張國柱

摘要：提出在不影響一些USB外圍設(shè)備使用的前提下，選擇性地禁用一些USB設(shè)備的方法。

關(guān)鍵詞：USB接口驅(qū)動(dòng)程序

目前，基于USB接口的設(shè)備得到了廣泛應(yīng)用，像打印機(jī)、掃描儀、鼠標(biāo)、鍵盤、各種移動(dòng)存儲設(shè)備等等，都可以直接使用USB接口，而通過USB接口帶來的安全問題卻十分嚴(yán)重，如傳播木馬病毒等。能否有選擇性的使用USB設(shè)備，即在不影響使用一些USB外圍設(shè)備，諸如USB打印機(jī)和掃描儀、鼠標(biāo)、鍵盤的前提下，對本地計(jì)算機(jī)的USB存儲設(shè)備等訪問權(quán)限進(jìn)行限制，防止USB設(shè)備被隨意使用，使得某個(gè)用戶、用戶組或所有用戶都無法使用USB存儲設(shè)備。結(jié)論是肯定的，分析USB接口的驅(qū)動(dòng)過程就可以得出USB接口的系統(tǒng)設(shè)置方法。

USB標(biāo)準(zhǔn)中將USB分為五個(gè)部分：控制器、控制器驅(qū)動(dòng)程序、USB芯片驅(qū)動(dòng)程序、USB設(shè)備以及針對不同USB設(shè)備的客戶驅(qū)動(dòng)程序。USB需要主機(jī)硬件、操作系統(tǒng)和外設(shè)三個(gè)方面的支持才能工作。目前主板一般都采用支持USB功能的控制芯片組，而且也安裝了USB接口插槽。訪問USB接口的設(shè)備就是操作系統(tǒng)運(yùn)行其驅(qū)動(dòng)程序，確定驅(qū)動(dòng)權(quán)限，然后按照USB設(shè)備的客戶驅(qū)動(dòng)程序的驅(qū)動(dòng)參數(shù)訪問個(gè)體設(shè)備，即對管理USB存儲設(shè)備的系統(tǒng)文件參數(shù)進(jìn)行設(shè)置，把Usbstor.pnf和Usbstor.inf兩個(gè)文件的“完全控制”權(quán)限重新修改，再對不同的用戶組設(shè)置相應(yīng)的權(quán)限。對USB系統(tǒng)文件的具體配置操作如下：

在權(quán)限設(shè)置之前確保計(jì)算機(jī)C盤的文件格式是NTFS，如果不是，一般來說就是FAT32，此時(shí)須將該磁盤分區(qū)改為NTFS格式后，才可以對某個(gè)文件或文件夾設(shè)置權(quán)限。具體操作：在相應(yīng)的C分區(qū)上，點(diǎn)鼠標(biāo)右鍵選擇“屬性”，查看C分區(qū)是FAT32文件系統(tǒng)，還是NTFS文件系統(tǒng)，如果C盤分區(qū)文件系統(tǒng)是FAT32，那么就需要轉(zhuǎn)換成NTFS，可通過執(zhí)行convert命令進(jìn)行。具體方法是：開始→運(yùn)行→輸入CMD"進(jìn)入命令行模式，然后鍵入convert c：/fs：nffs。這樣系統(tǒng)將自動(dòng)把該分區(qū)的文件系統(tǒng)進(jìn)行修改。由于是對系統(tǒng)盤C盤進(jìn)行操作，因此轉(zhuǎn)換過程需要在下一次重新啟動(dòng)系統(tǒng)時(shí)才會運(yùn)行。

對XP系統(tǒng)來說，在想設(shè)置共享權(quán)限的文件夾上，點(diǎn)鼠標(biāo)右鍵選擇“共享和安全”后，出現(xiàn)的設(shè)置窗口中如果沒有一安全標(biāo)簽，但又要實(shí)現(xiàn)共享，就只能把該文件夾或文件復(fù)制到“共享文檔”中。實(shí)際上是因?yàn)槭褂昧撕唵喂蚕矸绞?，要想取消這種簡單共享方式需要打開“我的電腦”，在上方菜單中選擇“工具→文件夾選項(xiàng)”，在“查看”標(biāo)簽中找到一使用簡單文件共享，將其前頭的對勾去掉。確定完畢后，還需要設(shè)置一下“網(wǎng)絡(luò)安裝向?qū)А?，在控制面板雙擊“網(wǎng)絡(luò)和Interact連接”圖標(biāo)，雙擊“網(wǎng)絡(luò)安裝向?qū)А?，然后按照網(wǎng)絡(luò)安裝向?qū)У奶崾疽徊讲竭M(jìn)行。設(shè)置好網(wǎng)絡(luò)安裝向?qū)Ш?，我們就可以通過文件夾屬性中的“共享”標(biāo)簽和“安全”標(biāo)簽來分配訪問該目錄的用戶及其權(quán)限了。

啟動(dòng)Windows資源管理器，找到％SystemRoot％.inf文件夾，右鍵單擊“Usbstor.pnf”文件，然后單擊“屬性”標(biāo)簽。默認(rèn)情況下，如果是用administrator管理員帳戶登錄的系統(tǒng)，那么此時(shí)不能夠修改系統(tǒng)文件夾的訪問權(quán)限。要想禁用USB存儲設(shè)備，必須單獨(dú)建立一個(gè)另外的帳戶，即使是管理員組的帳號也可以。

使用非管理員帳戶登錄系統(tǒng)后，右鍵單擊找到的-Usb-stor.pnff文件，然后單擊“屬性”，在“安全”標(biāo)簽中的“組或用戶名稱”列表中，單擊要為其設(shè)置“拒絕”權(quán)限的用戶或組，當(dāng)然也可以通過“添加”按鈕對單獨(dú)用戶進(jìn)行設(shè)置。在“組或用戶權(quán)限”列表中，單擊已選中“完全控制”旁邊的“拒絕”復(fù)選框，然后單擊“確定”。如果對系統(tǒng)賬戶也要拒絕USB接口的訪問，要將系統(tǒng)帳戶也添加到“拒絕”列表中。

如同尋找“Usbstor.pnf”文件及設(shè)置權(quán)限一樣，再對“Usbstor.inf”文件權(quán)限進(jìn)行同樣的設(shè)置。該文件也是存在于系統(tǒng)文件夾中的INF目錄中，右鍵單擊“Usbstor.inf”文件，然后單擊“屬性”。在彈出的設(shè)置窗口中單擊“安全”選項(xiàng)卡。在“組或用戶名稱”列表中，單擊要為其設(shè)置“拒絕”權(quán)限的用戶或組，同樣也可以通過“添加”按鈕對單獨(dú)用戶進(jìn)行設(shè)置，然后在“組或用戶權(quán)限”列表中，單擊已選中“完全控制”旁邊的“拒絕”復(fù)選框，最后單擊“確定”。

當(dāng)我們成功的完成了對這兩個(gè)文件的權(quán)限分配操作后，被設(shè)置成拒絕訪問兩文件權(quán)限的用戶，就無法再使用USB存儲設(shè)備了。當(dāng)把U盤或移動(dòng)硬盤插到計(jì)算機(jī)的USB接口時(shí)，只會收到“權(quán)限訪問拒絕”的提示，而連接到USB接口的打印機(jī)或掃描儀等卻沒有任何問題，一切正常，一點(diǎn)也不影響使用。