為了防止病毒傳播或資料外泄，很多網吧、學校和公司的電腦都采取不安裝軟驅、光驅的方法來預防。但是USB移動存儲的出現使病毒傳播或資料外泄更難以防范，這一直是管理員頭疼的事情。為了禁用或管理USB接口，很多人都是在CMOS中禁止USB接口并設置密碼，更有甚者用電烙鐵取下主板上的USB接口，這些都不是簡便的方法，尤其是針對域中的多臺計算機，工作量就更大了。下面筆者將介紹如何在一臺或多臺電腦上禁用和管理USB接口的方法。

    一、在WindowsXP中禁用和管理USB接口

　　1. 計算機未安裝USB設備

　　這種情況可以采取將%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf兩個文件設置其用戶的控制權限。

　　Step1：右擊這兩個文件，選擇“屬性→安全→高級”，在“權限”頁面中取消“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框。

Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復選框，然后單擊“確定”。

　　這種通過分配權限的方法，可以指定哪些用戶可以使用USB設備，哪些用戶不可以使用USB設備，和下面的“Windows NT以上系統通用方法”一樣，靈活性較大，所以建議采用該方法限制用戶安裝USB設備。

　　2. 計算機已安裝了USB設備

　　這種情況可以通過修改注冊表來實現。方法是修改注冊表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR下的“Start”值，改為十六位進制數值“4”。

　　該方法修改后，當用戶將USB存儲設備連接到計算機時，該設備將無法運行。

　　二、Windows NT以上系統通用方法

　　運行注冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR鍵，取消System的所有控制權。如果要分配控制權，只需要對相應用戶設置控制權限就可以了。

　　小提示：Windows 2000中要設置注冊表的控制權限，需用Regedt32．exe注冊表編輯器。

　　三、禁止和管理域中多臺計算機USB設備的使用

　　方法很簡單，就是在域控制器上通過組策略限制用戶對“Windows NT以上系統通用方法”中注冊表鍵的控制權即可。