Windows XP+SP2下如何禁止使用闪盘FAQ
Q:
我们单位是个安全单位,对于数据的安全有很高的要求。我们单位的计算机上均装有windowsXP但我们单位有不少些同事使用USBFlashDisk(闪盘)接在我们单位的计算机上。领导很担心数据的外泄,也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来,怎么办呢?
A:
1、给所有用户设上非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"controluserpasswords2"(不包括双引号)後确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用convert命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"(不包括双引号)後确定
b、在CMD命令行下键入"convertx:/FS:NTFS"(不包括双引号且其中的x表示欲转换的盘符)
3、为%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件,点击“属性”,在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮,在打开的“权限”页中去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定
[注:欲看到文件属性的“安全”标签,需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。并且Home版需要进入安全模式下进行了前面文件夹选项设置後才可见]
Q:
上面的办法确实有效果,不过有不少机子已经装过USBMassStorageDevice了,好像已经加载过上面提到的两个文件了,对于那些机子似乎就没什么作用了,对于这一类的机子该怎么办呢?
A:
对于已经加载过上面提到的Usbstor.pnf和Usbstor.inf这两个文件的系统使用上面提到的办法确实无效了,那么请使用下面方法
1、卸载所有挂载着的USB存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
将名为Start的DWORD键键值修改为十六进制的4
[注:此法达到的效果为插入USB存储设备无任何反应,并且盘符也不会出现,在“磁盘管理”中也看不到该移动存储设备。达到无处外泄数据和病毒无法被读取的目的]
Q:
确实,按照上面的方法去做,没有任何反应了,也不会有盘符弹出,在“磁盘管理”中也看不到该移动存储设备了,不过不少同事可是一般把要完成的在家完成后存到闪盘里再带到单位来提交,如果按照上面的办法的话,连闪盘上的东西都无法保存转移到计算机上来。我们这边有病毒实时监控,而且给用户设上了受限权限,即使有病毒也是没什么大碍的,而且还升到了SP2了,应该不用担心太多安全方面的问题,所以该怎么办呢?
A:
如果有病毒实时监控,可要注意经常更新病毒定义库。如果是windowsXPwithSP2的话,那就好办了,可以通过下面办法达到,可以读取闪盘上的数据,但却无法将计算机上的数据保存到闪盘上,从而保证了数据的不外泄。
1、卸载所有挂载着的USB存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicIEs
如果在注册表项Control下找不到名为StorageDevicePolicIEs的注册表项,那么则手动建立即可
c、在StorageDevicePolicIEs注册表项下建立名为WriteProtect的DWORD值,并将其键值定义为1即生效
[注:此法的效果为使用闪盘时插入闪盘,系统会如常显示出盘符,但是只能读出闪盘中的数据文件,而无法往闪盘中写入数据,从而达到防止数据外泄的目的。此法仅对windowsXPSP2有效,考虑到2003ServerSP1其本质和XPSP2很像,故而大胆预测2003ServerSP1应用此法一样有效。]
Q:
看来当初升级到SP2确实没白装啊,用了上面的办法到windowsXPRTM上居然是无效的。上面的方法似乎已经是最完美的了,不过发现有些同事不知道用了什么办法好像突破了这个限制,而往他的MP3上拷贝了MP3,虽然他没拷贝重要数据文件,但说明是有漏洞的啊,这该怎么办呢?
A:
估计是该用户的权限太高,要么更改为受限用户,要么去掉他对该注册表键值的控制权限即可。
如果该用户确实需要有足够的权限来完成某些任务,那么只有去掉他对该注册表键值的控制权限了
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)后确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicIEs
在该StorageDevicePolicIEs注册表项上右击菜单后点“权限”
c、在“StorageDevicePolicIEs的权限”中点击该用户后在“完全控制”后勾选“拒绝”复选项
d、点击“高级”按钮后去掉从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定两次即可
自我编后总结:
该FAQ以一个安全单位的管理员的疑问角度来撰写,并且就WinXP的USB存储设备的这方面的应用提出几个安全相关的疑问和解决办法。但实际上还有不少其它的数据外移手段如软盘、刻录光盘、网络等手段。所以要做好数据的防外泄有关工作光在这个USB闪盘上还不够,USB闪盘或移动硬盘只是因为普及且易携带,所以应该着重于这方面的防外泄工作。上面都是有关于技术防外泄的,实际操作中还应配合着制度等的规定来达到防外泄的目的以保护单位数据安全。