USB埠封鎖的12種方法

你知道USB是資安的漏洞嗎？USB埠封鎖的12種方法:
USB的發展讓我們方便很多，不過已經變成企業資料洩密及病毒的來源。
完整內容：http://www.ithome.com.tw/itadm/article.php?c=48641&s=4

此處僅列摘要，完整內容請參考上面網址：

1.停用BIOS的相關設定
在主機板BIOS設定裡，我們可以將USB埠的功能，設定為停用。由於設定上十分容易，做法簡單，因此成為企業經常用來管理USB埠使用的方式。為了防止員工自行進入BIOS重新啟用USB埠的功能，一般在完成設定之後，IT人員會同時設定BIOS的管理密碼，往後只有IT人員才能進入、更改設定。

2.黏上易碎貼紙
用易碎貼紙控管USB埠，好處在於只要透過肉眼，就可以分辨電腦的連接埠是否曾經使用過，常用於訪客將筆記型電腦攜入之前，大門口的管理人員會在該臺電腦的 USB埠與網路埠，黏貼一張易碎貼紙，確認訪客在進入企業內部的這段時間，是否曾經透過這些連接埠連接周邊裝置，或者存取資料。

3.移除主機板上的跳接器
移除主機板上的跳接器（Jumper），同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用，移除跳接器之後，USB埠的功能達到真正的完全失效，不但無法讀取USB裝置，同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。

4.用熱熔膠堵住
這是一種破壞性的封鎖方式，當填充物灌入USB埠接孔時，USB埠介面也會隨之損壞，而永久無法使用。

5.插上專用介面卡或硬體鎖
有一些現成的硬體產品，能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品，裝在主機板上的PCI插槽之後，USB等周邊連接埠的功能就會失效。

6.利用群組原則集中控管
企業可以透過設定群組原則物件原則（GPO）的方式，在AD伺服器的管理介面執行相關的設定，接著將政策派送到內部的所有員工電腦，就可以關閉周邊裝置的使用權限。不只是USB儲存裝置，企業也可以使用相同方式控管光碟機、LS-120，以及軟碟機的使用。

7.修改電腦內的特定登錄機碼
對於連接過USB儲存裝置的電腦，可以利用修改登錄機碼設定的方式，禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式，在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start 數值，點選開啟之後，將數值由預設的3，修改為4，就能將USB儲存裝置設定為禁用。

8.刪除USB儲存裝置的驅動程式
適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下，可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案，這是Windows系統用來辨識USB儲存裝置的驅動程式。
我們可以針對這兩個檔案設定存取權限，修改檔案名稱，或者直接刪除檔案，就可以讓讓員工無法在自己電腦上使用USB儲存裝置。

9.採用周邊裝置控管產品的解決方案
這類產品通常會透過安裝在使用者電腦上的代理程式實施管理，而且能夠整合Windows AD、LDAP等目錄服務，讓同一部門、相同群組的電腦套用相同的政策做管理，省去個別調整設定的麻煩。

10.將重要檔案予以加密
控管的對象以檔案為主，而非USB埠本身，當資料寫入USB儲存裝置的時候，可以透過應用程式執行加密，限制擁有解密金鑰的人才能開啟該檔案，防止USB儲存裝置遺失之後，裡頭存放的機密資料遭到盜取。

11.藉助SSL VPN或終端服務
幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務，當員工從外部網路連接上線之後，電腦上的螢幕畫面就會自動切換成虛擬桌面，任何存取或修改資料的動作都必須在此區域進行。

12.建置DLP解決方案
DLP是更進一步的機密資料安全保護方案，功能上不但包含周邊裝置控管的功能，更結合資料過濾的方式，從檔案內容著手，在不影響USB埠功能的情況下，將含有機密內容的資料攔阻下來，不允許複製到USB儲存裝置，或者透過網路傳送出去。