打印機(jī)的接口一般有：USB與（）

參考禁用USB的12法：第一種、禁用BIOS的相關(guān)設(shè)定?優(yōu)點(diǎn)：設(shè)定容易，做法簡(jiǎn)易?缺點(diǎn)：BIOS的管理密碼可能被破解在主板的BIOS設(shè)定里，我們可以將USB端口的功能，設(shè)定為禁用。由于設(shè)定十分容易，做法簡(jiǎn)易，因此成為企業(yè)常常用來(lái)管理USB設(shè)備的手段。為了防止員工自行進(jìn)入BIOS重新啟用USB端口的功能，一般在完成設(shè)定之后，IT人員會(huì)同時(shí)設(shè)定BIOS的管理密碼，只有相關(guān)得到授權(quán)的人員才能訪問(wèn)、更改BIOS設(shè)定。 需要特別注意的是：BIOS與USB端口相關(guān)設(shè)定的名稱(chēng)與位置，往往隨品牌的不同，而有所差異，甚至沒(méi)有這方面的設(shè)定。 此外BIOS的管理密碼并非設(shè)定之后，就沒(méi)法破解。只要進(jìn)行主板放電操作，也就是將主板上的扣子電池取出后、再重新放回，BIOS密碼就會(huì)恢復(fù)成默認(rèn)值，而員工就能趁機(jī)進(jìn)入BIOS更改設(shè)定。不過(guò)，對(duì)企業(yè)來(lái)說(shuō)，一般都不允許員工私自拆裝公司所配發(fā)的電腦，而只要非IT部門(mén)的人員，在進(jìn)行類(lèi)似的動(dòng)作時(shí)，就很容易引起其它人的注意。而在機(jī)密數(shù)據(jù)外泄事件發(fā)生后，此人自然會(huì)成為公司重點(diǎn)排查的可疑對(duì)象。 在主板的BIOS設(shè)定里，我們可以將USB端口的功能設(shè)定為禁用。 第二種、貼上易碎貼紙?優(yōu)點(diǎn)：用肉眼就可以分辨電腦的USB端口有無(wú)使用過(guò)的跡象?缺點(diǎn)：貼紙不小心破碎時(shí)，容易引發(fā)不必要的誤會(huì)這種做法常常見(jiàn)于高科技園區(qū)的許多IT企業(yè)，適用對(duì)象多半針對(duì)企業(yè)的來(lái)訪者，較少使用在內(nèi)部的員工電腦。 來(lái)訪者將筆記本電腦攜入辦公區(qū)之前，門(mén)口的接待人員會(huì)在該臺(tái)電腦的USB端口與網(wǎng)絡(luò)端口上，粘貼一張易碎貼紙，以確定來(lái)訪者在進(jìn)入企業(yè)內(nèi)部的這段時(shí)間里，是否曾經(jīng)通過(guò)這些通用接口聯(lián)接外設(shè)設(shè)備，或者存取數(shù)據(jù)。 用易碎貼紙控制USB，益處在于只要通過(guò)肉眼，就可以分辨電腦的連接端口是否曾經(jīng)使用過(guò)，可是，一旦貼紙因?yàn)楦鞣N原因而產(chǎn)生破裂，就很容易造成誤會(huì)。這時(shí)，IT人員有權(quán)檢查來(lái)訪者的電腦，看硬盤(pán)里是否存放了本企業(yè)的機(jī)密數(shù)據(jù)，在確定無(wú)異狀之后，才會(huì)放行，讓來(lái)訪者把筆記本電腦帶走。 第三種、移除主板上的USB跳線(xiàn)的連接線(xiàn)?優(yōu)點(diǎn)：使USB端口功能達(dá)到真正的完全失效。?缺點(diǎn)：管理上欠缺彈性，日后重新啟用USB端口功能的時(shí)候，需要打開(kāi)電腦機(jī)箱，插回跳線(xiàn)的連接線(xiàn)。移除主板上跳線(xiàn)（Jumper）的連接線(xiàn)，同樣能夠?qū)崿F(xiàn)禁用主板上的USB端口的功能。不同于在BIOS將USB端口功能設(shè)定禁用，跳線(xiàn)的連接線(xiàn)之后，USB端口的功能達(dá)到真正的完全失效，不但沒(méi)法讀取USB設(shè)備，同時(shí)不能通過(guò)USB給連接在電腦上的USB外設(shè)供電。 當(dāng)企業(yè)因?yàn)闃I(yè)務(wù)上的需求，而要啟用USB端口功能的時(shí)候，就必須先將電腦機(jī)箱打開(kāi)、將跳線(xiàn)的連接線(xiàn)插回去，做法上較為麻煩。 第四種、用熱熔膠堵住端口?優(yōu)點(diǎn)：可徹底封鎖USB?缺點(diǎn)：USB端口硬件隨之失效，沒(méi)法使用也有許多企業(yè)，尤其是政府機(jī)關(guān)、安全機(jī)構(gòu)，常常是以熱熔膠等填充物堵住電腦的USB端口，不讓員工使用，一旦封鎖之后，即沒(méi)法再連接任何的USB外設(shè)設(shè)備。 這是一種破壞性的封鎖方式，當(dāng)填充物注入U(xiǎn)SB孔時(shí)，USB接口也會(huì)隨之損壞，而永久沒(méi)法使用。 第五種、插上專(zhuān)用適配卡或硬件鎖?優(yōu)點(diǎn)：重新啟用時(shí)，不需要拆掉硬件，或者重新開(kāi)機(jī)，原有的電腦操作不會(huì)因此中斷或改變?缺點(diǎn)：管理彈性較差有一些現(xiàn)成的硬件設(shè)備，能夠幫助企業(yè)管理USB的使用。市面上有一種適配卡式的產(chǎn)品，插在主板上的PCI插槽之后，USB等外設(shè)連接端口的功能就會(huì)隨之失效。產(chǎn)品本身附有一個(gè)遙控器，如果日后還有使用USB的需求，只要按下遙控器上的按鈕，連接端口的功能就會(huì)開(kāi)放，同時(shí)不影響電腦目前正在執(zhí)行中的電腦操作。 還一種是硬件鎖，可以鎖住電腦上的連接接口，但根據(jù)使用需求而取下，恢復(fù)USB端口的功能，不像使用熱熔膠灌入U(xiǎn)SB插口時(shí)，會(huì)造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產(chǎn)品設(shè)計(jì)，讓習(xí)慣采購(gòu)?fù)放齐娔X的企業(yè)作為選購(gòu)配件；另外，在一些電腦賣(mài)場(chǎng)也能找到具有類(lèi)似功能的產(chǎn)品。 第六種、利用員工群組原則，集中控制?優(yōu)點(diǎn)：適用于大量電腦環(huán)境，可批量強(qiáng)制實(shí)施，統(tǒng)一設(shè)定?缺點(diǎn)：人性化不足，管理彈性較差員工人數(shù)稍有規(guī)模的企業(yè)，一般都會(huì)在內(nèi)部架設(shè)Windows Active Directory（AD）服務(wù)器，并將所有電腦加入網(wǎng)域，以便實(shí)施統(tǒng)一控制。有了這樣的集中管理環(huán)境，IT人員就可以在一臺(tái)電腦中處理完所有員工電腦的控制措施，不用像前面幾種方式一樣，需要到每一臺(tái)電腦手動(dòng)設(shè)定。 企業(yè)可以通過(guò)設(shè)定群組對(duì)象原則（GPO）的方式，在AD服務(wù)器的管理界面執(zhí)行相關(guān)的設(shè)置，接著將規(guī)則發(fā)送到所有員工的電腦中，就可以關(guān)掉外設(shè)設(shè)備的使用權(quán)限。不只是USB貯存設(shè)備，企業(yè)也可以使用相同方式控制光驅(qū)、LS-120，以及軟驅(qū)的使用。 第七種、更改電腦Windows系統(tǒng)的特定注冊(cè)表項(xiàng)?優(yōu)點(diǎn)：設(shè)置簡(jiǎn)易?缺點(diǎn)：對(duì)于了解電腦操作的人來(lái)說(shuō)，效果有限對(duì)于連接過(guò)USB貯存設(shè)備的電腦，可以利用更改注冊(cè)表設(shè)置的方式，禁止員工在電腦上使用USB貯存設(shè)備。開(kāi)啟Windows的登錄編輯程序，在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的項(xiàng)目下找到Start數(shù)值，點(diǎn)選開(kāi)啟之后，將數(shù)值由預(yù)設(shè)的3，更改為4，就能將USB貯存設(shè)備設(shè)置為禁用。此種做法，對(duì)于知道如何更改注冊(cè)表的員工來(lái)說(shuō)，隨時(shí)可以將注冊(cè)表項(xiàng)設(shè)置恢復(fù)成默認(rèn)值，繼續(xù)在電腦上使用USB貯存設(shè)備。 如果企業(yè)有使用Windows Vista，則可以群組設(shè)置中，將移除式磁盤(pán)驅(qū)動(dòng)器的項(xiàng)目設(shè)置為拒絕授予讀寫(xiě)權(quán)限。 直接更改電腦內(nèi)的特定注冊(cè)表項(xiàng)，也可以達(dá)到USB禁用的效果，合適少量電腦的封鎖。 第八種、刪掉USB貯存設(shè)備的驅(qū)動(dòng)程序?優(yōu)點(diǎn)：可針對(duì)不同USB設(shè)備個(gè)別控制?缺點(diǎn)：僅能針對(duì)先前未曾連接USB貯存設(shè)備的電腦適用于未曾連接過(guò)任何USB貯存設(shè)備的電腦。在“C:WINDOWSinf”路徑下，可以找到usbstor.inf、usbstor.PNF兩個(gè)安裝信息文檔，這是Windows系統(tǒng)用來(lái)辨識(shí)USB貯存設(shè)備的驅(qū)動(dòng)程序。 我們可以針對(duì)這兩個(gè)文檔設(shè)置存取權(quán)限，更改文件名稱(chēng)，或者直接刪掉文檔，就可以讓讓員工沒(méi)法在自己電腦上使用USB貯存設(shè)備。相同的做法，也能用于打印機(jī)、網(wǎng)絡(luò)攝像頭等USB設(shè)備的管理。 第九種、采用外部設(shè)備控制產(chǎn)品的解決方案?優(yōu)點(diǎn)：可根據(jù)需求開(kāi)放一部分的功能，具備良好的管理彈性?缺點(diǎn)：沒(méi)法防止員工以編輯更改的方式將機(jī)密數(shù)據(jù)外流企業(yè)對(duì)于USB的管理需求往往不只是單純的開(kāi)與關(guān)而己，而是希望根據(jù)實(shí)際需求來(lái)決定要開(kāi)放什么樣的功能，在此種情況下，就需要導(dǎo)入外部設(shè)備的控制產(chǎn)品來(lái)達(dá)成這項(xiàng)目的。 這類(lèi)產(chǎn)品通常會(huì)通過(guò)安裝在用戶(hù)電腦上的代理程序?qū)嵤┕芾?，而且能夠整合Windows AD、LDAP等目錄服務(wù)，讓同一部門(mén)、相同群組的電腦套用相同的規(guī)則做管理，省去個(gè)別調(diào)整設(shè)置的麻煩。 除了設(shè)置開(kāi)關(guān)之外，這類(lèi)產(chǎn)品對(duì)于外設(shè)的插口，可以提供相當(dāng)精細(xì)的管理功能，對(duì)于USB貯存設(shè)備，可以設(shè)置成只讀屬性，只能閱覽移動(dòng)U盤(pán)里的數(shù)據(jù)，但不可以執(zhí)行寫(xiě)入的動(dòng)作，對(duì)于智能型手機(jī)，這類(lèi)員工工作上常常使用到的設(shè)備，通過(guò)某些這類(lèi)型的產(chǎn)品，可以只允許電腦與手機(jī)之間交換通訊簿，與行事歷，但不能將電腦里的數(shù)據(jù)復(fù)制到手機(jī)上的記憶卡里。 企業(yè)可以在員工將數(shù)據(jù)寫(xiě)入U(xiǎn)SB貯存設(shè)備的時(shí)候，可以備份到指定的貯存空間，供企業(yè)日后稽查檢查之用，不過(guò)也有企業(yè)為了避免數(shù)據(jù)貯存上的麻煩，只是記錄文檔的傳輸動(dòng)作，將此臺(tái)電腦何時(shí)傳送了什么樣的文檔記錄起來(lái)，不過(guò)這樣一來(lái)，對(duì)于員工以編輯更改的方式將機(jī)密數(shù)據(jù)外流的做法，產(chǎn)品就沒(méi)法有效地加以管理。 除了市面上的產(chǎn)品之外，網(wǎng)絡(luò)上也有許多免費(fèi)版本的USB控制軟件，比如USB Blocker，不過(guò)，也要注意某些工具有可能是廣告軟件或間諜軟件。 和付費(fèi)產(chǎn)品相比，這一類(lèi)控制產(chǎn)品的功能比較少見(jiàn)，采用與否，需視企業(yè)實(shí)際需求與部署規(guī)模而定。 第十種、將重要文檔予以加密?優(yōu)點(diǎn)：可讓員工正常使用USB端口，并能防止設(shè)備遺失?缺點(diǎn)：一旦密鑰遺失，就沒(méi)法開(kāi)啟移動(dòng)U盤(pán)里的文檔控制的對(duì)象以文檔為主，而非USB端口本身，當(dāng)數(shù)據(jù)寫(xiě)入U(xiǎn)SB貯存設(shè)備的時(shí)候，可以通過(guò)應(yīng)用程序進(jìn)行加密，限制擁有解密密鑰的人才能開(kāi)啟該文檔，防止USB貯存設(shè)備遺失之后，里頭存放的機(jī)密數(shù)據(jù)遭到盜取。 第十一種、借助SSL VPN或終端服務(wù)?優(yōu)點(diǎn)：可防止機(jī)密數(shù)據(jù)通過(guò)網(wǎng)絡(luò)復(fù)制到遠(yuǎn)程電腦的磁盤(pán)驅(qū)動(dòng)器?缺點(diǎn)：防護(hù)范圍有限安全廠商的SSL VPN設(shè)備提供一種稱(chēng)為虛擬桌面的應(yīng)用服務(wù)，當(dāng)員工從外部網(wǎng)絡(luò)連接內(nèi)部網(wǎng)絡(luò)之后，電腦上的屏幕畫(huà)面就會(huì)自動(dòng)切換成虛擬桌面，任何存取或更改數(shù)據(jù)的動(dòng)作都必須在此區(qū)域進(jìn)行。 而Windows Server的終端服務(wù)，是一種可供多人同時(shí)執(zhí)行遠(yuǎn)程服務(wù)器上應(yīng)用的程序環(huán)境，這類(lèi)型解決方案有一項(xiàng)功能是允許聯(lián)機(jī)階段，將員工端本機(jī)電腦上的磁盤(pán)驅(qū)動(dòng)器、打印機(jī)等設(shè)備自動(dòng)聯(lián)機(jī)，成為遠(yuǎn)程電腦上的網(wǎng)絡(luò)磁盤(pán)驅(qū)動(dòng)器，有可能會(huì)因此形成機(jī)密外泄通道。該怎么防護(hù)？我們可以在本地端電腦設(shè)置相關(guān)的本機(jī)群組原則DD關(guān)掉磁盤(pán)重新導(dǎo)向的功能，禁止員工將遠(yuǎn)程電腦上的機(jī)密數(shù)據(jù)下載。 第十二種、實(shí)施DLP數(shù)據(jù)遺失防范解決方案?優(yōu)點(diǎn)：可以有效防止機(jī)密資料通過(guò)各種途徑外流，同時(shí)無(wú)需封鎖USB端口功能?缺點(diǎn)：對(duì)于非Windows平臺(tái)的控制效果較差DLP數(shù)據(jù)遺失防范是更進(jìn)一步的機(jī)密數(shù)據(jù)安全保護(hù)方案，功能上不但包括外部設(shè)備控制的功能，更結(jié)合數(shù)據(jù)過(guò)濾的方式，從文檔內(nèi)容著手，在不影響USB端口功能的情況下，將含有機(jī)密內(nèi)容的數(shù)據(jù)攔阻下來(lái)，不允許復(fù)制到USB貯存設(shè)備，或者通過(guò)網(wǎng)絡(luò)傳送出去。