如何禁止电脑从U盘启动、禁止PE盘启动电脑、怎样禁止光驱启动操作系统？

2022-07-15

作者：安企神日期：2022.1.8

关键词：禁止电脑从U盘启动,禁止PE盘启动电脑、怎样禁止光驱启动操作系统,禁止光驱启动计算机

在公司局域网中，处于网络安全的考虑，我们常常需要禁止员工随意重装系统，或者通过一键ghost的方式（通常是通过PE盘启动电脑）让操作系统恢复到初始状态。这使得电脑先前的配置，预先安装的电脑安全软件、网络管理软件都会完全被移除，从而使得电脑处于无人管理的状态，无法有效管理员工使用电脑的行为，也无法有效保护电脑文件安全。为此，我们必须禁止电脑重做系统，而重新安装系统一般是通过光驱或U盘等进行。因此，我们必须禁止从U盘启动电脑、禁止从光驱启动电脑的行为。

此外，电脑如果通过U盘、光驱启动，即便不重做系统，也因为没有从电脑硬盘启动，使得先前的网络管理软件、电脑安全控制软件同样也无法启动，因此同样也会绕过电脑安全管理软件的控制而重新获得电脑完全使用权限或上网权限的目的。

那么，如何禁止电脑通过U盘启动，尤其是通过PE启动盘启动电脑呢；如何禁止通过光驱启动电脑、限制通过系统安装盘而进入操作系统或者重新安装操作系统呢？笔者以为，可以通过以下两种方式进行实现：

一、通过电脑BIOS设置禁止从U盘启动电脑、禁止光驱启动电脑，防止通过PE启动盘、系统安装光盘而重新安装操作系统的行为。

通过BIOS设置禁止通过U盘启动电脑、禁止通过光驱启动操作系统比较简单。

首先，我们开机的时候可以按住“DEL”键，这样就可以进入BIOS的配置界面，然后在这里通过键盘的上下键选择“Advanced bios features”，回车就可以进入，如下图所示：

然后这里同样通过键盘上下键选中“First Boot Device”，回车，然后在这里选择“Hard Disk”，然后回车；然后用同样的方法，在“Second Boot Device”和“Third Boot Device”，这里都选择“Disabled”，如下图所示：

设置完毕之后，可以按“ESC”键或者“F10”键，就会出现提示是否保存修改，然后选择“Y”并回车，重启电脑之后即可。通过这样的设置之后，电脑只能从硬盘启动了。如下图所示：

但是，由于员工同样也可以进入BIOS进入修改，因此我们还需要对BIOS设置密码，从而阻止用户私自进入BIOS进行更改配置的行为。方法也比较简单，如下图在右侧选择“Set User Password”，然后输入密码两次，再按照上述的方法保存即可。如下图所示：

至此，我们就通过BIOS阻止了用户试图通过U盘、光驱启动操作系统或重新安装操作系统的行为。当然，由于BIOS可以通过放电而清除密码，因此还需要保护机箱的安全，防止员工通过私拆机箱的行为而清除BIOS的密码重新获得Bios修改权限的行为。

方法二、通过专门的电脑USB端口管理软件、USB接口禁用软件来禁止电脑插入U盘、禁止通过光驱启动电脑、禁止通过USB光驱启动操作系统的行为。

目前，国内有一些专门的电脑USB接口管理软件，可以实现电脑USB接口的管理，也可以禁用光驱等电脑硬件设备，从而也可以阻止电脑通过U盘启动电脑、通过USB光驱启动操作系统或者通过内置的光驱进入操作系统的行为。通过禁用U盘、禁用光驱，也同时也可以阻止员工私自重新安装操作系统的行为，从而也保护了电脑安全。

例如，有一款“安企神USB端口管理软件”（下载地址：http://www.wgj7.com/monitorusb.html），就可以完全管理电脑USB接口的使用，有效禁用U盘、移动硬盘、手机等带有USB存储功能的设备，但不影响非USB存储设备（如鼠标键盘和加密狗的使用）。同时，“安企神USB接口禁用软件”还可以禁止光驱、软驱的使用，防止通过光驱启动计算机的行为。“安企神USB接口管理软件”通过基于注册表和操作系统底层驱动的方式来实现一种近似修改BIOS的开机启动配置功能，从而可以无须通过BIOS即可阻止电脑通过U盘启动、阻止通过光驱启动操作系统的行为。如下图所示：

图：禁止U盘使用、禁止光驱启动电脑

此外，由于“安企神USB端口管理软件”集成了禁用U盘、只允许特定U盘使用、只允许从U盘向电脑复制文件，而禁止从电脑向U盘复制文件，或者从电脑向U盘复制文件必须输入密码等功能，从而还可以防止电脑文件泄露，保护单位无形资产和商业机密。同时，“安企神USB禁用软件”还可以禁止电脑发邮件、禁止发送邮件附件、禁止网盘上传文件、禁止FTP上传文件、禁止论坛上传附件以及禁止QQ发文件、禁止QQ群共享文件等，从而也可以防止电脑文件通过网络途径泄露出去的行为，从而极大地保护了电脑文件安全。

总之，无论是通过电脑的BIOS配置禁止U盘启动计算机、禁止光盘启动计算机，还是通过专门的电脑USB接口管理软件禁止U盘使用、禁止从光驱启动进入操作系统，都可以较为有效的控制，只不过通过专门的USB端口控制软件可以同时禁止USB存储设备的使用，直接保护电脑文件安全和商业机密，防止通过各种途径进行泄露的行为，可以更好地帮助企事业单位实现电脑文件安全和商业机密保护的目的。