USB (通用序列匯流排) 連線通常是用來連接滑鼠、鍵盤、掃描器、印表機等周邊設備,USB 2.0後提升了速度,運用更廣,隨身碟、外接硬碟、網路攝影機等相繼的加入,如今看到各種形形色色的USB周邊不勝枚舉,運用上更是五花八門,但水能載舟亦能覆舟,病毒與駭客程式除了網路感染外,方便的USB裝置也很容易造成電腦莫大危害,為了避免這類情形發生,適時的關閉與開啟USB功能是不錯的方案。
對企業來說,USB帶來的方便無庸置疑,但也是企業心中永遠的痛,畢竟一台感染可能禍及全公司電腦,為數不少的企業使用關閉USB功能來防止病毒蔓延,也可確保減少電腦資料被竊取的機會。
從BIOS停用USB相關設定
大部分的主機板都有提供USB埠的開關功能,有許多企業為了確保電腦的資料與安全,不惜關閉USB裝置,最簡單的方式就是進入BIOS內關閉USB功能,進入BIOS後找到有關USB Controller功能,請切換到Disabled來關閉。
接著再設定進入BIOS指定Supervisor的密碼,就是要啟動進入BIOS需密碼認證功能,即使對方知道如何進入BIOS,也要經過密碼這關。
既然可以從BIOS設定USB埠的開或關,所以也有為數不少的企業使用這個方法,來停用主機USB插槽的功能。這個方法的好處就是設定簡單,將一臺電腦設定完成所需的時間也不長,而使用此方法的企業,IT人員為了方便管理,通常都會同時設定進入電腦的BIOS前,要輸入密碼,來防止使用者擅自更改管理者的設定。目前新的主機板都是UEFI介面,不用擔心,一樣也有USB Controller的功能可以關閉USB的。
當然利用BIOS停用USB功能必非不可破解,其實破解相當容易,只要打開機殼,將主機板上的水銀電池取下,讓ROM記憶體放電後再裝回,或者將跳接器換插至另外兩對Pin腳,都可以讓BIOS回復預設值,預設的BIOS進入是無密碼保護的,只要稍微熟稔電腦操作的人來說,不會造成太大的困擾。
使用登錄檔方式來關閉USB功能
使用登錄檔方式必須擁有Administrator等級的權限才可以運作,企業一般都不會讓使用者擁有此等級的權限,所以讓使用者擁有此等級的權限,也是很容易使用者來破解。請按下〔視窗鍵〕+〔R〕來帶出「執行」視窗,輸入「regedit」點選〔確定〕來開啟。
當使用者執行一些會影響系統的動作,經常會到出的確認畫面,所以還是按下〔是〕來繼續(若是想要移除這個警告,請參考「談Windows 8/10的使用者帳戶控制(UAC)」文章)。
在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」路徑下找到「Start」項目來修改(如下圖)。
將「Start」修改為「4」並按下〔確定〕即可將USB的功能關閉,想要打開再將其值改為3即可恢復,是不是很簡單呢?
你其實你也可以自行DIY產生一個登錄執行檔,就是直接下面文字儲存成一個的登錄執行檔即可。
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
“Start”=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
“Count”=dword:00000000
“NextInstance”=dword:00000000
下圖是使用記事本編輯一個文字檔案,將上述文字貼上,並另存新檔「disableusb.reg」,記得副檔名要變成「.reg」哦!接著再將「”Start”=dword:00000004」改成「”Start”=dword:00000003」存成「enableusb.reg」檔。
不想那麼麻煩,挨踢路人甲提供檔案讓你直接下載,分別是關閉與開啟的登錄執行檔,如下連結:
【關閉與開啟 USB 登錄執行檔下載點】: http://goo.gl/Tg6Gxy
下載後直接雙按兩下,或是按滑鼠右鍵並選擇【合併】也可。
遇到「使用者帳戶控制」的安全性警告視窗,所以還是按下〔是〕來繼續(若是想要移除這個警告,請參考「談Windows 8/10的使用者帳戶控制(UAC)」文章)。
接著看到自動要加入登入編輯程式的警告訊息視窗,按下〔是〕來繼續。
一下子就出現機碼和值已經加入登入檔中,按下〔確定〕即可生效,之後插入的USB裝置會無法運作,不過之前既有連接的USB仍然可運作哦!這點須特別留意。
延伸閱讀: