打印機(jī)的接口一般有：USB與（）

參考禁用USB的12法：第一種、禁用BIOS的相關(guān)設(shè)定?優(yōu)點(diǎn)：設(shè)定容易，做法簡易?缺點(diǎn)：BIOS的管理密碼可能被破解在主板的BIOS設(shè)定里，我們可以將USB端口的功能，設(shè)定為禁用。由于設(shè)定十分容易，做法簡易，因此成為企業(yè)常常用來管理USB設(shè)備的手段。為了防止員工自行進(jìn)入BIOS重新啟用USB端口的功能，一般在完成設(shè)定之后，IT人員會同時設(shè)定BIOS的管理密碼，只有相關(guān)得到授權(quán)的人員才能訪問、更改BIOS設(shè)定。 需要特別注意的是：BIOS與USB端口相關(guān)設(shè)定的名稱與位置，往往隨品牌的不同，而有所差異，甚至沒有這方面的設(shè)定。 此外BIOS的管理密碼并非設(shè)定之后，就沒法破解。只要進(jìn)行主板放電操作，也就是將主板上的扣子電池取出后、再重新放回，BIOS密碼就會恢復(fù)成默認(rèn)值，而員工就能趁機(jī)進(jìn)入BIOS更改設(shè)定。不過，對企業(yè)來說，一般都不允許員工私自拆裝公司所配發(fā)的電腦，而只要非IT部門的人員，在進(jìn)行類似的動作時，就很容易引起其它人的注意。而在機(jī)密數(shù)據(jù)外泄事件發(fā)生后，此人自然會成為公司重點(diǎn)排查的可疑對象。 在主板的BIOS設(shè)定里，我們可以將USB端口的功能設(shè)定為禁用。 第二種、貼上易碎貼紙?優(yōu)點(diǎn)：用肉眼就可以分辨電腦的USB端口有無使用過的跡象?缺點(diǎn)：貼紙不小心破碎時，容易引發(fā)不必要的誤會這種做法常常見于高科技園區(qū)的許多IT企業(yè)，適用對象多半針對企業(yè)的來訪者，較少使用在內(nèi)部的員工電腦。 來訪者將筆記本電腦攜入辦公區(qū)之前，門口的接待人員會在該臺電腦的USB端口與網(wǎng)絡(luò)端口上，粘貼一張易碎貼紙，以確定來訪者在進(jìn)入企業(yè)內(nèi)部的這段時間里，是否曾經(jīng)通過這些通用接口聯(lián)接外設(shè)設(shè)備，或者存取數(shù)據(jù)。 用易碎貼紙控制USB，益處在于只要通過肉眼，就可以分辨電腦的連接端口是否曾經(jīng)使用過，可是，一旦貼紙因為各種原因而產(chǎn)生破裂，就很容易造成誤會。這時，IT人員有權(quán)檢查來訪者的電腦，看硬盤里是否存放了本企業(yè)的機(jī)密數(shù)據(jù)，在確定無異狀之后，才會放行，讓來訪者把筆記本電腦帶走。 第三種、移除主板上的USB跳線的連接線?優(yōu)點(diǎn)：使USB端口功能達(dá)到真正的完全失效。?缺點(diǎn)：管理上欠缺彈性，日后重新啟用USB端口功能的時候，需要打開電腦機(jī)箱，插回跳線的連接線。移除主板上跳線（Jumper）的連接線，同樣能夠?qū)崿F(xiàn)禁用主板上的USB端口的功能。不同于在BIOS將USB端口功能設(shè)定禁用，跳線的連接線之后，USB端口的功能達(dá)到真正的完全失效，不但沒法讀取USB設(shè)備，同時不能通過USB給連接在電腦上的USB外設(shè)供電。 當(dāng)企業(yè)因為業(yè)務(wù)上的需求，而要啟用USB端口功能的時候，就必須先將電腦機(jī)箱打開、將跳線的連接線插回去，做法上較為麻煩。 第四種、用熱熔膠堵住端口?優(yōu)點(diǎn)：可徹底封鎖USB?缺點(diǎn)：USB端口硬件隨之失效，沒法使用也有許多企業(yè)，尤其是政府機(jī)關(guān)、安全機(jī)構(gòu)，常常是以熱熔膠等填充物堵住電腦的USB端口，不讓員工使用，一旦封鎖之后，即沒法再連接任何的USB外設(shè)設(shè)備。 這是一種破壞性的封鎖方式，當(dāng)填充物注入USB孔時，USB接口也會隨之損壞，而永久沒法使用。 第五種、插上專用適配卡或硬件鎖?優(yōu)點(diǎn)：重新啟用時，不需要拆掉硬件，或者重新開機(jī)，原有的電腦操作不會因此中斷或改變?缺點(diǎn)：管理彈性較差有一些現(xiàn)成的硬件設(shè)備，能夠幫助企業(yè)管理USB的使用。市面上有一種適配卡式的產(chǎn)品，插在主板上的PCI插槽之后，USB等外設(shè)連接端口的功能就會隨之失效。產(chǎn)品本身附有一個遙控器，如果日后還有使用USB的需求，只要按下遙控器上的按鈕，連接端口的功能就會開放，同時不影響電腦目前正在執(zhí)行中的電腦操作。 還一種是硬件鎖，可以鎖住電腦上的連接接口，但根據(jù)使用需求而取下，恢復(fù)USB端口的功能，不像使用熱熔膠灌入USB插口時，會造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產(chǎn)品設(shè)計，讓習(xí)慣采購?fù)放齐娔X的企業(yè)作為選購配件；另外，在一些電腦賣場也能找到具有類似功能的產(chǎn)品。 第六種、利用員工群組原則，集中控制?優(yōu)點(diǎn)：適用于大量電腦環(huán)境，可批量強(qiáng)制實施，統(tǒng)一設(shè)定?缺點(diǎn)：人性化不足，管理彈性較差員工人數(shù)稍有規(guī)模的企業(yè)，一般都會在內(nèi)部架設(shè)Windows Active Directory（AD）服務(wù)器，并將所有電腦加入網(wǎng)域，以便實施統(tǒng)一控制。有了這樣的集中管理環(huán)境，IT人員就可以在一臺電腦中處理完所有員工電腦的控制措施，不用像前面幾種方式一樣，需要到每一臺電腦手動設(shè)定。 企業(yè)可以通過設(shè)定群組對象原則（GPO）的方式，在AD服務(wù)器的管理界面執(zhí)行相關(guān)的設(shè)置，接著將規(guī)則發(fā)送到所有員工的電腦中，就可以關(guān)掉外設(shè)設(shè)備的使用權(quán)限。不只是USB貯存設(shè)備，企業(yè)也可以使用相同方式控制光驅(qū)、LS-120，以及軟驅(qū)的使用。 第七種、更改電腦Windows系統(tǒng)的特定注冊表項?優(yōu)點(diǎn)：設(shè)置簡易?缺點(diǎn)：對于了解電腦操作的人來說，效果有限對于連接過USB貯存設(shè)備的電腦，可以利用更改注冊表設(shè)置的方式，禁止員工在電腦上使用USB貯存設(shè)備。開啟Windows的登錄編輯程序，在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的項目下找到Start數(shù)值，點(diǎn)選開啟之后，將數(shù)值由預(yù)設(shè)的3，更改為4，就能將USB貯存設(shè)備設(shè)置為禁用。此種做法，對于知道如何更改注冊表的員工來說，隨時可以將注冊表項設(shè)置恢復(fù)成默認(rèn)值，繼續(xù)在電腦上使用USB貯存設(shè)備。 如果企業(yè)有使用Windows Vista，則可以群組設(shè)置中，將移除式磁盤驅(qū)動器的項目設(shè)置為拒絕授予讀寫權(quán)限。 直接更改電腦內(nèi)的特定注冊表項，也可以達(dá)到USB禁用的效果，合適少量電腦的封鎖。 第八種、刪掉USB貯存設(shè)備的驅(qū)動程序?優(yōu)點(diǎn)：可針對不同USB設(shè)備個別控制?缺點(diǎn)：僅能針對先前未曾連接USB貯存設(shè)備的電腦適用于未曾連接過任何USB貯存設(shè)備的電腦。在“C:WINDOWSinf”路徑下，可以找到usbstor.inf、usbstor.PNF兩個安裝信息文檔，這是Windows系統(tǒng)用來辨識USB貯存設(shè)備的驅(qū)動程序。 我們可以針對這兩個文檔設(shè)置存取權(quán)限，更改文件名稱，或者直接刪掉文檔，就可以讓讓員工沒法在自己電腦上使用USB貯存設(shè)備。相同的做法，也能用于打印機(jī)、網(wǎng)絡(luò)攝像頭等USB設(shè)備的管理。 第九種、采用外部設(shè)備控制產(chǎn)品的解決方案?優(yōu)點(diǎn)：可根據(jù)需求開放一部分的功能，具備良好的管理彈性?缺點(diǎn)：沒法防止員工以編輯更改的方式將機(jī)密數(shù)據(jù)外流企業(yè)對于USB的管理需求往往不只是單純的開與關(guān)而己，而是希望根據(jù)實際需求來決定要開放什么樣的功能，在此種情況下，就需要導(dǎo)入外部設(shè)備的控制產(chǎn)品來達(dá)成這項目的。 這類產(chǎn)品通常會通過安裝在用戶電腦上的代理程序?qū)嵤┕芾?，而且能夠整合Windows AD、LDAP等目錄服務(wù)，讓同一部門、相同群組的電腦套用相同的規(guī)則做管理，省去個別調(diào)整設(shè)置的麻煩。 除了設(shè)置開關(guān)之外，這類產(chǎn)品對于外設(shè)的插口，可以提供相當(dāng)精細(xì)的管理功能，對于USB貯存設(shè)備，可以設(shè)置成只讀屬性，只能閱覽移動U盤里的數(shù)據(jù)，但不可以執(zhí)行寫入的動作，對于智能型手機(jī)，這類員工工作上常常使用到的設(shè)備，通過某些這類型的產(chǎn)品，可以只允許電腦與手機(jī)之間交換通訊簿，與行事歷，但不能將電腦里的數(shù)據(jù)復(fù)制到手機(jī)上的記憶卡里。 企業(yè)可以在員工將數(shù)據(jù)寫入USB貯存設(shè)備的時候，可以備份到指定的貯存空間，供企業(yè)日后稽查檢查之用，不過也有企業(yè)為了避免數(shù)據(jù)貯存上的麻煩，只是記錄文檔的傳輸動作，將此臺電腦何時傳送了什么樣的文檔記錄起來，不過這樣一來，對于員工以編輯更改的方式將機(jī)密數(shù)據(jù)外流的做法，產(chǎn)品就沒法有效地加以管理。 除了市面上的產(chǎn)品之外，網(wǎng)絡(luò)上也有許多免費(fèi)版本的USB控制軟件，比如USB Blocker，不過，也要注意某些工具有可能是廣告軟件或間諜軟件。 和付費(fèi)產(chǎn)品相比，這一類控制產(chǎn)品的功能比較少見，采用與否，需視企業(yè)實際需求與部署規(guī)模而定。 第十種、將重要文檔予以加密?優(yōu)點(diǎn)：可讓員工正常使用USB端口，并能防止設(shè)備遺失?缺點(diǎn)：一旦密鑰遺失，就沒法開啟移動U盤里的文檔控制的對象以文檔為主，而非USB端口本身，當(dāng)數(shù)據(jù)寫入USB貯存設(shè)備的時候，可以通過應(yīng)用程序進(jìn)行加密，限制擁有解密密鑰的人才能開啟該文檔，防止USB貯存設(shè)備遺失之后，里頭存放的機(jī)密數(shù)據(jù)遭到盜取。 第十一種、借助SSL VPN或終端服務(wù)?優(yōu)點(diǎn)：可防止機(jī)密數(shù)據(jù)通過網(wǎng)絡(luò)復(fù)制到遠(yuǎn)程電腦的磁盤驅(qū)動器?缺點(diǎn)：防護(hù)范圍有限安全廠商的SSL VPN設(shè)備提供一種稱為虛擬桌面的應(yīng)用服務(wù)，當(dāng)員工從外部網(wǎng)絡(luò)連接內(nèi)部網(wǎng)絡(luò)之后，電腦上的屏幕畫面就會自動切換成虛擬桌面，任何存取或更改數(shù)據(jù)的動作都必須在此區(qū)域進(jìn)行。 而Windows Server的終端服務(wù)，是一種可供多人同時執(zhí)行遠(yuǎn)程服務(wù)器上應(yīng)用的程序環(huán)境，這類型解決方案有一項功能是允許聯(lián)機(jī)階段，將員工端本機(jī)電腦上的磁盤驅(qū)動器、打印機(jī)等設(shè)備自動聯(lián)機(jī)，成為遠(yuǎn)程電腦上的網(wǎng)絡(luò)磁盤驅(qū)動器，有可能會因此形成機(jī)密外泄通道。該怎么防護(hù)？我們可以在本地端電腦設(shè)置相關(guān)的本機(jī)群組原則DD關(guān)掉磁盤重新導(dǎo)向的功能，禁止員工將遠(yuǎn)程電腦上的機(jī)密數(shù)據(jù)下載。 第十二種、實施DLP數(shù)據(jù)遺失防范解決方案?優(yōu)點(diǎn)：可以有效防止機(jī)密資料通過各種途徑外流，同時無需封鎖USB端口功能?缺點(diǎn)：對于非Windows平臺的控制效果較差DLP數(shù)據(jù)遺失防范是更進(jìn)一步的機(jī)密數(shù)據(jù)安全保護(hù)方案，功能上不但包括外部設(shè)備控制的功能，更結(jié)合數(shù)據(jù)過濾的方式，從文檔內(nèi)容著手，在不影響USB端口功能的情況下，將含有機(jī)密內(nèi)容的數(shù)據(jù)攔阻下來，不允許復(fù)制到USB貯存設(shè)備，或者通過網(wǎng)絡(luò)傳送出去。