嚴(yán)控USB設(shè)備，還我數(shù)據(jù)安全

黑云

USB設(shè)備的“身影”已經(jīng)隨處可見(jiàn)，善于使用該設(shè)備，的確能給上班一族帶來(lái)文件交流上的方便。然而，在USB設(shè)備存儲(chǔ)了重要數(shù)據(jù)的情況下，我們需要對(duì)該設(shè)備進(jìn)行嚴(yán)格管理、控制，避免因USB設(shè)備使用或管理不當(dāng)，引起重要數(shù)據(jù)丟失或泄密事件發(fā)生。

注冊(cè)表控制法

控制寫入權(quán)限

為了防止他人隨意修改保存在USB設(shè)備中的重要數(shù)據(jù)，我們可以修改系統(tǒng)注冊(cè)表的相關(guān)鍵值，讓普通用戶只能訪問(wèn)USB設(shè)備中的數(shù)據(jù)內(nèi)容，而不能隨意改動(dòng)其中的內(nèi)容。

使用“Win+R”快捷鍵，打開(kāi)系統(tǒng)“運(yùn)行”文本框，輸入“Regedit”命令，單擊“確定”按鈕后，開(kāi)啟注冊(cè)表編輯器的運(yùn)行狀態(tài)。依次展開(kāi)注冊(cè)表編輯界面左側(cè)的“HEKY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control＼StorageDevicePolices”分支（如圖1所示）。

在目標(biāo)分支下手工創(chuàng)建一個(gè)雙字節(jié)鍵值“WriteProtect”，同時(shí)將其數(shù)值調(diào)整為“1”，重新啟動(dòng)Windows系統(tǒng)，這樣用戶日后只能對(duì)接入的USB設(shè)備進(jìn)行讀取操作，而不能進(jìn)行寫入操作。當(dāng)有用戶悄悄修改USB設(shè)備中的重要數(shù)據(jù)時(shí)，系統(tǒng)會(huì)彈出“磁盤有寫保護(hù)”之類的提示。

控制病毒運(yùn)行

考慮到USB設(shè)備感染病毒、木馬的現(xiàn)象十分普遍，為了防止保存有重要數(shù)據(jù)的USB設(shè)備，在插入計(jì)算機(jī)系統(tǒng)后，自動(dòng)激活運(yùn)行病毒、木馬程序，從而引起泄密事件發(fā)生，我們必須主動(dòng)出擊，想辦法控制USB設(shè)備中的病毒、木馬程序自動(dòng)發(fā)作運(yùn)行，下面就是具體的控制步驟：

首先按照前面的操作，打開(kāi)本地系統(tǒng)的注冊(cè)表編輯窗口，在該窗口左側(cè)顯示區(qū)域，依次展開(kāi)注冊(cè)表分支HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼MountPoints2，用鼠標(biāo)右鍵單擊該分支選項(xiàng)，執(zhí)行快捷菜單中的“權(quán)限”命令，切換到如圖2所示的權(quán)限編輯對(duì)話框。

其次將這里所有用戶賬號(hào)的訪問(wèn)權(quán)限都調(diào)整為拒絕，再按F5功能鍵，刷新系統(tǒng)注冊(cè)表，這樣USB設(shè)備日后即使不小心感染了病毒、木馬程序，它們?cè)诓迦胗?jì)算機(jī)時(shí)，其中的病毒、木馬程序也會(huì)由于操作權(quán)限不足，而不能激活運(yùn)行，那么保存在USB設(shè)備中的重要數(shù)據(jù)，也就不容易被病毒、木馬程序破壞或泄露出去了。

倘若想控制USB設(shè)備中AutoRun病毒的自動(dòng)運(yùn)行時(shí)，只要打開(kāi)系統(tǒng)注冊(cè)表編輯界面，將鼠標(biāo)定位到HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer節(jié)點(diǎn)上，打開(kāi)NoDriveTypeAutoRun鍵值的設(shè)置對(duì)話框，選中“十六進(jìn)制”選項(xiàng)，并輸入數(shù)值“4”，確認(rèn)后保存設(shè)置操作，再刷新系統(tǒng)注冊(cè)表即可。

隱藏設(shè)備分區(qū)

如果不希望用戶訪問(wèn)USB設(shè)備中的重要數(shù)據(jù)時(shí)，可以嘗試將本地硬盤分區(qū)之外的盤符全部隱藏起來(lái)，這樣日后有人即使偷偷插入了USB設(shè)備，他們也不能從“我的電腦”或“計(jì)算機(jī)”窗口中，看到USB設(shè)備對(duì)應(yīng)分區(qū)的“身影”。

首先執(zhí)行“Regedit”命令，打開(kāi)注冊(cè)表編輯界面，找到該界面左側(cè)中的HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer節(jié)點(diǎn)選項(xiàng)，用鼠標(biāo)右鍵單擊目標(biāo)節(jié)點(diǎn)，執(zhí)行快捷菜單中的“新建”|“二進(jìn)制值”命令，將新創(chuàng)建的鍵值取名為“NoDrives”，該鍵值默認(rèn)數(shù)值為“00 00 00 00”（如圖3所示），該數(shù)值表示不隱藏任何磁盤分區(qū)。

“NoDrives”的數(shù)值包含四個(gè)字節(jié)，每個(gè)字節(jié)的每一位數(shù)值控制著從“A”盤到“Z”盤的顯示隱藏狀態(tài)，當(dāng)某個(gè)位數(shù)數(shù)值為“1”時(shí)，對(duì)應(yīng) 磁盤分區(qū)就會(huì)被禁止顯示。要是本地計(jì)算機(jī)硬盤包括C、D、E、F、G、H這幾個(gè)分區(qū)，那么我們將“NoDrives”的數(shù)值設(shè)置為“02 ff ff ff”時(shí)，就能將B分區(qū)、I到Z分區(qū)隱藏起來(lái)，重新啟動(dòng)Windows系統(tǒng)，再插入U(xiǎn)SB設(shè)備時(shí)，我們將無(wú)法在“計(jì)算機(jī)”或“我的電腦”窗口中，找到USB設(shè)備所使用的磁盤分區(qū)，這樣就不能訪問(wèn)到保存在該設(shè)備中的數(shù)據(jù)內(nèi)容了。當(dāng)然，通過(guò)計(jì)算機(jī)窗口的地址欄，輸入U(xiǎn)SB設(shè)備的磁盤分區(qū)符號(hào)，還是能夠訪問(wèn)到該設(shè)備中的內(nèi)容，為此，我們還應(yīng)該在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer節(jié)點(diǎn)選項(xiàng)下面，手工創(chuàng)建一個(gè)“NoViewOnDrive”二進(jìn)制鍵值，同時(shí)將該鍵值數(shù)值也設(shè)置為“02 ff ff ff”，這樣任何方式也不能訪問(wèn)到USB設(shè)備中的內(nèi)容了。

組策略控制法

停用自動(dòng)播放

當(dāng)USB設(shè)備連接到本地計(jì)算機(jī)中時(shí)，Windows系統(tǒng)會(huì)自動(dòng)打開(kāi)對(duì)應(yīng)設(shè)備窗口，以利于用戶快速訪問(wèn)其中的文件。而USB設(shè)備自動(dòng)打開(kāi)窗口的過(guò)程，很容易被網(wǎng)絡(luò)病毒利用，那么帶毒的USB設(shè)備插入計(jì)算機(jī)時(shí)，既會(huì)將病毒傳染給Windows系統(tǒng)，又容易引起重要數(shù)據(jù)泄密事件。所以，為了保護(hù)系統(tǒng)和重要數(shù)據(jù)的安全，我們可以停用所有磁盤分區(qū)的自動(dòng)播放功能：

首先逐一點(diǎn)選“開(kāi)始”|“運(yùn)行”選項(xiàng)，切換到系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，彈出系統(tǒng)組策略編輯界面，找到該界面下的“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“管理模板”|“系統(tǒng)”節(jié)點(diǎn)，用鼠標(biāo)雙擊目標(biāo)節(jié)點(diǎn)下的“關(guān)閉自動(dòng)播放”選項(xiàng)，展開(kāi)如圖4所示的組策略屬性對(duì)話框。

其次選中這里的“已啟用”選項(xiàng)，打開(kāi)“關(guān)閉自動(dòng)播放”下拉列表，將其中的“所有驅(qū)動(dòng)器”選項(xiàng)選中，單擊“確定”按鈕保存設(shè)置操作，這樣USB設(shè)備日后插入到本地計(jì)算機(jī)后，對(duì)應(yīng)設(shè)備窗口就不會(huì)自動(dòng)打開(kāi)了，那么即使該設(shè)備中隱藏有病毒、木馬程序，它們也沒(méi)機(jī)會(huì)激活運(yùn)行了。

限制樣本病毒

很多病毒在惡意傳播之前，一般都是先激活樣本病毒程序，之后才會(huì)進(jìn)行病毒傳播擴(kuò)散。根據(jù)這種病毒傳播原則，我們可以上網(wǎng)查詢病毒公告，及時(shí)獲取那些利用USB設(shè)備傳播的病毒程序樣本，并下載獲取對(duì)應(yīng)病毒樣本文件，再利用系統(tǒng)組策略設(shè)置，來(lái)限制樣本病毒程序在本地計(jì)算機(jī)中自動(dòng)運(yùn)行，下面就是具體的操作步驟：

首先按照前面的操作步驟，展開(kāi)系統(tǒng)組策略編輯界面，找到該界面左側(cè)的“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“軟件限制策略”|“其他規(guī)則”節(jié)點(diǎn)，用鼠標(biāo)右鍵單擊目標(biāo)節(jié)點(diǎn)選項(xiàng)，點(diǎn)擊右鍵菜單中的“新散列規(guī)則”命令，彈出如圖5所示的設(shè)置界面。

其次按下設(shè)置界面中的“瀏覽”按鈕，切換到文件選擇對(duì)話框，導(dǎo)入之前獲取得到的樣本病毒程序文件，這樣Windows系統(tǒng)會(huì)智能生成文件散列號(hào)碼，并且還會(huì)自動(dòng)顯示相關(guān)樣本病毒文件的版本信息以及其他方面的狀態(tài)信息，接著將樣本病毒程序文件“安全級(jí)別”選擇為“不允許”，確認(rèn)后本地計(jì)算機(jī)就能自動(dòng)預(yù)防新型的通過(guò)USB設(shè)備傳播的病毒了，日后即使USB設(shè)備感染了樣本病毒，也不會(huì)在本地系統(tǒng)中造成安全威脅，更不會(huì)發(fā)生由樣本病毒引起的數(shù)據(jù)泄密現(xiàn)象。

隱藏訪問(wèn)分區(qū)

USB設(shè)備插入到計(jì)算機(jī)系統(tǒng)后，Windows系統(tǒng)分配給它的分區(qū)符號(hào)往往是固定的，如果能讓特定的磁盤分區(qū)隱藏起來(lái)，那么普通用戶就不能隨意訪問(wèn)到對(duì)應(yīng)設(shè)備中的數(shù)據(jù)內(nèi)容了。要做到這一點(diǎn)，可以進(jìn)行如下設(shè)置操作：

首先執(zhí)行“gpedit.msc”命令，打開(kāi)系統(tǒng)組策略編輯界面，找到該界面中的“本地計(jì)算機(jī)策略”|“用戶配置”|“管理模板”|“Windows組件”|“Windows資源管理器”節(jié)點(diǎn)，用鼠標(biāo)雙擊目標(biāo)節(jié)點(diǎn)下的“防止從我的電腦訪問(wèn)驅(qū)動(dòng)器”選項(xiàng)，展開(kāi)如圖6所示的組策略屬性對(duì)話框。

其次選中“已啟用”選項(xiàng)，點(diǎn)擊“選擇下列組合中的一個(gè)”位置處的下拉按鈕，從下拉列表中選擇特定磁盤分區(qū)，那么保存設(shè)置操作后，Windows系統(tǒng)雖然可以正確識(shí)別并安裝USB設(shè)備驅(qū)動(dòng)，但是在計(jì)算機(jī)窗口或我的電腦窗口卻不能訪問(wèn)它們的內(nèi)容。如果希望隱藏USB設(shè)備分區(qū)時(shí)，還要在“本地計(jì)算機(jī)策略”|“用戶配置”|“管理模板”|“Windows組件”|“Windows資源管理器”節(jié)點(diǎn)下，啟用并設(shè)置好“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”組策略，這樣用戶就不能看到它們的“身影”了。

隱藏文件法

隱藏設(shè)備數(shù)據(jù)

保存在USB設(shè)備中的重要數(shù)據(jù)文件，如果被設(shè)置成隱藏屬性，那么日后用戶即使能進(jìn)入U(xiǎn)SB設(shè)備窗口，也不能看到其中的數(shù)據(jù)文件。在隱藏設(shè)備數(shù)據(jù)文件時(shí)，先將USB設(shè)備正確插入到本地計(jì)算機(jī)中，進(jìn)入計(jì)算機(jī)或我的電腦窗口，獲取USB設(shè)備的分區(qū)名稱，假設(shè)該分區(qū)為“F：”。接著依次點(diǎn)擊“開(kāi)始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入字符串命令“attrib F： +r +s +h /d /s”，單擊“確定”按鈕后，USB設(shè)備中的所有數(shù)據(jù)文件都會(huì)被設(shè)置成隱藏屬性，普通用戶是不能隨意刪除、更改數(shù)據(jù)文件的。

限制隱藏文件

將重要數(shù)據(jù)文件設(shè)置成隱藏性質(zhì)，還不能保證其安全性，因?yàn)橐恍I(yè)用戶可以進(jìn)入Windows系統(tǒng)的文件夾選項(xiàng)設(shè)置對(duì)話框，切換到查看標(biāo)簽頁(yè)面，選中“顯示所有文件”功能，就能訪問(wèn)到隱藏文件了。為了防止專業(yè)用戶查看隱藏文件，我們還需要控制Windows系統(tǒng)，不讓其顯示隱藏文件，以達(dá)到徹底隱藏重要數(shù)據(jù)的目的。

使用“Win+R”快捷鍵，打開(kāi)系統(tǒng)“運(yùn)行”文本框，輸入“Regedit”命令，單擊“確定”按鈕后，開(kāi)啟注冊(cè)表編輯器的運(yùn)行狀態(tài)。依次展開(kāi)注冊(cè)表編輯界面左側(cè)的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL”分支（如圖7所示）。

找到目標(biāo)分支下的“CheckedValue”雙字節(jié)鍵值，并用鼠標(biāo)雙擊之，在其后界面中，將默認(rèn)數(shù)值由“1”修改成“0”，刷新系統(tǒng)注冊(cè)表后，即使普通用戶進(jìn)入查看選項(xiàng)設(shè)置頁(yè)面，選中“顯示所有文件”選項(xiàng)，Windows系統(tǒng)也不會(huì)將隱藏文件顯示出來(lái)。

偽裝數(shù)據(jù)文件夾

通過(guò)上面的隱藏方法，隱藏USB設(shè)備中的重要數(shù)據(jù)，會(huì)影響其他隱藏文件的讀取與訪問(wèn)。其實(shí)，我們可以在USB設(shè)備根目錄下面，任意創(chuàng)建一個(gè)文件夾，假設(shè)該文件夾名稱為“aaa”，日后將所有重要數(shù)據(jù)全部保存到這里。之后通過(guò)修改擴(kuò)展名，對(duì)“aaa”文件夾進(jìn)行偽裝操作，讓其變成“我的電腦”之類的特殊文件夾，這樣其他人雙擊該文件夾圖標(biāo)時(shí)，將無(wú)法看到隱藏在其中的重要數(shù)據(jù)內(nèi)容，所以，這在某種程度上能保護(hù)USB設(shè)備中的數(shù)據(jù)內(nèi)容。在進(jìn)行偽裝操作時(shí)，只要在“aaa”文件夾名稱后面，手工添加“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”這樣的擴(kuò)展名即可。

隱藏分區(qū)符號(hào)

每個(gè)USB設(shè)備插入本地計(jì)算機(jī)后，Windows系統(tǒng)都會(huì)為它自動(dòng)分配一個(gè)分區(qū)符號(hào)，如果隱藏該設(shè)備分區(qū)符號(hào)，那么其他用戶打開(kāi)計(jì)算機(jī)或我的電腦窗口后，就不能訪問(wèn)到USB設(shè)備，這樣該設(shè)備中的數(shù)據(jù)也會(huì)很安全。在隱藏分區(qū)符號(hào)時(shí)，首先將USB設(shè)備插入到本地計(jì)算機(jī)中，當(dāng)該設(shè)備被成功識(shí)別后，用鼠標(biāo)右鍵系統(tǒng)桌面上的“計(jì)算機(jī)”圖標(biāo)，執(zhí)行快捷菜單中的“管理”命令，切換到計(jì)算機(jī)管理窗口，將鼠標(biāo)定位到“存儲(chǔ)”|“磁盤管理”節(jié)點(diǎn)上，選中該節(jié)點(diǎn)下的USB設(shè)備圖標(biāo)，點(diǎn)擊右鍵菜單中的“更改驅(qū)動(dòng)器號(hào)和路徑”命令，打開(kāi)如圖8所示的設(shè)置對(duì)話框，選中USB設(shè)備使用的分區(qū)符號(hào)，點(diǎn)擊“刪除”按鈕，最后進(jìn)行確認(rèn)操作，這樣就能將USB設(shè)備分區(qū)符號(hào)隱藏起來(lái)了。日后，如果我們自己想訪問(wèn)USB設(shè)備中的內(nèi)容時(shí)，只要重新進(jìn)入“更改驅(qū)動(dòng)器號(hào)和路徑”設(shè)置對(duì)話框，為USB設(shè)備分配好合適分區(qū)符號(hào)即可。

權(quán)限控制法

授權(quán)特定用戶

保護(hù)USB設(shè)備重要數(shù)據(jù)的目的是防止外人訪問(wèn)，而不是防止自己使用，所以我們不妨利用NTFS的權(quán)限管理功能，來(lái)限制他人隨意訪問(wèn)USB設(shè)備。首先檢查系統(tǒng)分區(qū)的格式，倘若發(fā)現(xiàn)是FAT32格式時(shí)，那么可以依次點(diǎn)擊“開(kāi)始”|“運(yùn)行”命令，打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，輸入“Convert c： /FS：NTFS”命令，單擊“確定”按鈕后，將系統(tǒng)分區(qū)C盤轉(zhuǎn)換成NTFS格式。接著進(jìn)入本地計(jì)算機(jī)的用戶管理界面，在這里為可信任用戶賬戶設(shè)置一個(gè)復(fù)雜的登錄密碼。

完成上面的準(zhǔn)備工作后，打開(kāi)系統(tǒng)資源管理器窗口，逐一展開(kāi)“Windows”|“Inf”文件夾，找到其中的“Usbstor.pnf”文件，用鼠標(biāo)右鍵單擊該文件，執(zhí)行快捷菜單中的“屬性”命令，切換到對(duì)應(yīng)文件屬性界面，選擇“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面中將可信用戶賬戶添加進(jìn)來(lái)，并授予完全訪問(wèn)權(quán)限。

之后，將其它需要訪問(wèn)本地計(jì)算機(jī)，但是不允許使用USB設(shè)備的用戶賬戶導(dǎo)入進(jìn)來(lái)，同時(shí)將它們的訪問(wèn)權(quán)限都調(diào)整為“拒絕”，確認(rèn)后執(zhí)行設(shè)置保存操作，這樣其他用戶日后在嘗試訪問(wèn)USB設(shè)備時(shí)，由于訪問(wèn)Usbstor.pnf文件時(shí)權(quán)限不足而受拒，從而保證了USB設(shè)備重要數(shù)據(jù)的安全。

控制訪問(wèn)權(quán)限

只要USB設(shè)備被格式化成NTFS格式，我們就能按照實(shí)際需要，隨意控制其中數(shù)據(jù)的訪問(wèn)權(quán)限，禁止無(wú)關(guān)人員私下改動(dòng)或刪除重要數(shù)據(jù)。例如，要想禁止普通用戶改動(dòng)或刪除USB設(shè)備中的重要數(shù)據(jù)時(shí)，可以先將USB設(shè)備插入到本地計(jì)算機(jī)，進(jìn)入計(jì)算機(jī)或我的電腦窗口，找到對(duì)應(yīng)設(shè)備分區(qū)圖標(biāo)，并用鼠標(biāo)右鍵單擊之，執(zhí)行快捷菜單中的“屬性”命令，打開(kāi)該設(shè)備屬性對(duì)話框。選擇“安全”選項(xiàng)卡，在對(duì)應(yīng)標(biāo)簽頁(yè)面中（如圖9所示），刪除所有陌生用戶賬號(hào)，再將everyone賬號(hào)的讀取權(quán)限設(shè)置為“允許”，其他權(quán)限設(shè)置為“拒絕”，單擊“確定”按鈕保存設(shè)置操作即可。