如何停用 USB 儲存裝置

　在不少企業中會要求禁止使用 USB 隨身碟，而公司都會要求 MIS 同仁將所有電腦的 USB 介面停用 ，有人應該曾使用過網路上的一般教學，使用 GPO 禁用 USB 裝置，但發現有時有效、有時無效，最後改用其他第三方軟體或是直接將 USB 介面封掉。

　在微軟的官方知識庫中有提供停用 USB 儲存裝置的方法，但不知道為何網路上一般找到的文件只解說一半，所以造成有時有用，有時沒用的假象。


　根據微軟 KB823732 文件提供兩種方法，可以防止使用者連接 USB 儲存裝置。


方法一：
　如果電腦並未安裝 USB 儲存裝置，請將使用者或群組對下列檔案的使用權限設定為「拒絕」權限：

• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf

　執行這項操作之後，使用者就無法在電腦上安裝 USB 儲存裝置。


　漏洞：此方法只針對未插入的 USB 隨身碟有作用，已曾使用過的 USB 隨身碟則無效。

方法二：
　如果電腦上已經安裝 USB 儲存裝置，請將下列登錄機碼的 Start 值設定為 4：


　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor


　執行這項操作之後，即便使用者將 USB 儲存裝置連接到電腦上，該裝置也無法運作，GPO 的設定也是修改此參數值。


　注意：此參數只有在使用過 USB 隨身碟才會出現，新裝機的電腦上並不會有此機碼。


　漏洞：僅能針對 USB 隨身碟曾使用過的 USB 插孔有效，只要將 USB 隨身碟換另一個 USB 插孔則會失效，此值會自動改回 3。

　一般網路上的教學只提方法二，所以就以上官方所提供的兩種方法來說，其實兩種都必須要使用才能完全停用 USB 儲存裝置，針對方法二其實還可以將下列檔案的使用權限設定為「拒絕」權限，更能完全避免機碼被修改回來。

• %SystemRoot%\system32\DRIVER\SUSBSTOR.SYS

補充：
　為了讓我們系統部其他同仁能夠方便停用一般使用者電腦的 USB 儲存裝置，不用大費周章設定檔案權限及機碼，我另外將這兩個方法寫成批次檔，批次檔內容如下。


Disable USB：

[DisableUSB.reg] Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004

[DisableUSB.bat] @echo off regedit /s DisableUSB.reg cacls %systemroot%\infusbstor.inf /E /D everyone cacls %systemroot%\infusbstor.pnf /E /D everyone

Enable USB

[EnableUSB.reg] Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000003

[EnableUSB.bat] @echo off regedit /s EnableUSB.reg cacls %systemroot%\infusbstor.inf /E /R everyone cacls %systemroot%\infusbstor.pnf /E /R everyone

資料參考來源：http://support.microsoft.com/kb/823732/zh-tw