限制外接移动存储介质

A. 如何用涉密移动存储介质管理系统来禁用移动存储设备，禁止U盘使用

方法一、通过BIOS禁用移动存储设备或者通过安全机箱的方式来屏蔽移动存储介质的使用。

通过BIOS禁用移动存储设备是一种简单有效的方法，设置也相对简单。一般是在电脑开机的时候按住Del键即可进入BIOS里面，然后就可以通过BIOS禁用USB端口、BIOS禁用光驱、BIOS禁用PCI卡等，这样就可以完全禁止USB存储设备、禁用光驱等移动存储介质（尤其是USB移动光驱）。进入BIOS里面进行设置，默认是Enable，在这里回车，即可选择“Disabled”，然后就可以完全禁用USB端口了，如下图所示：

图：BIOS禁用USB端口

但是通过上述禁用USB端口的方式，虽然可以完全禁用USB存储设备，但同时也会导致USB鼠标键盘、U盾、USB打印机等无法使用，而现在电脑主板通常只支持USB鼠标键盘而不再支持PS2鼠标键盘，因此上述禁用USB端口的方法存在一定的缺憾，会导致非USB存储设备也无法使用，比较适合那些对USB存储设备的控制极为严密的单位使用。

方法二、通过专门的移动存储介质禁用软件、屏蔽USB存储设备的软件来实现。

相对于BIOS禁用USB端口的方式，通过专门的移动介质禁用软件、屏蔽移动存储介质的软件来禁用USB存储设备相对更为简单，同时还可以实现对USB端口设备的精确控制。例如有一款“大势至禁用USB端口软件”（网络搜索自己下载吧），只需要在电脑安装完毕之后，就可以自动禁用USB存储设备，如U盘、移动硬盘、手机、光驱、蓝牙、PCI卡、SD卡、CF卡等移动存储介质的使用。同时，在禁用上述USB存储设备的同时，还不影响非USB存储设备的使用，如USB鼠标、键盘、加密狗、USB打印机等，从而可以帮助企事业单位实现对移动存储介质的全面控制而不影响非USB存储设备的使用。如下图所示：

B. 如何禁止电脑插入手机、wifi和u盘等设备

1、可以通过BIOS设置，禁止USB接口的启用。但是这样设置不灵活，对于USB鼠标键盘，打印机等都有影响。
2、可以使用一些USB管控软件来限制手机，U盘的使用，一般这些软件都有禁用，管控，审计等功能。

3、推荐一下“内控王”。
“内控王移动存储介质管理系统”可以禁止USB外设的使用，可管控的设备包括U盘等存储设备及智能手机、wifi、蓝牙、刻录光驱、打印机等USB外设，不会影响USB键盘、鼠标的使用。

对于U盘、wifi、蓝牙等内部安全设备可进行授权使用并对其使用行为进行安全审计，未授权设备不可用，从而保证了内网的数据安全。

C. 如何绕过usb屏蔽使用移动存储设备

下面就介绍几个管理员屏蔽u盘的“伎俩”，及其破解方法。
1. 禁用主板usb设备。
管理员在CMOS设置里将USB设备禁用，并且设置BIOS密码，这样U盘插到电脑上以后，电脑也不会识别。这种方法有它的局限性，就是不仅禁用了U盘，同时也禁用了其他的usb设备，比如usb鼠标，usb光驱等。所以这种方法管理员一般不会用，除非这台电脑非常重要，值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解，即便设置了密码。整个BIOS设置都存放在CMOS芯片里，而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池，所以，只要把主板电池卸下来，用一根导线将原来装电池的地方正负极短接，瞬间就能清空整个CMOS设置，包括BIOS的密码。随后只需安回电池，自己重新设置一下CMOS，就可以使用usb设备了。（当然，这需要打开机箱，一般众目睽睽之下不大适用~~）
2. 修改注册表项，禁用usb移动存储设备。
打开注册表文件，依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“4”，把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解，我们可以删除或者改名注册表编辑器程序。
提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。
3. 在computer management里将removable storage的使用权限禁止。computer management是一个windows管理组件，可以在控制面板——管理工具——计算机管理打开。在该工具窗口中storage——removable storage——property中，general项，可以控制系统托盘是否显示security则可以管理移动存储设备的使用权限。在security中将普通用户的使用权限降低，就可以达到禁用u盘的目的。破解的方法也很简单，管理员降低普通用户移动存储设备的使用权限，但未必禁用computer management的使用权限。普通用户可以通过这个工具解除usb移动存储设备的使用权限

限制。另外，值得一提的是，如果u盘插到电脑上后可以驱动，但是我的电脑里却没有盘符，很有可能是管理员改动了u盘的默认盘符，使得我的电脑不能识别。这种情况，可以在removable storage中看到u盘驱动器。可以在u盘驱动器属性设置里为u盘重新分配一个盘符，再重新插拔一次u盘，就可以在我的电脑里看到u盘的盘符了。
4. 其实管理员经常做的，是将移动存储设备使用权限禁用配合屏蔽U盘图标。这种方法非常恶毒，就是说，即使改动了移动存储设备的使用权限，安装驱动后，在我的电脑里仍然看不到u盘的图标，即使为u盘重新分配盘符后仍然看不到。这种情况是因为管理员修改了注册表，屏蔽了除硬盘驱动器之外的所有盘符（以前在机房，光驱也常通过这种办法屏蔽）。懂得修改注册表的同学可以用regedit找到HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Policies\Explorer子键，将双字节项"NoDrives"的键值改为0或者干脆将"NoDrives"项删掉。注销一下再登陆，就能发现久违的u盘图标了！也可以将下面这段文字另存为reg格式，（假如管理员足够变态把regedit也给disable了） ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
]
"NoDrives"=dword:00000000
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

双击保存后得到的脚本文件合并到就可以绕过regedit修改注册表键值了。
一般来说，经过这一番折腾，u盘基本上可以就可以找到了。

D. 涉密移动存储介质的使用应注意哪些方面

下面介绍下使用注意事项：

一、所涉密移动存储介质，是指用于存储秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。

二、涉密移动存储介质的管理由各单位涉密人员进行专管。

三、涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用。

四、严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。

五、不得使用个人存储介质或非涉密存储介质存储国家秘密信息。

六、涉密移动存储介质只能在本办公场所使用，确因需要带出办公场所的，需要保密工作机构备案并采取严格的保密措施。严禁将涉密移动存储介质借给外单位或转借他人使用。

七、工作人员严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。涉密移动存储介质保存必须选择安全保密的场所和部位，存放在保密设备里。

八、工作人员离职前必须将所保管、使用的涉密移动存储介质全部退回。

九、含有涉密信息的计算机移动存储介质需送外部进行维修或作数据恢复时，必须到保密局进行备案，再到指定的具有保密资质的单位进行处理，并将废旧的存储介质（硬盘、软盘、U盘、光盘、磁带、存储卡）收回，与保密局共同销毁。

十、涉密移动存储介质报废应由各保密工作机构履行批准、清点、登记手续，由保密工作机构统一组织实施。涉密移动存储介质在报废前，必须进行信息清除处理。信息清除处理时所采取的信息清除技术、设备和措施应符合国家保密工作部门的有关规定。

十一、涉密移动存储介质的销毁，由保密工作机构登记造册，并经单位领导批准后，到保密局指定的销毁点进行销毁，任何单位或个人不得擅自销毁。

十二、违反本规定泄露国家秘密的，会按照有关规定给予责任人行政或党纪处分；构成犯罪的，会移交司法机关，依法追究刑事责任。

E. 如何管控电脑USB接口，屏蔽U盘等移动存储设备的方法

合力天下U盘保密系统(U盘管理软件)

USB存储设备：如U盘、移动硬盘，手机存储卡等，因其体积小、容量大、携带方便、安全快捷等优点，已得到广泛应用。作为数据交换的主要手段之一，U盘正成为数据和信息的重要载体，但是我们也应该看到，U盘在给我们带来极大方便的同时，也给我们带来了很多的泄密事故：

U盘的泄密途径如下：

1.涉密计算机接入普通U盘；

2.非涉密计算机使用涉密U盘；

3.U盘的数据交互审计；

4.外来U盘随意接入问题；

5.U盘丢失导致信息泄漏；

6.U盘的使用信息无法追踪审计；

7.U盘接入区域控制问题；

8.病毒、恶意代码通过U盘感染计算机。

产品简介

合力天下U盘保密系统(U盘管理软件)：采用领先的智能透明加密技术和强大的权限控制技术从USB存储设备（移动硬盘、U盘、手机存储卡等）的注册、认证授权、存储交换，直到数据消除和挂失注销，贯穿USB存储设备的完整使用流程；实现了“非认证U盘进不来，涉密 文件拿不走，敏感数据读不懂，U盘操作有记录”，实现了360度全方位USB口的实时管控。

保密U盘使用说明：客户机（即装有客户端的计算机）只能识别保密U盘,客户机上的文档拷贝到保密U盘就就是密文，要想解密，需要插入解密终端（既同时安装客户端和控制台的计算机），经领导审核后写入普通U盘就是明文；解密终端同时支持保密U盘和普通U盘，解密终端上的同一文档写入保密U盘就是密文，写入普通U盘就是明文；同时有操作记录可查。

产品功能

U盘注册授权：所有注册U盘在使用前均要经过授权中心统一授权，授权内容包括密级（普通、秘密、机密、绝密）、主管部门、所属部门、责任人、使用人（可指定多人）、使用部门、使用周期、是否采用口令保护等等。授权后的移动存储器才能发放到个人使用，未经授权的注册U盘将无法使用。

U盘绑定指定计算机：用户在使用注册U盘的时候，首先需要管理员登录到控制台对U盘注册和授权，并绑定可以访问保密U盘的计算机。注册U盘内文档在非绑定的计算机打开乱码。

U盘权限控制：管理员可以对注册的每个保密U盘设置员工的使用权限，控制注册U盘的只读、可写、修改、重命名、内容删除、另存权限。

密文外发控制：公司内部文档需要带出时需要用注册U盘复制到交换终端机（控制台），经管理员审核后，然后用普通U盘复制，就可以带出公司使用，反之亦然。

U盘数据加密及防病毒感染: 所有写入注册U盘的数据都会被自动加密，防止公司内部机密信息被带出公司非法外泄，不过注册u盘里的文档在公司内部绑定的计算机可以正常访问，无需解密。
保密U盘一经注册使用，就具备了防木马，病毒的能力，避免了通过USB输入数据带来的病毒在公司内部计算机感染和爆发的严重后果。

U盘销毁: 为了防止注册U盘丢失或注册U盘交到非授权人员非法使用，管理员可以随时对已经注册的U盘进行注销；作废的注册U盘可以恢复为普通U盘使用，内部的机密文档打开乱码，只能格式化清除。

U盘日志审计: 注册U盘接入拔出审计：U盘保密系统会对U盘拔插事件及U盘数据文件操作事件进行实时记录，同时记录接入的时间、人员、和U盘编号、计算机名称等。

U盘操作审计：U盘保密系统会自动记录保密U盘对硬盘文件的新建、删除、粘贴、修改、重命名进行记录审计，不管是在公司办公还是在外地出差。

U盘自动报警： 非授权普通U盘插入公司内部计算机USB口时，会自动弹出“无法识别”窗口，并在管理员控制台显示“有外来U盘非法插入报警”提示信息。

管控绑定计算机其他设备：U盘保密系统还具备对计算机的PCMCIA卡、SD控制器、SCSI和RAID控制器、DVD/CD-ROM驱动器、磁盘驱动器、软盘控制器、1394控制器、Modem、网卡、红外控制器、蓝牙设备、打印机、通用串行总线控制器、端口（COM和LPT）、声音、视频和游戏控制器、、智能卡读卡器、指纹设备、图像设备、磁带设备、智能USB设备进行管控的能力；同时可以禁止绑定计算机和其他计算机进行计算机访问，禁止文档共享；禁止打印、禁止私自安装程序、禁止修改注册表、禁止绑定计算机上网等功能。

U盘管理软件设计规范

标准化设计:本系统严格按照涉密制度对U盘的管理要求进行设计，符合国家的相关规定与标准。

支持广泛:全面支持各种类型的USB存储设备，包括U盘、移动硬盘、数码相机和手机存储卡等。

注册U盘策略灵活:管理员能够对注册U盘所能使用的计算机进行灵活绑定和注销管理。

防止U盘泄密:未经交换终端审核，内部文档无法带出公司，外部文档和风险无法通过U盘进入公司计算机。

安全有保障：出差员工把公司重要文档写入注册U盘随身携带，即使U盘被盗或丢失，也无需担心数据泄露。

支持U盘离线策略控制:内部人员在公司外部使用U盘时，也会受到离线策略的控制，注册U盘不受时间，地点限制。

强大的U盘跟踪审计:U盘插入计算机，服务器自动实时报警并记录注册U盘全部操作，外来U盘插入计算机USB口无法识别；同时管理员可以随时查询公司文档进出审核和文档操作记录。

F. 可移动存储被禁止了，怎么解决

方法1：BIOS方法。

1. 开机按del键，进入bios里面；

2. 选择“Integrated Peripherals”项；

3. 进入 选择“usb contraller”中的选项变成“Enabled（可用）”，F10保存，退出。

方法2：注册表法（适用于Windows XP/2003）

1. 开始，运行，输入“regedit”，回车后，打开注册表编辑器；

2. 依次展开如下分支[HKEY_LOCAL_MACHINESYSTEM ]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“3”（3手动 2自动 4禁用）。

3. 点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

G. 如何禁止使用U盘等可移动存储设备

用【ctrl】+【alt】+【del】三键组合可以打开Windows资源管理器接着雨林木风U盘启动盘制作工具www.ylmfu.com小进入 【系统盘：WINDOWSinf】目录，找到并且鼠标右键单击【Usbstor.pnf】的文件，选择【属性】，接着切换至【安全】标签页，在【组或用户名称】中雨林木风winpe小编选择要禁止的用户组，接着在用户组的权限框中，选中【完全控制】后面的【拒绝】复选框，最后点击【确定】完成。用同样雨林木风U盘启动提供的方法的方法，找到【usbstor.inf】文件，并设为拒绝。设置完成后，就可以顺利禁用u盘了

H. 移动存储介质的管理

管理措施为了规范移动存储介质的使用，切实保障信息安全与网络安全，应建立移动存储介质管理制度，并按照制度要求将移动存储介质分为涉密和非涉密两类，而且要着重管理涉密移动存储介质，具体做法如下。
1、严禁非涉密移动存储介质用于涉密领域，严禁涉密移动存储介质用于非涉密领域，禁止涉密移动存储介质在接人互联网的电脑上使用。
2、涉密移动存储介质在配发、领取、制作、使用、保管、维护和销毁过程中，应遵循“统一购置、集中管理、严密防范、确保安全”的原则。
3、配发涉密移动存储介质时必须进行登记、编号、贴注密级标识。对领取、发放、外带、报废、归档、维修等实行全过程的管理，每个环节都要填写申请并经保密部门审批同意后方可执行。由负责保密管理工作的部门建立台账，逐一记录各个移动存储介质的不同环节的变动情况；外带时要确保涉密移动存储介质始终处于携带人的有效控制之中；严禁将涉密移动存储介质转借给外单位或他人使用。
4、及时查杀病毒、木马等恶意代码，防止其蔓延传播。
5、严禁将以报废的涉密移动存储介质转为非涉密载体继续使用。对报废的涉密移动存储介质要进行彻底的损毁。

I. 电脑限制了移动存储器连接电脑该怎么办

如果是机房的或公用的主机限制了usb设备那就死心吧，或者是直接主板断线，或者是bios开机禁用并加密，最次也是超级系统管理员加密设备管理器禁用，就防着你突破的

J. 如何禁用usb，要求是鼠标键盘可以使用，但是其他外接的存储设备不允许使用，请问有什么办法可以做到吗！

那你要看你公司的电脑的鼠标键盘是什么接口的了， 如果不是USB的，那就好办法了， 直接BIOS里面禁了USB控制器，然后给BIOS添加密码， 这样就OK了。

如果使用的是USB键盘或者鼠标， 买些PS2转USB的插头， 把鼠标键盘都转到主机后面的PS接口上吧，然后再禁USB。

如果你是打算禁外部储存设备，还要看有没有1394接口， 这个也要禁。
－－－－－－－－－－－－
还有其他的软性方式，但是比较复杂麻烦了， 给用户设置权限， 限制驱动的安装，这样就算储存设备插进去也由于无法安装驱动而无法使用。

下面参考资料的链接可以看看， 如果你公司的机器方便设置权限的， 就软性控制一下吧， 最保险的方法还是USB鼠标键盘转到PS口上面（PS2转USB的转换头随便几毛钱一个大把批发的）， 然后直接BIOS里面禁用USB， 如果是台式机而且USB是以插线方式链到主板上的， 还可以打开机箱直接拔了这些线，然后给机箱上锁，这样就万无一失了。
------------
也可以试试：
组策略——计算机配置——管理模板——系统——可移动存储访问
直接禁止所有权限。