù)過濾的方式，從文檔內(nèi)容著手，在不影響USB端口功能的情況下，將含有機(jī)密內(nèi)容的數(shù)據(jù)攔阻下來，不允許復(fù)制到USB儲(chǔ)存設(shè)備，或者通過網(wǎng)絡(luò)傳送出去。