杀戮都市15集福利:参考禁用USB的12法：

第一种、禁用BIOS的相关设定·优点：设定容易，做法简单·缺点：BIOS的管理密码可能被破解在主板的BIOS设定里，我们可以将USB端口的功能，设定为禁用。由于设定十分容易，做法简单，因此成为企业经常用来管理USB设备的手段。为了防止员工自行进入BIOS重新启用USB端口的功能，一般在完成设定之后，IT人员会同时设定BIOS的管理密码，只有相关获得授权的人员才能访问、更改BIOS设定。 需要特别注意的是：BIOS与USB端口相关设定的名称与位置，往往随品牌的不同，而有所差异，甚至没有这方面的设定。 此外BIOS的管理密码并非设定之后，就无法破解。只要进行主板放电操作，也就是将主板上的纽扣电池取出后、再重新放回，BIOS密码就会恢复成默认值，而员工就能趁机进入BIOS更改设定。不过，对企业来说，一般都不允许员工私自拆装公司所配发的电脑，而只要非IT部门的人员，在进行类似的动作时，就很容易引起其他人的注意。而在机密数据外泄事件发生后，此人自然会成为公司重点排查的可疑对象。 在主板的BIOS设定里，我们可以将USB端口的功能设定为禁用。         第二种、贴上易碎贴纸·优点：用肉眼就可以分辨电脑的USB端口有无使用过的迹象 ·缺点：贴纸不小心破碎时，容易引发不必要的误会这种做法经常见于高科技园区的许多IT企业，适用对象多半针对企业的来访者，较少使用在内部的员工电脑。 来访者将笔记本电脑携入办公区之前，门口的接待人员会在该台电脑的USB端口与网络端口上，粘贴一张易碎贴纸，以确认来访者在进入企业内部的这段时间里，是否曾经通过这些通用接口联接外设设备，或者存取数据。 用易碎贴纸控制USB，好处在于只要通过肉眼，就可以分辨电脑的连接端口是否曾经使用过，可是，一旦贴纸因为各种原因而产生破裂，就很容易造成误会。这时，IT人员有权检查来访者的电脑，看硬盘里是否存放了本企业的机密数据，在确认无异状之后，才会放行，让来访者把笔记本电脑带走。         第三种、移除主板上的USB跳线的连接线·优点：使USB端口功能达到真正的完全失效。 ·缺点：管理上欠缺弹性，日后重新启用USB端口功能的时候，需要打开电脑机箱，插回跳线的连接线。移除主板上跳线（Jumper）的连接线，同样能够实现禁用主板上的USB端口的功能。不同于在BIOS将USB端口功能设定禁用，跳线的连接线之后，USB端口的功能达到真正的完全失效，不但无法读取USB设备，同时不能通过USB给连接在电脑上的USB外设供电。 当企业因为业务上的需求，而要启用USB端口功能的时候，就必须先将电脑机箱打开、将跳线的连接线插回去，做法上较为麻烦。        第四种、用热熔胶堵住端口 ·优点：可彻底封锁USB·缺点：USB端口硬件随之失效，无法使用也有许多企业，尤其是政府机关、安全机构，经常是以热熔胶等填充物堵住电脑的USB端口，不让员工使用，一旦封锁之后，即无法再连接任何的USB外设设备。 这是一种破坏性的封锁方式，当填充物注入USB孔时，USB接口也会随之损坏，而永久无法使用。        第五种、插上专用适配卡或硬件锁 ·优点：重新启用时，不需要拆掉硬件，或者重新开机，原有的电脑操作不会因此中断或改变·缺点：管理弹性较差有一些现成的硬件设备，能够帮助企业管理USB的使用。市面上有一种适配卡式的产品，插在主板上的PCI插槽之后，USB等外设连接端口的功能就会随之失效。产品本身附有一个遥控器，如果日后还有使用USB的需求，只要按下遥控器上的按钮，连接端口的功能就会开放，同时不影响电脑目前正在执行中的电脑操作。 还一种是硬件锁，可以锁住电脑上的连接接口，但根据使用需求而取下，恢复USB端口的功能，不像使用热熔胶灌入USB插口时，会造成硬件界面的损坏。某些品牌电脑的厂商就推出了这样的产品设计，让习惯采购同品牌电脑的企业作为选购配件；另外，在一些电脑卖场也能找到具有类似功能的产品。         第六种、利用员工群组原则，集中控制·优点：适用于大量电脑环境，可批量强制实施，统一设定·缺点：人性化不足，管理弹性较差员工人数稍有规模的企业，一般都会在内部架设Windows Active Directory（AD）服务器，并将所有电脑加入网域，以便实施统一控制。有了这样的集中管理环境，IT人员就可以在一台电脑中处理完所有员工电脑的控制措施，不用像前面几种方式一样，需要到每一台电脑手动设定。 企业可以通过设定群组对象原则（GPO）的方式，在AD服务器的管理界面执行相关的设置，接着将规则发送到所有员工的电脑中，就可以关闭外设设备的使用权限。不只是USB储存设备，企业也可以使用相同方式控制光驱、LS-120，以及软驱的使用。         第七种、修改电脑Windows系统的特定注册表项·优点：设置简单·缺点：对于了解电脑操作的人来说，效果有限对于连接过USB储存设备的电脑，可以利用修改注册表设置的方式，禁止员工在电脑上使用USB储存设备。开启Windows的登录编辑程序，在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR”的项目下找到Start数值，点选开启之后，将数值由预设的3，修改为4，就能将USB储存设备设置为禁用。此种做法，对于知道如何修改注册表的员工来说，随时可以将注册表项设置恢复成默认值，继续在电脑上使用USB储存设备。 如果企业有使用Windows Vista，则可以群组设置中，将移除式磁盘驱动器的项目设置为拒绝授予读写权限。 直接修改电脑内的特定注册表项，也可以达到USB禁用的效果，合适少量电脑的封锁。          第八种、删除USB储存设备的驱动程序·优点：可针对不同USB设备个别控制 ·缺点：仅能针对先前未曾连接USB储存设备的电脑适用于未曾连接过任何USB储存设备的电脑。在“C:\WINDOWS\inf”路径下，可以找到usbstor.inf、usbstor.PNF两个安装信息文档，这是Windows系统用来辨识USB储存设备的驱动程序。 我们可以针对这两个文档设置存取权限，修改文件名称，或者直接删除文档，就可以让让员工无法在自己电脑上使用USB储存设备。相同的做法，也能用于打印机、网络摄像头等USB设备的管理。         第九种、采用外部设备控制产品的解决方案·优点：可根据需求开放一部分的功能，具备良好的管理弹性·缺点：无法防止员工以编辑修改的方式将机密数据外流企业对于USB的管理需求往往不只是单纯的开与关而己，而是希望根据实际需求来决定要开放什么样的功能，在此种情况下，就需要导入外部设备的控制产品来达成这项目的。 这类产品通常会通过安装在用户电脑上的代理程序实施管理，而且能够整合Windows AD、LDAP等目录服务，让同一部门、相同群组的电脑套用相同的规则做管理，省去个别调整设置的麻烦。 除了设置开关之外，这类产品对于外设的插口，可以提供相当精细的管理功能，对于USB储存设备，可以设置成只读属性，只能阅览移动U盘里的数据，但不可以执行写入的动作，对于智能型手机，这类员工工作上经常使用到的设备，通过某些这类型的产品，可以只允许电脑与手机之间交换通讯簿，与行事历，但不能将电脑里的数据复制到手机上的记忆卡里。 企业可以在员工将数据写入USB储存设备的时候，可以备份到指定的储存空间，供企业日后稽查检查之用，不过也有企业为了避免数据储存上的麻烦，只是记录文档的传输动作，将此台电脑何时传送了什么样的文档记录起来，不过这样一来，对于员工以编辑修改的方式将机密数据外流的做法，产品就无法有效地加以管理。 除了市面上的产品之外，网络上也有许多免费版本的USB控制软件，比如USB Blocker，不过，也要注意某些工具有可能是广告软件或间谍软件。 和付费产品相比，这一类控制产品的功能比较少见，采用与否，需视企业实际需求与部署规模而定。        第十种、将重要文档予以加密 ·优点：可让员工正常使用USB端口，并能防止设备遗失·缺点：一旦密钥遗失，就无法开启移动U盘里的文档控制的对象以文档为主，而非USB端口本身，当数据写入USB储存设备的时候，可以通过应用程序进行加密，限制拥有解密密钥的人才能开启该文档，防止USB储存设备遗失之后，里头存放的机密数据遭到盗取。        第十一种、借助SSL VPN或终端服务·优点：可防止机密数据通过网络复制到远程电脑的磁盘驱动器·缺点：防护范围有限安全厂商的SSL VPN设备提供一种称为虚拟桌面的应用服务，当员工从外部网络连接内部网络之后，电脑上的屏幕画面就会自动切换成虚拟桌面，任何存取或修改数据的动作都必须在此区域进行。 而Windows Server的终端服务，是一种可供多人同时执行远程服务器上应用的程序环境，这类型解决方案有一项功能是允许联机阶段，将员工端本机电脑上的磁盘驱动器、打印机等设备自动联机，成为远程电脑上的网络磁盘驱动器，有可能会因此形成机密外泄通道。该怎么防护？我们可以在本地端电脑设置相关的本机群组原则——关闭磁盘重新导向的功能，禁止员工将远程电脑上的机密数据下载。         第十二种、实施DLP数据丢失防范解决方案·优点：可以有效防止机密资料通过各种途径外流，同时无需封锁USB端口功能·缺点：对于非Windows平台的控制效果较差 DLP数据丢失防范是更进一步的机密数据安全保护方案，功能上不但包含外部设备控制的功能，更结合数据过滤的方式，从文档内容着手，在不影响USB端口功能的情况下，将含有机密内容的数据拦阻下来，不允许复制到USB储存设备，或者通过网络传送出去。