不让USB成为泄露祸首

重要数据的存储管理工作总是繁锁又辛劳，本来局域网中所有的用户帐号均有指定的访问权限，但偏偏有人不按规定去做，偷偷利用USB设备将重要数据窃走……既然规定不奏效，那就只好采用强制方式，限制用户悄悄使用USB设备“顺走”重要数据了。通过下面的方法，我们管理起重要数据来是更为事半功倍了。

外力工具限制法

对于存储了单位重要数据的计算机来说，最担心有人趁计算机主人临时离开现场时，偷偷利用USB设备，将保存在其中的隐私数据窃取走。因为保存有重要数据的计算机目标很显眼，那些别有用心之人往往紧盯了很久，一旦逮到机会，他们就会不顾一切地接触目标计算机，不留痕迹地将需要的核心数据带走。

为了防止别人使用USB设备带走重要数据，我们可以使用“USB Block”这款外力工具，为保存有重要数据的计算机树立一道隐形的安全隔离屏障，让别有用心之人无法轻易得逞。单纯从名称上来看，这款工具好象仅仅是一款USB设备的管理工具，其实它在数据保护方面，也是独具特色的。

图1 USB Block工具界面

在通过“USB Block”工具限制用户访问数据文件时，一定要为其设置合适的管理密码，以防恶意用户轻易关闭甚至卸载该工具。在进行该设置操作时，先开启目标工具的运行状态，按下主程序窗口中的“Control Center”工具栏按钮，选中其后界面中的“Block USB Devices”选 项（如 图 1所示），启用USB设备加锁功能。这个时候，当我们尝试将自己的移动硬盘或USB设备插入到本地计算机时，系统将无法显示这些设备的磁盘分区。如果担心恶意用户通过网络，或者通过软盘、光盘带走本地计算机中的重要数据时，不妨一并选中这里的“Block Network Acess”、“Block Discs & Floppy Drivers”等选项，那么“USB Block”工具将会禁用本地计算机的网络连接功能，以及关闭软驱、光驱等设备的运行状态。经过上述设置操作后，本地计算机与外界的数据交换传输通道都被堵住了，那么存储在其中的重要数据就相对安全多了。

当然，计算机的“主人”日后自己想在本地使用USB设备存储数据时，可以先打开设备身份认证对话框，在其中正确输入之前预设的密码，这样才能正常使用USB设备。为了防止别人关闭或卸载监控工具，我们可以启用“USB Block”工具的隐藏工作模式，让别人不知道自己正被监控管理。按下主程序界面中的“Program Options”工具栏按钮，在弹出的程序选项设置框中，选中“Active Stealth Mode”选项，确认后就能成功开启隐藏工作模式了。为了方便切换进入隐藏工作模式，我们还可以根据自己的操作习惯，定义好该模式的启用热键，“USB Block”工具缺省使用的操作热键为“Ctrl+Alt+Shift+D”，当按下该组合键时，“USB Block”工具就能自动切换到隐藏运行状态。这个时候，所有与“USB Block”工具有关的程序快捷图标、开始菜单命令以及控制面板中的添加/删除项目等，都会被隐藏显示。考虑到USB设备插入计算机时，会自动激活密码输入对话框，这也会暴露“USB Block”工具的工作状态，为了达到彻底隐藏效果，我们还有必要选中“Do not prompt for authorization password”选项，以关闭该工具的密码解锁功能。

此外，有的别有用心之人可能会将计算机重新启动到安全模式状态，来尝试在该状态下通过USB设备带走本地计算机中的重要数据。为了切断这条数据交换通道，我们可以在程序选项设置框中，选中“Protection in Safe Mode”选项，启用该工具的安全模式防护功能，这样别人即使将计算机切换到安全模式状态，也仍然无法将其中的重要数据带走。很显然，在“USB Block”工具的全力防护之下，USB设备将无法成为重要数据的泄露祸首。

系统设置限制法

在没有外力工具可以利用的情况下，我们可以利用Windows系统自身强大的设置功能，对USB设备进行严格控制、管理，以防该设备的管理或使用不当，造成重要数据外泄或丢失事件的发生。

1、禁止写入数据

为了预防别有用心之人随意通过USB设备带走计算机中的重要数据，我们可以手工调整系统注册表的有关键值，让别有用心之人无法通过USB设备存储自己需要的数据内容。在进行该操作时，可以依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“Regedit”命令，展开系统注册表编辑窗口。在该编辑窗口左侧列表中，将鼠标定位到如图2所示的注册表节点“HEKY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolices”上。

图2 修改注册表

检查指定节点下是否存在“WriteProtect”双字节键值，要是找不到该键值时，可以手工创建好该键值，同时用鼠标双击该键值，弹出对应键值编辑对话框。在其中输入数值“1”，单击“确定”按钮保存设置操作，再重新启动计算机系统。这样，日后任何人在本地计算机中，只能读取USB设备中的数据内容，而不能将计算机中的数据写入到USB设备中。当有用户悄悄将本地计算机中的重要数据拖入USB设备中时，将看到系统出现“磁盘有写保护”这样的提示内容。

2、按需分配权限

大家知道，单纯禁止向USB设备写入数据，也会影响合法用户自己使用USB设备存储数据。为了既能限制普通用户通过USB设备带走数据，又不影响合法用户正常使用USB设备，我们可以根据操作权限的不同，将USB设备用户分为普通用户、授权用户，其中普通用户可以为陌生用户，也可以为一般工作人员，他们只是临时访问重要数据的用户，他们只能显示并读取USB设备中的数据内容，但不能向该设备中写入数据文件，以防止他们通过USB设备带走本地计算机中的重要数据。授权用户一般是重要数据的运行维护人员，或者是系统管理员用户，他们既可以显示USB设备内容，又能向其中读写数据内容。

按照上述标准划分后，我们只要在保存有重要数据的计算机中生成与之对应的用户账号，例如，在这里假设我们已经创建好授权用户账号“admin”，普通用户账号“general”，并且分别为这些用户账号定义了各自的系统登录密码，密码符合复杂性要求。为了让这些不同用户账号按规定权限使用USB设备，我们还要进行如下设置操作。

首先为不同权限级别的用户帐号创建不同类型的USB设备操作脚本。启动运行记事本程序，生成一个名称为“general.bat”的批处理文件，在该文件中必须包含如下代码内容：

同样地创建一个名称为“admin.bat”的批处理文件，在该文件中必须包含如下代码内容：

其中执行第一个批处理文件时，可以获得USB设备的显示和读取权限，执行第二个批处理文件时，可以获得USB设备的显示、读取和写入权限。

接着将本地计算机缺省的USB设备操作权限设置为禁用状态。正常情况下，用户在第一次登录进入Windows系统时，既能显示USB设备中的数据内容，又能向其中读写数据内容，显然这种缺省设置不符合安全管控要求，必须想办法让计算机下次启动运行时自动禁用USB设备。要实现这个控制目的，需要先创建一个能够禁用USB设备的“forbid.bat”批处理文件，在该文件中输入如下代码内容：

图3 设置批处理自动运行

之后依次点击“开始”、“运行”选项，弹出系统运行文本框，在其中执行“gpedit.msc”命令，启动系统组策略编辑器运行状态。逐一展开该编辑界面左侧区域中的“本地计算机策略”、“计算机配置”、“Windows设置”、“脚本”分支，找到该分支下的“关机”选项，用鼠标双击该选项，点击如图3所示界面中的“添加”按钮，选中并添加刚刚创建好的“forbid.bat”批处理文件，单击“确定”按钮后退出设置对话框。这样，Windows系统日后每次关闭运行时，都会调用“forbid.bat”批处理文件，将USB设备操作权限设置为禁用状态，下次重新登录本地系统时，计算机默认的USB设备操作权限就会被禁用了。

下面需要为不同权限用户指定不同开机脚本。先以“admin”用户账号登录本地系统，依次选择“开始”、“程序”、“启动”选项，打开目标选项的快捷菜单，点选“打开”命令，弹出系统启动文件夹窗口，将与该帐号对应的“admin.bat”脚本文件拷贝进来。这样，当用户日后尝试以“admin”账号进行登录操作时，本地计算机会自动执行“admin.bat”脚本程序，来允许授权用户既能查看USB设备内容，又能向其中写入数据，此时“admin”账号可以通过USB设备存储重要数据。

注销本地系统，重新以“general”账号进行系统登录操作，按照相同的操作方法，将“general.bat”脚本程序拷贝到与之对应的系统启动文件夹中，确保“general”用户日后在成功登录系统时，通过调用“general.bat”脚本程序的方法，只能获得USB设备的读操作权限，而无法拥有数据写入权限，这样普通用户就不能通过USB设备带走本地系统中的重要数据。