不讓USB成為泄露禍首

重要數據的存儲管理工作總是繁鎖又辛勞，本來局域網中所有的用戶帳號均有指定的訪問權限，但偏偏有人不按規定去做，偷偷利用USB設備將重要數據竊走……既然規定不奏效，那就只好采用強制方式，限制用戶悄悄使用USB設備“順走”重要數據了。通過下面的方法，我們管理起重要數據來是更為事半功倍了。

外力工具限制法

對于存儲了單位重要數據的計算機來說，最擔心有人趁計算機主人臨時離開現場時，偷偷利用USB設備，將保存在其中的隱私數據竊取走。因為保存有重要數據的計算機目標很顯眼，那些別有用心之人往往緊盯了很久，一旦逮到機會，他們就會不顧一切地接觸目標計算機，不留痕跡地將需要的核心數據帶走。

為了防止別人使用USB設備帶走重要數據，我們可以使用“USB Block”這款外力工具，為保存有重要數據的計算機樹立一道隱形的安全隔離屏障，讓別有用心之人無法輕易得逞。單純從名稱上來看，這款工具好象僅僅是一款USB設備的管理工具，其實它在數據保護方面，也是獨具特色的。

圖1 USB Block工具界面

在通過“USB Block”工具限制用戶訪問數據文件時，一定要為其設置合適的管理密碼，以防惡意用戶輕易關閉甚至卸載該工具。在進行該設置操作時，先開啟目標工具的運行狀態，按下主程序窗口中的“Control Center”工具欄按鈕，選中其后界面中的“Block USB Devices”選 項（如 圖 1所示），啟用USB設備加鎖功能。這個時候，當我們嘗試將自己的移動硬盤或USB設備插入到本地計算機時，系統將無法顯示這些設備的磁盤分區。如果擔心惡意用戶通過網絡，或者通過軟盤、光盤帶走本地計算機中的重要數據時，不妨一并選中這里的“Block Network Acess”、“Block Discs & Floppy Drivers”等選項，那么“USB Block”工具將會禁用本地計算機的網絡連接功能，以及關閉軟驅、光驅等設備的運行狀態。經過上述設置操作后，本地計算機與外界的數據交換傳輸通道都被堵住了，那么存儲在其中的重要數據就相對安全多了。

當然，計算機的“主人”日后自己想在本地使用USB設備存儲數據時，可以先打開設備身份認證對話框，在其中正確輸入之前預設的密碼，這樣才能正常使用USB設備。為了防止別人關閉或卸載監控工具，我們可以啟用“USB Block”工具的隱藏工作模式，讓別人不知道自己正被監控管理。按下主程序界面中的“Program Options”工具欄按鈕，在彈出的程序選項設置框中，選中“Active Stealth Mode”選項，確認后就能成功開啟隱藏工作模式了。為了方便切換進入隱藏工作模式，我們還可以根據自己的操作習慣，定義好該模式的啟用熱鍵，“USB Block”工具缺省使用的操作熱鍵為“Ctrl+Alt+Shift+D”，當按下該組合鍵時，“USB Block”工具就能自動切換到隱藏運行狀態。這個時候，所有與“USB Block”工具有關的程序快捷圖標、開始菜單命令以及控制面板中的添加/刪除項目等，都會被隱藏顯示。考慮到USB設備插入計算機時，會自動激活密碼輸入對話框，這也會暴露“USB Block”工具的工作狀態，為了達到徹底隱藏效果，我們還有必要選中“Do not prompt for authorization password”選項，以關閉該工具的密碼解鎖功能。

此外，有的別有用心之人可能會將計算機重新啟動到安全模式狀態，來嘗試在該狀態下通過USB設備帶走本地計算機中的重要數據。為了切斷這條數據交換通道，我們可以在程序選項設置框中，選中“Protection in Safe Mode”選項，啟用該工具的安全模式防護功能，這樣別人即使將計算機切換到安全模式狀態，也仍然無法將其中的重要數據帶走。很顯然，在“USB Block”工具的全力防護之下，USB設備將無法成為重要數據的泄露禍首。

系統設置限制法

在沒有外力工具可以利用的情況下，我們可以利用Windows系統自身強大的設置功能，對USB設備進行嚴格控制、管理，以防該設備的管理或使用不當，造成重要數據外泄或丟失事件的發生。

1、禁止寫入數據

為了預防別有用心之人隨意通過USB設備帶走計算機中的重要數據，我們可以手工調整系統注冊表的有關鍵值，讓別有用心之人無法通過USB設備存儲自己需要的數據內容。在進行該操作時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“Regedit”命令，展開系統注冊表編輯窗口。在該編輯窗口左側列表中，將鼠標定位到如圖2所示的注冊表節點“HEKY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolices”上。

圖2 修改注冊表

檢查指定節點下是否存在“WriteProtect”雙字節鍵值，要是找不到該鍵值時，可以手工創建好該鍵值，同時用鼠標雙擊該鍵值，彈出對應鍵值編輯對話框。在其中輸入數值“1”，單擊“確定”按鈕保存設置操作，再重新啟動計算機系統。這樣，日后任何人在本地計算機中，只能讀取USB設備中的數據內容，而不能將計算機中的數據寫入到USB設備中。當有用戶悄悄將本地計算機中的重要數據拖入USB設備中時，將看到系統出現“磁盤有寫保護”這樣的提示內容。

2、按需分配權限

大家知道，單純禁止向USB設備寫入數據，也會影響合法用戶自己使用USB設備存儲數據。為了既能限制普通用戶通過USB設備帶走數據，又不影響合法用戶正常使用USB設備，我們可以根據操作權限的不同，將USB設備用戶分為普通用戶、授權用戶，其中普通用戶可以為陌生用戶，也可以為一般工作人員，他們只是臨時訪問重要數據的用戶，他們只能顯示并讀取USB設備中的數據內容，但不能向該設備中寫入數據文件，以防止他們通過USB設備帶走本地計算機中的重要數據。授權用戶一般是重要數據的運行維護人員，或者是系統管理員用戶，他們既可以顯示USB設備內容，又能向其中讀寫數據內容。

按照上述標準劃分后，我們只要在保存有重要數據的計算機中生成與之對應的用戶賬號，例如，在這里假設我們已經創建好授權用戶賬號“admin”，普通用戶賬號“general”，并且分別為這些用戶賬號定義了各自的系統登錄密碼，密碼符合復雜性要求。為了讓這些不同用戶賬號按規定權限使用USB設備，我們還要進行如下設置操作。

首先為不同權限級別的用戶帳號創建不同類型的USB設備操作腳本。啟動運行記事本程序，生成一個名稱為“general.bat”的批處理文件，在該文件中必須包含如下代碼內容：

同樣地創建一個名稱為“admin.bat”的批處理文件，在該文件中必須包含如下代碼內容：

其中執行第一個批處理文件時，可以獲得USB設備的顯示和讀取權限，執行第二個批處理文件時，可以獲得USB設備的顯示、讀取和寫入權限。

接著將本地計算機缺省的USB設備操作權限設置為禁用狀態。正常情況下，用戶在第一次登錄進入Windows系統時，既能顯示USB設備中的數據內容，又能向其中讀寫數據內容，顯然這種缺省設置不符合安全管控要求，必須想辦法讓計算機下次啟動運行時自動禁用USB設備。要實現這個控制目的，需要先創建一個能夠禁用USB設備的“forbid.bat”批處理文件，在該文件中輸入如下代碼內容：

圖3 設置批處理自動運行

之后依次點擊“開始”、“運行”選項，彈出系統運行文本框，在其中執行“gpedit.msc”命令，啟動系統組策略編輯器運行狀態。逐一展開該編輯界面左側區域中的“本地計算機策略”、“計算機配置”、“Windows設置”、“腳本”分支，找到該分支下的“關機”選項，用鼠標雙擊該選項，點擊如圖3所示界面中的“添加”按鈕，選中并添加剛剛創建好的“forbid.bat”批處理文件，單擊“確定”按鈕后退出設置對話框。這樣，Windows系統日后每次關閉運行時，都會調用“forbid.bat”批處理文件，將USB設備操作權限設置為禁用狀態，下次重新登錄本地系統時，計算機默認的USB設備操作權限就會被禁用了。

下面需要為不同權限用戶指定不同開機腳本。先以“admin”用戶賬號登錄本地系統，依次選擇“開始”、“程序”、“啟動”選項，打開目標選項的快捷菜單，點選“打開”命令，彈出系統啟動文件夾窗口，將與該帳號對應的“admin.bat”腳本文件拷貝進來。這樣，當用戶日后嘗試以“admin”賬號進行登錄操作時，本地計算機會自動執行“admin.bat”腳本程序，來允許授權用戶既能查看USB設備內容，又能向其中寫入數據，此時“admin”賬號可以通過USB設備存儲重要數據。

注銷本地系統，重新以“general”賬號進行系統登錄操作，按照相同的操作方法，將“general.bat”腳本程序拷貝到與之對應的系統啟動文件夾中，確保“general”用戶日后在成功登錄系統時，通過調用“general.bat”腳本程序的方法，只能獲得USB設備的讀操作權限，而無法擁有數據寫入權限，這樣普通用戶就不能通過USB設備帶走本地系統中的重要數據。