黑云
USB设备的“身影”已经随处可见,善于使用该设备,的确能给上班一族带来文件交流上的方便。然而,在USB设备存储了重要数据的情况下,我们需要对该设备进行严格管理、控制,避免因USB设备使用或管理不当,引起重要数据丢失或泄密事件发生。
注册表控制法
控制写入权限
为了防止他人随意修改保存在USB设备中的重要数据,我们可以修改系统注册表的相关键值,让普通用户只能访问USB设备中的数据内容,而不能随意改动其中的内容。
使用“Win+R”快捷键,打开系统“运行”文本框,输入“Regedit”命令,单击“确定”按钮后,开启注册表编辑器的运行状态。依次展开注册表编辑界面左侧的“HEKY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolices”分支(如图1所示)。
在目标分支下手工创建一个双字节键值“WriteProtect”,同时将其数值调整为“1”,重新启动Windows系统,这样用户日后只能对接入的USB设备进行读取操作,而不能进行写入操作。当有用户悄悄修改USB设备中的重要数据时,系统会弹出“磁盘有写保护”之类的提示。
控制病毒运行
考虑到USB设备感染病毒、木马的现象十分普遍,为了防止保存有重要数据的USB设备,在插入计算机系统后,自动激活运行病毒、木马程序,从而引起泄密事件发生,我们必须主动出击,想办法控制USB设备中的病毒、木马程序自动发作运行,下面就是具体的控制步骤:
首先按照前面的操作,打开本地系统的注册表编辑窗口,在该窗口左侧显示区域,依次展开注册表分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,用鼠标右键单击该分支选项,执行快捷菜单中的“权限”命令,切换到如图2所示的权限编辑对话框。
其次将这里所有用户账号的访问权限都调整为拒绝,再按F5功能键,刷新系统注册表,这样USB设备日后即使不小心感染了病毒、木马程序,它们在插入计算机时,其中的病毒、木马程序也会由于操作权限不足,而不能激活运行,那么保存在USB设备中的重要数据,也就不容易被病毒、木马程序破坏或泄露出去了。
倘若想控制USB设备中AutoRun病毒的自动运行时,只要打开系统注册表编辑界面,将鼠标定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer节点上,打开NoDriveTypeAutoRun键值的设置对话框,选中“十六进制”选项,并输入数值“4”,确认后保存设置操作,再刷新系统注册表即可。
隐藏设备分区
如果不希望用户访问USB设备中的重要数据时,可以尝试将本地硬盘分区之外的盘符全部隐藏起来,这样日后有人即使偷偷插入了USB设备,他们也不能从“我的电脑”或“计算机”窗口中,看到USB设备对应分区的“身影”。
首先执行“Regedit”命令,打开注册表编辑界面,找到该界面左侧中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer节点选项,用鼠标右键单击目标节点,执行快捷菜单中的“新建”|“二进制值”命令,将新创建的键值取名为“NoDrives”,该键值默认数值为“00 00 00 00”(如图3所示),该数值表示不隐藏任何磁盘分区。
“NoDrives”的数值包含四个字节,每个字节的每一位数值控制着从“A”盘到“Z”盘的显示隐藏状态,当某个位数数值为“1”时,对应 磁盘分区就会被禁止显示。要是本地计算机硬盘包括C、D、E、F、G、H这几个分区,那么我们将“NoDrives”的数值设置为“02 ff ff ff”时,就能将B分区、I到Z分区隐藏起来,重新启动Windows系统,再插入USB设备时,我们将无法在“计算机”或“我的电脑”窗口中,找到USB设备所使用的磁盘分区,这样就不能访问到保存在该设备中的数据内容了。当然,通过计算机窗口的地址栏,输入USB设备的磁盘分区符号,还是能够访问到该设备中的内容,为此,我们还应该在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer节点选项下面,手工创建一个“NoViewOnDrive”二进制键值,同时将该键值数值也设置为“02 ff ff ff”,这样任何方式也不能访问到USB设备中的内容了。
组策略控制法
停用自动播放
当USB设备连接到本地计算机中时,Windows系统会自动打开对应设备窗口,以利于用户快速访问其中的文件。而USB设备自动打开窗口的过程,很容易被网络病毒利用,那么带毒的USB设备插入计算机时,既会将病毒传染给Windows系统,又容易引起重要数据泄密事件。所以,为了保护系统和重要数据的安全,我们可以停用所有磁盘分区的自动播放功能:
首先逐一点选“开始”|“运行”选项,切换到系统运行对话框,输入“gpedit.msc”命令并回车,弹出系统组策略编辑界面,找到该界面下的“本地计算机策略”|“计算机配置”|“管理模板”|“系统”节点,用鼠标双击目标节点下的“关闭自动播放”选项,展开如图4所示的组策略属性对话框。
其次选中这里的“已启用”选项,打开“关闭自动播放”下拉列表,将其中的“所有驱动器”选项选中,单击“确定”按钮保存设置操作,这样USB设备日后插入到本地计算机后,对应设备窗口就不会自动打开了,那么即使该设备中隐藏有病毒、木马程序,它们也没机会激活运行了。
限制样本病毒
很多病毒在恶意传播之前,一般都是先激活样本病毒程序,之后才会进行病毒传播扩散。根据这种病毒传播原则,我们可以上网查询病毒公告,及时获取那些利用USB设备传播的病毒程序样本,并下载获取对应病毒样本文件,再利用系统组策略设置,来限制样本病毒程序在本地计算机中自动运行,下面就是具体的操作步骤:
首先按照前面的操作步骤,展开系统组策略编辑界面,找到该界面左侧的“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“软件限制策略”|“其他规则”节点,用鼠标右键单击目标节点选项,点击右键菜单中的“新散列规则”命令,弹出如图5所示的设置界面。
其次按下设置界面中的“浏览”按钮,切换到文件选择对话框,导入之前获取得到的样本病毒程序文件,这样Windows系统会智能生成文件散列号码,并且还会自动显示相关样本病毒文件的版本信息以及其他方面的状态信息,接着将样本病毒程序文件“安全级别”选择为“不允许”,确认后本地计算机就能自动预防新型的通过USB设备传播的病毒了,日后即使USB设备感染了样本病毒,也不会在本地系统中造成安全威胁,更不会发生由样本病毒引起的数据泄密现象。
隐藏访问分区
USB设备插入到计算机系统后,Windows系统分配给它的分区符号往往是固定的,如果能让特定的磁盘分区隐藏起来,那么普通用户就不能随意访问到对应设备中的数据内容了。要做到这一点,可以进行如下设置操作:
首先执行“gpedit.msc”命令,打开系统组策略编辑界面,找到该界面中的“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Windows资源管理器”节点,用鼠标双击目标节点下的“防止从我的电脑访问驱动器”选项,展开如图6所示的组策略属性对话框。
其次选中“已启用”选项,点击“选择下列组合中的一个”位置处的下拉按钮,从下拉列表中选择特定磁盘分区,那么保存设置操作后,Windows系统虽然可以正确识别并安装USB设备驱动,但是在计算机窗口或我的电脑窗口却不能访问它们的内容。如果希望隐藏USB设备分区时,还要在“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Windows资源管理器”节点下,启用并设置好“隐藏我的电脑中的这些指定的驱动器”组策略,这样用户就不能看到它们的“身影”了。
隐藏文件法
隐藏设备数据
保存在USB设备中的重要数据文件,如果被设置成隐藏属性,那么日后用户即使能进入USB设备窗口,也不能看到其中的数据文件。在隐藏设备数据文件时,先将USB设备正确插入到本地计算机中,进入计算机或我的电脑窗口,获取USB设备的分区名称,假设该分区为“F:”。接着依次点击“开始”|“运行”命令,弹出系统运行对话框,输入字符串命令“attrib F: +r +s +h /d /s”,单击“确定”按钮后,USB设备中的所有数据文件都会被设置成隐藏属性,普通用户是不能随意删除、更改数据文件的。
限制隐藏文件
将重要数据文件设置成隐藏性质,还不能保证其安全性,因为一些专业用户可以进入Windows系统的文件夹选项设置对话框,切换到查看标签页面,选中“显示所有文件”功能,就能访问到隐藏文件了。为了防止专业用户查看隐藏文件,我们还需要控制Windows系统,不让其显示隐藏文件,以达到彻底隐藏重要数据的目的。
使用“Win+R”快捷键,打开系统“运行”文本框,输入“Regedit”命令,单击“确定”按钮后,开启注册表编辑器的运行状态。依次展开注册表编辑界面左侧的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”分支(如图7所示)。
找到目标分支下的“CheckedValue”双字节键值,并用鼠标双击之,在其后界面中,将默认数值由“1”修改成“0”,刷新系统注册表后,即使普通用户进入查看选项设置页面,选中“显示所有文件”选项,Windows系统也不会将隐藏文件显示出来。
伪装数据文件夹
通过上面的隐藏方法,隐藏USB设备中的重要数据,会影响其他隐藏文件的读取与访问。其实,我们可以在USB设备根目录下面,任意创建一个文件夹,假设该文件夹名称为“aaa”,日后将所有重要数据全部保存到这里。之后通过修改扩展名,对“aaa”文件夹进行伪装操作,让其变成“我的电脑”之类的特殊文件夹,这样其他人双击该文件夹图标时,将无法看到隐藏在其中的重要数据内容,所以,这在某种程度上能保护USB设备中的数据内容。在进行伪装操作时,只要在“aaa”文件夹名称后面,手工添加“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”这样的扩展名即可。
隐藏分区符号
每个USB设备插入本地计算机后,Windows系统都会为它自动分配一个分区符号,如果隐藏该设备分区符号,那么其他用户打开计算机或我的电脑窗口后,就不能访问到USB设备,这样该设备中的数据也会很安全。在隐藏分区符号时,首先将USB设备插入到本地计算机中,当该设备被成功识别后,用鼠标右键系统桌面上的“计算机”图标,执行快捷菜单中的“管理”命令,切换到计算机管理窗口,将鼠标定位到“存储”|“磁盘管理”节点上,选中该节点下的USB设备图标,点击右键菜单中的“更改驱动器号和路径”命令,打开如图8所示的设置对话框,选中USB设备使用的分区符号,点击“删除”按钮,最后进行确认操作,这样就能将USB设备分区符号隐藏起来了。日后,如果我们自己想访问USB设备中的内容时,只要重新进入“更改驱动器号和路径”设置对话框,为USB设备分配好合适分区符号即可。
权限控制法
授权特定用户
保护USB设备重要数据的目的是防止外人访问,而不是防止自己使用,所以我们不妨利用NTFS的权限管理功能,来限制他人随意访问USB设备。首先检查系统分区的格式,倘若发现是FAT32格式时,那么可以依次点击“开始”|“运行”命令,打开系统运行对话框,输入“Convert c: /FS:NTFS”命令,单击“确定”按钮后,将系统分区C盘转换成NTFS格式。接着进入本地计算机的用户管理界面,在这里为可信任用户账户设置一个复杂的登录密码。
完成上面的准备工作后,打开系统资源管理器窗口,逐一展开“Windows”|“Inf”文件夹,找到其中的“Usbstor.pnf”文件,用鼠标右键单击该文件,执行快捷菜单中的“属性”命令,切换到对应文件属性界面,选择“安全”标签,在对应标签页面中将可信用户账户添加进来,并授予完全访问权限。
之后,将其它需要访问本地计算机,但是不允许使用USB设备的用户账户导入进来,同时将它们的访问权限都调整为“拒绝”,确认后执行设置保存操作,这样其他用户日后在尝试访问USB设备时,由于访问Usbstor.pnf文件时权限不足而受拒,从而保证了USB设备重要数据的安全。
控制访问权限
只要USB设备被格式化成NTFS格式,我们就能按照实际需要,随意控制其中数据的访问权限,禁止无关人员私下改动或删除重要数据。例如,要想禁止普通用户改动或删除USB设备中的重要数据时,可以先将USB设备插入到本地计算机,进入计算机或我的电脑窗口,找到对应设备分区图标,并用鼠标右键单击之,执行快捷菜单中的“属性”命令,打开该设备属性对话框。选择“安全”选项卡,在对应标签页面中(如图9所示),删除所有陌生用户账号,再将everyone账号的读取权限设置为“允许”,其他权限设置为“拒绝”,单击“确定”按钮保存设置操作即可。