以前一提到“安全”二字,大家总会优先想起网络,因为黑客、后门总是数据泄漏的第一渠道。但是随着USB存储设备,尤其是闪存盘的普及,USB设备逐渐成为泄漏资料的“罪魁”,其所带来的危险甚至胜过网络。以目前极为普及的闪存盘为例,它具有免驱动、隐秘性强、容量大、传输速度快等特点,这些特性使之成为一件不折不扣的“间谍”工具。即使一台机器没有联网,不良用心者也可以用闪存盘轻易“带”走保存在本机上的隐秘资料,而且不会留下任何痕迹。因此很多单位都不约而同的用胶带“封杀”了USB接口,但这个“防君子不防小人”的办法并不能真正解决问题。
釜底抽薪:屏蔽USB控制器
通过修改BIOS设置,可以直接屏蔽主板上的USB控制器,这个方法几乎适用于所有计算机。这里笔者以目前使用最为广泛的Award BIOS为例进行说明。启动计算机时按键盘的Del键进入BIOS设置界面,用方向键定位到“Integrated Peripherals”项,按回车打开,把其中“USB Controller”设置为“Disabled”。
另外为了防止非法用户更改该设置,请务必加上BIOS密码,然后保存退出,计算机会自动重启,以后计算机上所有的USB接口即告失效。
这个方法虽然简单有效,但副作用也非常明显,因为在屏蔽USB接口之后,不但闪存盘之类的移动存储设备不能用,而且连USB接口的外设,例如USB鼠标、键盘、打印机等都将无法使用,很不方便。
温柔一刀:修改注册表停用USB驱动
在“开始”/“运行”中输入“Regedit”,按回车即可打开注册表编辑器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor”主键,双击名为“Start”的DWORD值,将“数值数据”改为4。
注意右边的“基数”默认为“十六进制”,该设置切勿更改,单击“确定”即可修改完成。
现在试试看,插上闪盘,闪盘的工作指示灯不亮,而系统也没有任何反应,这证明我们的修改成功了。为了防止非法用户用同样的方法解锁,最好把Regedit.exe程序改名或者直接删除。
小提示:“Start”值是一个控制USB存储设备驱动程序工作状态的开关,可设为以下三种值,设为2时表示自动,设为3时表示手动(这是默认设置),设为4则为停用。
借他山之石:使用第三方工具
第三方USB控制工具具有使用简单、安全可靠的特点,强烈推荐大家使用。这里笔者以“攀达计算机USB控制器”(以下简称“攀达”)为例说明。
软件名称:攀达计算机USB控制器
软件版本:1.1
软件性质:共享软件
软件体积:2339KB
运行平台:Windows 2000/XP
运行下载得到的可执行文件即可自动完成安装并运行于后台,这时系统托盘里会出现一个熊猫图标,双击会弹出一个对话框,要求你输入管理员密码,“攀达”的初始密码为空,直接按“确定”即可打开其设置窗口。
首先单击“修改管理员密码”重设管理员密码,至于那三个复选框的作用笔者就不再多费口舌了,大家顾名思义即可。唯一需要说明的是,如果你选择了“程序在后台隐藏运行”,那么就只能按Alt+Shift+P组合键呼出这个设置窗口了。设置完成后,请按右上角的“x”关闭对话框。虽然界面上说需要重启计算机才能使设置生效,但至少在笔者的Windows XP专业版上却是适时生效的。