计算机-禁止USB服务

接到一个任务，禁止集团内所有电脑的USB接口进行文件拷贝，但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备。

纠结了，这不摆明了让我蛋疼吗？

不过，疼归疼，办法总是要想滴，说白了不就是不让人把公司的机密资料带出去吗？现在这些人，暴力管理还找一大堆冠冕堂皇的理由让你无条件服从，P服！哥们我楞是从中总结出一条真理：世界上没有办不到的事，只是你愿不愿意想办法。

不罗嗦，开工，首先了解任务的详细内容：

任务目的：

1、要管制USB存储设备，一般用户不能写不能读；部分用户能读不能写入USB存储设备；还有一部分大人们（公司高管）平时不读不写，在需要用的时候要能读能写！

2、无论使用什么方式进行管制，不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。 额滴神，这帮兔崽子真会折磨人。

任务范围：集团内800+台电脑

任务时间：2周

接下来，就得找实施方案了！

1、方案一：BIOS里全部关闭USB端口

2、方案二：Client端安装USB管理软件，用软件进行管制，安装一台服务器，监控所有电脑的USB动态

3、方案三：从操作系统注册表下手，批处理执行管理

先说说这三个方案：恕本人愚昧，或许还有很多又好又快捷的方法，但偶当时确实只想到这些，

方案一：最操蛋的方法，端口全关了，什么USB设备都用不了了，就别提这机那机了，PASS掉，

方案二：所有电脑安装Client，工作量大，时间根本不够，再说了，我很介意在用户端安装软件，多一个进程多占用一部分内存，到时候电脑速度慢了又会有人大呼小叫了。仍然PASS，

第三个，其实这也是俺最喜欢用的手段：批处理！哈哈，就它了。

各位观众，看清楚看明白啦，实施过程开始！

1、首先，关闭USB存储设备的盘符自动分配，打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将"Start"的值改为4（禁止自动启动），默认为3是自动分配盘符

2、干掉USB存储设备的作用文件：进入WINDOWS系统目录，找到X:\Windows\inf，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。

我用两条批处理指令实现：

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul

del %Windir%\inf\usbstor.pnf /q/f >nul

del %Windir%\inf\usbstor.inf /q/f >nul

哦不，准确的说是4行指令！

3、然后，禁止将电脑里的资料拷贝到USB存储设备，意思是把USB存储设备设置只读的，干成残废。

打开注册表：定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control，在其下新建一个名为“StorageDevicePolicies”的项，选中它，在右边的窗格中新建一个名为“WriteProtect”的DWORD值，并将其数值数据设置为1

嘿嘿，有了这一条，你就是能用USB存储设备，也只能单方面读取数据了，也算是半个残废了。

到此，基本上第一个过程基本完成，实现的功能包括：禁止使用USB存储设备，不影响其他USB外设，就算要用，也把USB存储设备干成残废（只读）。

接下来说第二个部分：如何开启？（部分用户需要使用USB存储设备） 实际上，逆向操作以上步骤就可以完成开启，但为了表达的更完整一些，我还是把过程写下来

1、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将"Start"的值改为3

2、恢复USB存储设备作用文件，还是4行指令：

copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul

copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul

del %Windir%\usbstor.pnf /q/f >nul

del %Windir%\usbstor.inf /q/f >nul

完成后，用户可使用USB存储设备，但不能往里面写入任何内容！你不信？不信就试试嘛，俗话说的好：实践出真知！

不好意思，扯远了！

这样，关闭也写了，开启也写了，接下来的事情，你知道的。

批处理代码，哈哈！

关闭过程：

@echo off

reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul

del %Windir%\inf\usbstor.pnf /q/f >nul

del %Windir%\inf\usbstor.inf /q/f >nul

@echo on

开启过程：

@echo off reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f

copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul

copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul

del %Windir%\usbstor.pnf /q/f >nul

del %Windir%\usbstor.inf /q/f >nul

@echo on

将以上代码保存为两个BAT文档，然后放进x:\Windows\system32\目录下，比如DisableUSB.bat和EnableUSB.bat

然后直接在运行里面输入指令：DisableUSB （关闭）EnableUSB（开启）

打完收工！

==============================================================================

有朋友问了，你方案是有了，但如何在网内实施？难道需要在每一台电脑上运行这两个指令吗，恐怕也不太现实吧？！这个问题问的好，具体的实施方案在2楼！