[粗]多种保护措施限用移动硬盘

    俗语说得好“祸从口出”，不少单位为了防止单位的核心隐私信息被一些不怀好意的职员通过移动硬盘之类的USB设备传播出去，他们往往会想方设法地采取多种保护措施，来限制移动硬盘在本地顺利使用，而笔者单位也不例外。这不，最近单位领导要求笔者在尽可能短的时间内，对局域网中所有工作站进行移动硬盘使用限制;接到任务后，笔者一点不敢怠慢，迅速开动脑筋、潜心钻研，总结出了几则限制移动硬盘使用的措施，现贡献出来与大家交流!

　　从驱动下手，限用移动硬盘

　　我们知道，当移动硬盘插入到计算机对应的USB端口中后，Windows系统就会自动使用内置的USB接口驱动来安装好移动硬盘的驱动程序，这样一来移动硬盘就能正常使用了。相反，要是我们事先将Windows系统内置的USB接口驱动卸载掉的话，那么日后其他人即使将移动硬盘插入到本地计算机中，移动硬盘也会因为缺少对应驱动程序的支持而不能正常使用。在卸载USB接口驱动程序时，我们可以按照如下步骤进行操作:

　　首先用鼠标单击系统桌面中的“我的电脑”图标，从其后出现的快捷菜单中单击“属性”选项，打开本地计算机的系统属性设置窗口；

　　单击该设置窗口中的“硬件”标签，然后在对应标签页面中单击“设备管理器”按钮，进入到本地系统的设备列表界面;展开该界面中的“通用串行总线控制器”项目，并用鼠标选中该分支项目下面的“USB Root Hub”子项，再用鼠标右键单击该子项，从弹出的如图1所示快捷菜单中，执行“卸载”命令，这样我们就能将其中的一个USB接口驱动程序卸载掉了;按照相同的操作方法，可以将计算机系统中其他USB接口驱动程序统统卸载干净。

　　小提示:

　　由于卸载USB接口驱动程序会影响其他USB设备的正常使用，为此我们还可以从USB接口驱动程序访问权限出发，来阻止普通用户不能随意访问USB接口驱动程序，这样的话普通用户即使将移动硬盘插入到计算机中，也会因为无权访问对应驱动程序而不能使用移动硬盘。要想限制访问USB接口驱动程序，我们可以按照如下步骤来进行：

　　首先打开本地系统的设备列表窗口，展开该窗口中的“通用串行总线控制器”项目，并用鼠标选中该分支项目下面的“USB Root Hub”子项，再用鼠标右键单击该子项，从弹出的快捷菜单中执行“属性”命令，打开USB Root Hub的属性设置窗口；

　　单击该设置窗口中的“驱动程序”标签，并在对应的标签页面中单击“驱动程序详细信息”按钮，打开如图2所示的驱动程序文件列表窗口，找到USB接口使用的具体驱动文件，例如usbd.sys、usbhub.sys文件;

　　下面我们可以打开本地的系统资源管理器窗口，找到usbd.sys、usbhub.sys这两个文件，然后用鼠标右键单击它们，并执行右键菜单中的“属性”命令，打开这两个文件的属性设置窗口，单击该窗口中的“安全”标签，之后在对应的标签页面中我们就能有针对性地设置它们的访问权限了。需要提醒各位的是，这种访问权限的设置方法只适合于Windows 2000或Windows 2003操作系统。

    从端口下手，限用移动硬盘

　　将计算机系统自带的USB接口驱动卸载掉，虽然可以达到限制使用移动硬盘的目的，但是如果普通用户从网上下载安装USB接口的万能驱动的话，那么移动硬盘又能被正常使用了。但是，如果我们能够想办法将本地计算机的USB端口“封锁”起来的话，那么普通用户不管使用什么类型的驱动程序，都无法正常使用移动硬盘;要“封锁”本地计算机的USB端口，我们可以按照如下步骤来进行:

　　首先打开本地系统的“开始”菜单，并执行其中的“运行”命令，在弹出的运行对话框中，输入“regedit”字符串命令，单击“确定”按钮后，进入到本地系统的注册表编辑窗口;

　　在该编辑窗口左侧显示区域，找到“HKEY_LOCAL_MACHINE”分支项目，然后用鼠标逐一展开该分支项目下面的“SYSTEM\CurrentControlSet\Services\usbhub”，在对应“usbhub”子项所在的右侧显示区域中，检查一下是否存在一个名为“Start”的双字节值，如果找不到的话，我们可以依次单击菜单栏中的“编辑”/“新建”/“Dword值”命令，并将刚刚创建的Dword值取名为“Start”，如图3所示;

　　接下来用鼠标双击“Start”双字节值，在其后出现的数值设置对话框中，选中“十进制”项目，同时在“数值数据”文本框中输入“4”，并单击“确定”按钮，最后将计算机系统重新启动一下，这样的话移动硬盘不管插入到计算机的哪个USB端口中，都将不能正常工作。

　　从盘符下手，限用移动硬盘

　　除了通过上面的两种方法可以限制使用移动硬盘外，我们还能着眼磁盘管理器，来将移动硬盘的盘符删除掉，从而达到限制使用移动硬盘的目的。下面就是该方法的具体操作步骤:

　　首先将移动硬盘先插入到本地计算机系统中，然后用鼠标右键单击系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，打开本地系统的计算机管理窗口;

　　其次在该窗口的左侧显示区域，用鼠标展开其中的“存储”分支，并选中该分支下面的“磁盘管理”项目，在对应“磁盘管理”项目右下方的显示区域中，找到移动硬盘所对应的驱动器号，用鼠标鼠标右键单击该驱动器号，从弹出的快捷菜单中执行“更改驱动器名和路径”命令，打开如图4所示的对话框;

　　在该对话框中，选中移动硬盘所使用的驱动器号，并单击一下其中的“删除”按钮，再单击“确定”按钮，这样一来移动硬盘的逻辑盘符就被删除掉了。此时，我们尝试打开“我的电脑”窗口时，就会发现移动硬盘的盘符消失了;即使我们日后重新插入移动硬盘时，移动硬盘盘符也无法显示在“我的电脑”窗口中，这样一来我们就能实现限制使用移动硬盘的目的了。

　　小提示：

　　当我们尝试打开磁盘管理窗口时，要是系统弹出“逻辑磁盘管理器服务已停用”之类的错误提示时，我们可以依次单击“开始”/“运行”命令，在弹出的系统运行框中输入字符串命令“services.msc”，单击“确定”按钮，打开系统的服务列表窗口;接着找到该窗口中的“Logical Disk Manager Administrative Service”项目，并用鼠标双击该项目，在其后出现的属性设置窗口中单击“启动”按钮，将“Logical Disk Manager Administrative Service”服务重新启动起来，这样一来我们日后就能顺利打开磁盘管理窗口了。