不讓USB成為泄露禍?zhǔn)?/h1>

2015-12-03 03:23:04

網(wǎng)絡(luò)安全和信息化訂閱 2015年9期 收藏

關(guān)鍵詞：批處理選項(xiàng)工具

重要數(shù)據(jù)的存儲(chǔ)管理工作總是繁鎖又辛勞，本來(lái)局域網(wǎng)中所有的用戶帳號(hào)均有指定的訪問(wèn)權(quán)限，但偏偏有人不按規(guī)定去做，偷偷利用USB設(shè)備將重要數(shù)據(jù)竊走……既然規(guī)定不奏效，那就只好采用強(qiáng)制方式，限制用戶悄悄使用USB設(shè)備“順走”重要數(shù)據(jù)了。通過(guò)下面的方法，我們管理起重要數(shù)據(jù)來(lái)是更為事半功倍了。

外力工具限制法

對(duì)于存儲(chǔ)了單位重要數(shù)據(jù)的計(jì)算機(jī)來(lái)說(shuō)，最擔(dān)心有人趁計(jì)算機(jī)主人臨時(shí)離開(kāi)現(xiàn)場(chǎng)時(shí)，偷偷利用USB設(shè)備，將保存在其中的隱私數(shù)據(jù)竊取走。因?yàn)楸４嬗兄匾獢?shù)據(jù)的計(jì)算機(jī)目標(biāo)很顯眼，那些別有用心之人往往緊盯了很久，一旦逮到機(jī)會(huì)，他們就會(huì)不顧一切地接觸目標(biāo)計(jì)算機(jī)，不留痕跡地將需要的核心數(shù)據(jù)帶走。

為了防止別人使用USB設(shè)備帶走重要數(shù)據(jù)，我們可以使用“USB Block”這款外力工具，為保存有重要數(shù)據(jù)的計(jì)算機(jī)樹(shù)立一道隱形的安全隔離屏障，讓別有用心之人無(wú)法輕易得逞。單純從名稱上來(lái)看，這款工具好象僅僅是一款USB設(shè)備的管理工具，其實(shí)它在數(shù)據(jù)保護(hù)方面，也是獨(dú)具特色的。

圖1 USB Block工具界面

在通過(guò)“USB Block”工具限制用戶訪問(wèn)數(shù)據(jù)文件時(shí)，一定要為其設(shè)置合適的管理密碼，以防惡意用戶輕易關(guān)閉甚至卸載該工具。在進(jìn)行該設(shè)置操作時(shí)，先開(kāi)啟目標(biāo)工具的運(yùn)行狀態(tài)，按下主程序窗口中的“Control Center”工具欄按鈕，選中其后界面中的“Block USB Devices”選 項(xiàng)（如 圖 1所示），啟用USB設(shè)備加鎖功能。這個(gè)時(shí)候，當(dāng)我們嘗試將自己的移動(dòng)硬盤或USB設(shè)備插入到本地計(jì)算機(jī)時(shí)，系統(tǒng)將無(wú)法顯示這些設(shè)備的磁盤分區(qū)。如果擔(dān)心惡意用戶通過(guò)網(wǎng)絡(luò)，或者通過(guò)軟盤、光盤帶走本地計(jì)算機(jī)中的重要數(shù)據(jù)時(shí)，不妨一并選中這里的“Block Network Acess”、“Block Discs & Floppy Drivers”等選項(xiàng)，那么“USB Block”工具將會(huì)禁用本地計(jì)算機(jī)的網(wǎng)絡(luò)連接功能，以及關(guān)閉軟驅(qū)、光驅(qū)等設(shè)備的運(yùn)行狀態(tài)。經(jīng)過(guò)上述設(shè)置操作后，本地計(jì)算機(jī)與外界的數(shù)據(jù)交換傳輸通道都被堵住了，那么存儲(chǔ)在其中的重要數(shù)據(jù)就相對(duì)安全多了。

當(dāng)然，計(jì)算機(jī)的“主人”日后自己想在本地使用USB設(shè)備存儲(chǔ)數(shù)據(jù)時(shí)，可以先打開(kāi)設(shè)備身份認(rèn)證對(duì)話框，在其中正確輸入之前預(yù)設(shè)的密碼，這樣才能正常使用USB設(shè)備。為了防止別人關(guān)閉或卸載監(jiān)控工具，我們可以啟用“USB Block”工具的隱藏工作模式，讓別人不知道自己正被監(jiān)控管理。按下主程序界面中的“Program Options”工具欄按鈕，在彈出的程序選項(xiàng)設(shè)置框中，選中“Active Stealth Mode”選項(xiàng)，確認(rèn)后就能成功開(kāi)啟隱藏工作模式了。為了方便切換進(jìn)入隱藏工作模式，我們還可以根據(jù)自己的操作習(xí)慣，定義好該模式的啟用熱鍵，“USB Block”工具缺省使用的操作熱鍵為“Ctrl+Alt+Shift+D”，當(dāng)按下該組合鍵時(shí)，“USB Block”工具就能自動(dòng)切換到隱藏運(yùn)行狀態(tài)。這個(gè)時(shí)候，所有與“USB Block”工具有關(guān)的程序快捷圖標(biāo)、開(kāi)始菜單命令以及控制面板中的添加/刪除項(xiàng)目等，都會(huì)被隱藏顯示。考慮到USB設(shè)備插入計(jì)算機(jī)時(shí)，會(huì)自動(dòng)激活密碼輸入對(duì)話框，這也會(huì)暴露“USB Block”工具的工作狀態(tài)，為了達(dá)到徹底隱藏效果，我們還有必要選中“Do not prompt for authorization password”選項(xiàng)，以關(guān)閉該工具的密碼解鎖功能。

此外，有的別有用心之人可能會(huì)將計(jì)算機(jī)重新啟動(dòng)到安全模式狀態(tài)，來(lái)嘗試在該狀態(tài)下通過(guò)USB設(shè)備帶走本地計(jì)算機(jī)中的重要數(shù)據(jù)。為了切斷這條數(shù)據(jù)交換通道，我們可以在程序選項(xiàng)設(shè)置框中，選中“Protection in Safe Mode”選項(xiàng)，啟用該工具的安全模式防護(hù)功能，這樣別人即使將計(jì)算機(jī)切換到安全模式狀態(tài)，也仍然無(wú)法將其中的重要數(shù)據(jù)帶走。很顯然，在“USB Block”工具的全力防護(hù)之下，USB設(shè)備將無(wú)法成為重要數(shù)據(jù)的泄露禍?zhǔn)住?/p>

系統(tǒng)設(shè)置限制法

在沒(méi)有外力工具可以利用的情況下，我們可以利用Windows系統(tǒng)自身強(qiáng)大的設(shè)置功能，對(duì)USB設(shè)備進(jìn)行嚴(yán)格控制、管理，以防該設(shè)備的管理或使用不當(dāng)，造成重要數(shù)據(jù)外泄或丟失事件的發(fā)生。

1、禁止寫入數(shù)據(jù)

為了預(yù)防別有用心之人隨意通過(guò)USB設(shè)備帶走計(jì)算機(jī)中的重要數(shù)據(jù)，我們可以手工調(diào)整系統(tǒng)注冊(cè)表的有關(guān)鍵值，讓別有用心之人無(wú)法通過(guò)USB設(shè)備存儲(chǔ)自己需要的數(shù)據(jù)內(nèi)容。在進(jìn)行該操作時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“Regedit”命令，展開(kāi)系統(tǒng)注冊(cè)表編輯窗口。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到如圖2所示的注冊(cè)表節(jié)點(diǎn)“HEKY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolices”上。

圖2 修改注冊(cè)表

檢查指定節(jié)點(diǎn)下是否存在“WriteProtect”雙字節(jié)鍵值，要是找不到該鍵值時(shí)，可以手工創(chuàng)建好該鍵值，同時(shí)用鼠標(biāo)雙擊該鍵值，彈出對(duì)應(yīng)鍵值編輯對(duì)話框。在其中輸入數(shù)值“1”，單擊“確定”按鈕保存設(shè)置操作，再重新啟動(dòng)計(jì)算機(jī)系統(tǒng)。這樣，日后任何人在本地計(jì)算機(jī)中，只能讀取USB設(shè)備中的數(shù)據(jù)內(nèi)容，而不能將計(jì)算機(jī)中的數(shù)據(jù)寫入到USB設(shè)備中。當(dāng)有用戶悄悄將本地計(jì)算機(jī)中的重要數(shù)據(jù)拖入U(xiǎn)SB設(shè)備中時(shí)，將看到系統(tǒng)出現(xiàn)“磁盤有寫保護(hù)”這樣的提示內(nèi)容。

2、按需分配權(quán)限

大家知道，單純禁止向USB設(shè)備寫入數(shù)據(jù)，也會(huì)影響合法用戶自己使用USB設(shè)備存儲(chǔ)數(shù)據(jù)。為了既能限制普通用戶通過(guò)USB設(shè)備帶走數(shù)據(jù)，又不影響合法用戶正常使用USB設(shè)備，我們可以根據(jù)操作權(quán)限的不同，將USB設(shè)備用戶分為普通用戶、授權(quán)用戶，其中普通用戶可以為陌生用戶，也可以為一般工作人員，他們只是臨時(shí)訪問(wèn)重要數(shù)據(jù)的用戶，他們只能顯示并讀取USB設(shè)備中的數(shù)據(jù)內(nèi)容，但不能向該設(shè)備中寫入數(shù)據(jù)文件，以防止他們通過(guò)USB設(shè)備帶走本地計(jì)算機(jī)中的重要數(shù)據(jù)。授權(quán)用戶一般是重要數(shù)據(jù)的運(yùn)行維護(hù)人員，或者是系統(tǒng)管理員用戶，他們既可以顯示USB設(shè)備內(nèi)容，又能向其中讀寫數(shù)據(jù)內(nèi)容。

按照上述標(biāo)準(zhǔn)劃分后，我們只要在保存有重要數(shù)據(jù)的計(jì)算機(jī)中生成與之對(duì)應(yīng)的用戶賬號(hào)，例如，在這里假設(shè)我們已經(jīng)創(chuàng)建好授權(quán)用戶賬號(hào)“admin”，普通用戶賬號(hào)“general”，并且分別為這些用戶賬號(hào)定義了各自的系統(tǒng)登錄密碼，密碼符合復(fù)雜性要求。為了讓這些不同用戶賬號(hào)按規(guī)定權(quán)限使用USB設(shè)備，我們還要進(jìn)行如下設(shè)置操作。

首先為不同權(quán)限級(jí)別的用戶帳號(hào)創(chuàng)建不同類型的USB設(shè)備操作腳本。啟動(dòng)運(yùn)行記事本程序，生成一個(gè)名稱為“general.bat”的批處理文件，在該文件中必須包含如下代碼內(nèi)容：

同樣地創(chuàng)建一個(gè)名稱為“admin.bat”的批處理文件，在該文件中必須包含如下代碼內(nèi)容：

其中執(zhí)行第一個(gè)批處理文件時(shí)，可以獲得USB設(shè)備的顯示和讀取權(quán)限，執(zhí)行第二個(gè)批處理文件時(shí)，可以獲得USB設(shè)備的顯示、讀取和寫入權(quán)限。

接著將本地計(jì)算機(jī)缺省的USB設(shè)備操作權(quán)限設(shè)置為禁用狀態(tài)。正常情況下，用戶在第一次登錄進(jìn)入Windows系統(tǒng)時(shí)，既能顯示USB設(shè)備中的數(shù)據(jù)內(nèi)容，又能向其中讀寫數(shù)據(jù)內(nèi)容，顯然這種缺省設(shè)置不符合安全管控要求，必須想辦法讓計(jì)算機(jī)下次啟動(dòng)運(yùn)行時(shí)自動(dòng)禁用USB設(shè)備。要實(shí)現(xiàn)這個(gè)控制目的，需要先創(chuàng)建一個(gè)能夠禁用USB設(shè)備的“forbid.bat”批處理文件，在該文件中輸入如下代碼內(nèi)容：

圖3 設(shè)置批處理自動(dòng)運(yùn)行

之后依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，啟動(dòng)系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。逐一展開(kāi)該編輯界面左側(cè)區(qū)域中的“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“腳本”分支，找到該分支下的“關(guān)機(jī)”選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，點(diǎn)擊如圖3所示界面中的“添加”按鈕，選中并添加剛剛創(chuàng)建好的“forbid.bat”批處理文件，單擊“確定”按鈕后退出設(shè)置對(duì)話框。這樣，Windows系統(tǒng)日后每次關(guān)閉運(yùn)行時(shí)，都會(huì)調(diào)用“forbid.bat”批處理文件，將USB設(shè)備操作權(quán)限設(shè)置為禁用狀態(tài)，下次重新登錄本地系統(tǒng)時(shí)，計(jì)算機(jī)默認(rèn)的USB設(shè)備操作權(quán)限就會(huì)被禁用了。

下面需要為不同權(quán)限用戶指定不同開(kāi)機(jī)腳本。先以“admin”用戶賬號(hào)登錄本地系統(tǒng)，依次選擇“開(kāi)始”、“程序”、“啟動(dòng)”選項(xiàng)，打開(kāi)目標(biāo)選項(xiàng)的快捷菜單，點(diǎn)選“打開(kāi)”命令，彈出系統(tǒng)啟動(dòng)文件夾窗口，將與該帳號(hào)對(duì)應(yīng)的“admin.bat”腳本文件拷貝進(jìn)來(lái)。這樣，當(dāng)用戶日后嘗試以“admin”賬號(hào)進(jìn)行登錄操作時(shí)，本地計(jì)算機(jī)會(huì)自動(dòng)執(zhí)行“admin.bat”腳本程序，來(lái)允許授權(quán)用戶既能查看USB設(shè)備內(nèi)容，又能向其中寫入數(shù)據(jù)，此時(shí)“admin”賬號(hào)可以通過(guò)USB設(shè)備存儲(chǔ)重要數(shù)據(jù)。

注銷本地系統(tǒng)，重新以“general”賬號(hào)進(jìn)行系統(tǒng)登錄操作，按照相同的操作方法，將“general.bat”腳本程序拷貝到與之對(duì)應(yīng)的系統(tǒng)啟動(dòng)文件夾中，確保“general”用戶日后在成功登錄系統(tǒng)時(shí)，通過(guò)調(diào)用“general.bat”腳本程序的方法，只能獲得USB設(shè)備的讀操作權(quán)限，而無(wú)法擁有數(shù)據(jù)寫入權(quán)限，這樣普通用戶就不能通過(guò)USB設(shè)備帶走本地系統(tǒng)中的重要數(shù)據(jù)。

猜你喜歡

批處理選項(xiàng)工具

波比的工具

小太陽(yáng)畫報(bào)(2020年11期)2020-12-10 06:50:08

波比的工具

小太陽(yáng)畫報(bào)(2020年10期)2020-10-30 01:57:15

跟蹤導(dǎo)練（四）

時(shí)代英語(yǔ)·高一(2017年5期)2017-11-14 23:23:40

“巧用”工具

讀者(2017年18期)2017-08-29 21:22:03

閱讀理解

時(shí)代英語(yǔ)·高三(2017年4期)2017-08-11 23:17:42

跟蹤導(dǎo)練（5）

時(shí)代英語(yǔ)·高一(2017年4期)2017-08-09 01:07:41

單項(xiàng)填空精選練習(xí)100道

試題與研究·中考英語(yǔ)(2016年3期)2017-01-05 12:47:17

基于PSD-BPA的暫態(tài)穩(wěn)定控制批處理計(jì)算方法的實(shí)現(xiàn)

電力工程技術(shù)(2014年5期)2014-03-20 14:19:36

批處理天地．文件分類超輕松

計(jì)算機(jī)應(yīng)用文摘(2009年15期)2009-04-29 02:58:20

批處理天地.批量為文件更名(續(xù))

計(jì)算機(jī)應(yīng)用文摘(2009年17期)2009-04-29 00:44:03

網(wǎng)絡(luò)安全和信息化2015年9期

網(wǎng)絡(luò)安全和信息化的其它文章

淺談SFP模塊的使用

會(huì)話超時(shí)導(dǎo)致的故障

Exchange Server 2007 OWA網(wǎng)管員必修實(shí)戰(zhàn)管理

局域網(wǎng)中實(shí)現(xiàn)云存儲(chǔ)

OSPF的升級(jí)改造工程

無(wú)線網(wǎng)絡(luò)認(rèn)證改造