本文简介:在公司局域网中,如何有效禁用USB接口、屏蔽USB端口的使用,一直是电脑信息安全管理、商业机密保护的一个重要方面。这是因为,当前USB存储设备多种多样,大容量的U盘、移动硬盘以及手机存储卡等现在极为普遍,都可以轻松从电脑拷贝大量的文件,尤其是涉及公司商业机密的文件,可以轻松被员工拷贝出去,从而对公司经营造成了极大的风险。为此,我们必须采取有效的举措来禁用USB存储设备,尤其是禁用U盘、禁止移动硬盘
在公司局域网中,如何有效禁用USB接口、屏蔽USB端口的使用,一直是电脑信息安全管理、商业机密保护的一个重要方面。这是因为,当前USB存储设备多种多样,大容量的U盘、移动硬盘以及手机存储卡等现在极为普遍,都可以轻松从电脑拷贝大量的文件,尤其是涉及公司商业机密的文件,可以轻松被员工拷贝出去,从而对公司经营造成了极大的风险。为此,我们必须采取有效的举措来禁用USB存储设备,尤其是禁用U盘、禁止移动硬盘、禁止手机、蓝牙等所有可能传输、复制电脑文件的设备使用,防止通过这些USB存储设备来泄露公司商业机密。
当然,如果你想较简单、快捷禁用USB接口、禁用U盘、屏蔽移动硬盘使用等,可以借助专业的电脑USB端口管理软件。如当前流行的“安企神USB端口管理软件”(下载地址:http://www.wgj7.com/monitorusb.html ),只需要在电脑安装之后,点点鼠标就可以完全禁用U盘、移动硬盘和手机的使用。同时,为了防止员工通过修改注册表、组策略而重新启用U盘、移动硬盘,系统还禁止修改注册表、禁止打开组策略、禁止打开设备管理器等操作系统关键位置,从而防止员工反向修改,实现了较严密的USB端口管理。如下图所示:
图:USB端口管理软件
那么,如何通过组策略禁止USB接口、屏蔽USB端口的使用呢?同时,在禁用USB存储设备的同时,还不能影响USB鼠标、键盘,毕竟现在USB鼠标越来越普遍。具体方法如下:
1、 USB设备是使用USB接口的,它使用如下两个配置文件或是注册表文件,usbstor.inf和usbstor.png。注册表文件是:
Windows 2000下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub
或是
winxp ,win2k3下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor
2、 清楚了USB的配置文件或是注册表中的位置就好说了,下面就分两种方法来完成禁用USB设备的目的,一是通过组策略使用户禁用这两个配置文件,一是通过注册表。
以下两种实验均在WINDOWS 2003实验通过通过组策略,当然,这个要应用在域环境中了,而且要保证,没有使用过USB设备的(注册表文件里会有变化的)。
如下图,在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统,单击右键――添加文件或文件夹。找到c:\windows\inf\usbstor.inf 和usbstor.pnf,并添加之
然后,确定,会弹出一个对话框,这可是重要步骤,通过此,设定不同用户对此的访问级别,当然,这里选拒绝了,你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。如下图
确定,OK,会弹出以下的窗口,当然,还是确定,不过,如果上一步你没有做的话,可以在此重新设定不同用户组的访问权限的哟(点编辑安全设置按钮)!确定,便可以了,等域组策略刷新后,就会生效了。
如果,使用过了USB设备了,(或者不是域控怎么办?)呵呵,当然是通过注册表键值来搞定了!
找到键值所在的注册表位置,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub(2000系统下)或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor(XP or 2K3),在对应的usbhub(或USBSTOR)分支右边子窗口中,双击一下“Start”键值,在弹出的数值设置窗口中,检查一下其中的数字是多少,如果是4,表明该计算机的USB端口使用权限已经被限制起来了;如果是3,表明该计算机的USB端口使用权限已经被启用起来了,这里确保是4!!!
如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB 大容量存储驱动程序"
重启机器吧,就可以了。
总之,企业局域网禁用USB接口、屏蔽USB端口的方法很多,无论是通过注册表禁用USB接口还是通过组策略禁用USB端口,都可以很好地保护电脑商业机密的安全。但是,由于组策略和注册表都是通过对操作系统的设置而达到禁用U盘的目的,因此容易被反向修改而重新启用U盘和USB存储设备。为此,我们必须考虑禁止修改注册表、禁止修改组策略、禁止打开设备管理器等,在这个方面,USB端口管理软件可以起到更好的防护和保障作用。
企业为何需要应用网络准入控制系统?网络准入系统是由哪几部分组成的?
在信息化飞速发展的今天,网络安全问题已逐渐成为企业不容忽视的重大挑战。为了更好地保障企业内部数据的安全性和完整性,以及维护企业网络环境的稳定与高效,应用网络准入控制系统成为了企业的必然选择。
一、企业为何需要应用网络准入控制系统
1. 非法用户接入的风险:
1. 非法用户随意接入企业内部网络,可能窥探敏感信息。
2. 非法用户可能携带病毒或恶意代码,危害整个企业的信息安全。
2. 防病毒软件管理问题:
1. 防病毒软件未能实现集中管理,导致管理效率低下。
2. 补丁管理混乱,难以确保所有终端的病毒特征库都是最新的。
3. 一旦某台终端感染病毒或恶意代码,很可能在企业内网中迅速传播。
3. 终端种类多样性和用户行为难以管控:
1. 企业网络的终端种类繁多,包括PC、手机、打印机、摄像头等。
2. 用户行为难以统一管控,增加了网络安全管理的难度。
4. 网络准入控制系统的需求:
1. 需要一个强大的网络准入控制系统(如:安企神)来应对上述安全问题。
2. 系统能够对接入网络的用户进行严格的身份认证。
3. 系统能够基于用户的身份和终端状态来设定访问权限。
4. 不符合安全策略的终端将被拒之门外,降低网络安全风险。
二、网络准入控制架构解析:
用户终端:网络准入控制系统管理的各种终端设备,包括但不限于PC、手机、打印机、摄像头等。这些设备在接入企业网络前,都需要经过网络准入控制系统的认证和授权。
网络准入设备:作为终端访问网络的认证控制点,网络准入设备扮演着企业安全策略实施者的角色。这些设备可以是交换机、路由器、无线接入点、VPN网关或其他安全设备。它们不仅负责对接入用户进行身份认证,还会根据网络指定的安全策略实施相应的准入控制,如允许接入网络或拒绝接入网络。
在网络准入过程中,用户身份认证是至关重要的一环。在各种常见的认证方式(如802.1X、MAC、Portal)下,网络准入设备会辅助客户端软件与准入服务器进行通信,完成用户身份的验证。同时,这些设备还能够实现用户权限控制,确保每个用户只能访问其被授权的网络资源。
准入服务器:作为网络准入控制系统的核心组成部分,准入服务器负责实现对用户的认证和授权。它通过与用户数据源服务器(如LDAP、Active Directory等)进行交互,确认尝试接入网络的终端身份是否合法。同时,准入服务器还可以根据安全策略,为身份合法的终端分配相应的网络访问权限。这样,即使非法用户试图接入网络,也会被准入服务器拒之门外。
通过实施网络准入控制系统,我们可以有效地提高企业网络的安全性,降低非法用户接入和病毒传播的风险。同时,网络准入控制系统还能够简化网络管理流程,提高管理效率。因此,对于任何一个重视网络安全的企业来说,网络准入控制系统都是不可或缺的。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/12975.html